人気の継続的インテグレーションおよびデリバリーサービスである Travis CI は、署名キー、アクセスクレデンシャル、APIトークンなどのセキュアな環境変数を漏洩する可能性のある脆弱性を明らかにした。この欠陥は9月10日にすぐに修正されたが、開発者コミュニティはこの問題の Travis CI の対応が不十分であることに気づいた。
CVE アドバイザリに記載されているこの脆弱性により、PRによってトリガーされる自動ビルドプロセス中に、リポジトリ (repo) をフォークして一部のファイルをプリントするだけで、権限のないアクターが顧客の秘密にアクセスできるようになった。
Travis CI は、パッチがデプロイされてから数日後に発行されたセキュリティ速報で詳細を提供した。具体的には、この脆弱性は公開リポジトリとフォークされたリポジトリにのみ影響した。
フォークされたパブリックリポジトリがある場合、フォークされた (コピーされた) プロジェクトの誰かが、ビルドの実行中に元のプロジェクトのシークレットを短時間だけ見ることができた可能性があります。
Travis CI 速報でも、ビルド中にのみ機密データが公開される脆弱性が明らかになり、それ以外ではセキュリティは常に暗号化によって付与されていた。
Ethereum チームリーダのPéter Szilágyi氏によると、この脆弱性は9月7日に go-ethereum 開発者のFelix Lange氏によって発見され、すぐに Travis CI に通知された。Travis CI が動揺し始めたのはここですが、Szilágyi氏は続けて。
彼らの唯一の反応は「おっと、キーをローテートしてください」であり、彼らのインフラのすべてが漏れていたことを無視しました。うまくいきませんでしたので、Travis をブラックリストに登録するために @github に連絡を取り始めました。
Szilágyi氏によると、Travis CI にアクションを起こさせ、問題に「サイレントパッチ」を適用するには、3日間のプレッシャーがかかったが、必要とされるデューデリジェンス (due diligence) はなかった。
分析もセキュリティレポートも事後分析 (ポストモーテム) も、秘密が盗まれた可能性があることをユーザに警告することもありません。
Szilágyi氏の批判には、TwitterとHacker Newsの両方で他の数人の開発者が加わった。
前述のように、Travis CI は、脆弱性の詳細を提供し、9月3日からセキュリティパッチを実装したことを明確にするセキュリティ速報を発行した。また、秘密のサイクリングを定期的に実行する必要があることをユーザに通知した。
InfoQは、コミュニティでの批判についてコメントを求めて Travis CI に連絡したが、まだ返信を受け取っていない。Travis CI の回答があった場合、この記事を更新する。