A plataforma DevOps CircleCI está alertando os usuários sobre sua integração e implantação contínuas (CI/CD) para alternar “imediatamente” todos os segredos – pense em senhas, chaves de API, chaves SSH, arquivos de configuração, tokens OAuth, etc. – armazenados na plataforma na sequência de um incidente de segurança sob investigação na empresa.
Em uma postagem de blog esta semana, Ron Zuber, CTO da CircleCI, instou os clientes a primeiro alternar todos os segredos armazenados “em variáveis de ambiente do projeto ou em contextos” e, em seguida, verificar os logs internos em busca de sinais de “acesso não autorizado” de 21 de dezembro de 2022, e até a data da rotação.
” Além disso, se o seu projeto usa tokens da API do Project, nós os invalidamos e você precisará substituí-los. Você pode encontrar mais informações sobre como fazer isso em nossa documentação aqui “, disse Zuber.
A empresa continua investigando a violação de segurança e planeja fornecer mais detalhes à medida que surgirem. “Neste ponto, estamos confiantes de que não há agentes não autorizados ativos em nossos sistemas; no entanto, com muita cautela, queremos garantir que todos os clientes tomem certas medidas preventivas para proteger seus dados também”, escreveu Zuber.
Enquanto isso, os serviços de CI/CD se tornaram um alvo popular dos criptomineradores para implantação de código e configuração de plataformas de mineração baseadas em nuvem, descobriu um relatório recente da Sysdig.
FONTE: DARK READING