Aynı adlı bulut tabanlı Sürekli Entegrasyon (CI) platformunun operatörü CircleCI, geliştiricileri 21 Aralık 2022’den beri bir güvenlik olayının meydana geldiği konusunda uyardı. Bu nedenle şirket, sisteminde depolanan tüm oturum açma kimlik bilgilerinin değiştirilmesini şiddetle tavsiye ediyor. hemen. CircleCI ayrıca tüm kullanıcılara, 21 Aralık 2022’den bu yana gerçekleşmiş olabilecek herhangi bir yetkisiz erişim için giriş bilgilerini kontrol etmelerini tavsiye eder.
CircleCI: Tüm erişim anahtarlarını yenileyin
CI hizmet sağlayıcısının resmi bir açıklamada açıkladığı gibi, platformda veri okumak ve/veya yazmak için gereken tüm proje API belirteçleri derhal geçersiz kılındı. Bu tür belirteçleri kullanan kullanıcıların bunları yeniden oluşturması gerekir. Olayın iletişim forumu ayrıca SSH anahtarları, Jira ve Slack entegrasyonu için belirteçler ve webhook sırları dahil olmak üzere tüm hassas erişim verilerinin silinmesini ve yeniden oluşturulmasını tavsiye ediyor.
CircleCI, güvenlik olayıyla ilgili herhangi bir ayrıntıyı henüz yayınlamamış olsa da, şirket yetkilileri ilgili kullanıcılara “sistemlerimizde yetkisiz aktörlerin aktif olmadığından artık emin olduklarını” garanti ediyor. Bununla birlikte, olayla ilgili güncellemeler ve CircleCI tarafından alınan önlemler “mevcut olur olmaz” takip edilecektir.
Umulduğu kadar emin değil
Kasım 2022’nin başında Teknolojiden Sorumlu Başkan Rob Zuber, CircleCI’nin güvende olduğunu duyurdu. Zuber, yakın geçmişte yetkisiz kişilerin kullanıcıların GitHub’daki kod havuzlarına erişim elde etmek için CircleCI temsilcilerinin kimliğine büründüğü kimlik avı girişimlerinin sayısında artış görse de, CircleCI sistemlerinden hiçbirinin güvenliğinin ihlal edilmediği konusunda Zuber’e güvence verdi.
Artık bilinen güvenlik olayıyla birlikte, durumun temelden değişmiş olması muhtemeldir. Hizmet sağlayıcı bu arada müşterilerine yardım etmeye çalışıyor ve diğer şeylerin yanı sıra 2021’de yayınlanan ve sır yönetimi için en iyi uygulamaları özetleyen bir rapora atıfta bulunuyor. Kendi CI ardışık düzenlerinizi etkili bir şekilde güvence altına almak için, sırların yönetimini büyük ölçüde otomatikleştiren ve aynı zamanda en az ayrıcalık ilkesini uygulayan araçların kullanılması önerilir.
(harita)
Haberin Sonu
CircleCI: Tüm erişim anahtarlarını yenileyin
CI hizmet sağlayıcısının resmi bir açıklamada açıkladığı gibi, platformda veri okumak ve/veya yazmak için gereken tüm proje API belirteçleri derhal geçersiz kılındı. Bu tür belirteçleri kullanan kullanıcıların bunları yeniden oluşturması gerekir. Olayın iletişim forumu ayrıca SSH anahtarları, Jira ve Slack entegrasyonu için belirteçler ve webhook sırları dahil olmak üzere tüm hassas erişim verilerinin silinmesini ve yeniden oluşturulmasını tavsiye ediyor.
CircleCI, güvenlik olayıyla ilgili herhangi bir ayrıntıyı henüz yayınlamamış olsa da, şirket yetkilileri ilgili kullanıcılara “sistemlerimizde yetkisiz aktörlerin aktif olmadığından artık emin olduklarını” garanti ediyor. Bununla birlikte, olayla ilgili güncellemeler ve CircleCI tarafından alınan önlemler “mevcut olur olmaz” takip edilecektir.
Umulduğu kadar emin değil
Kasım 2022’nin başında Teknolojiden Sorumlu Başkan Rob Zuber, CircleCI’nin güvende olduğunu duyurdu. Zuber, yakın geçmişte yetkisiz kişilerin kullanıcıların GitHub’daki kod havuzlarına erişim elde etmek için CircleCI temsilcilerinin kimliğine büründüğü kimlik avı girişimlerinin sayısında artış görse de, CircleCI sistemlerinden hiçbirinin güvenliğinin ihlal edilmediği konusunda Zuber’e güvence verdi.
Artık bilinen güvenlik olayıyla birlikte, durumun temelden değişmiş olması muhtemeldir. Hizmet sağlayıcı bu arada müşterilerine yardım etmeye çalışıyor ve diğer şeylerin yanı sıra 2021’de yayınlanan ve sır yönetimi için en iyi uygulamaları özetleyen bir rapora atıfta bulunuyor. Kendi CI ardışık düzenlerinizi etkili bir şekilde güvence altına almak için, sırların yönetimini büyük ölçüde otomatikleştiren ve aynı zamanda en az ayrıcalık ilkesini uygulayan araçların kullanılması önerilir.
(harita)
Haberin Sonu