威脅與挑戰　CI／CD流程中的資料安全議題

編譯／Cynthia

根據最新資安研究顯示，AWS、Google和Azure的命令列介面工具（Command-line interface，CLI）存在重大安全漏洞，可能導致敏感憑證在建置日誌中外洩。這個問題被Orca資安公司稱為LeakyCLI，且引起廣泛的關注，尤其是對於依賴持續交付／部署（CI／CD）流程的組織而言，是個嚴峻的挑戰。

憑證可能外洩

漏洞的核心在於命令列介面工具指令可能會在建置日誌中以環境變數的方式顯示敏感憑證，這會影響到一連串的AWS和Google Cloud操作，特別是相關函數的設定和更新。研究還發現，許多GitHub專案在使用GitHub Actions、CircleCI、TravisCI和Cloud Build時，可能會不小心洩露了存取授權碼和其他敏感資料。

更多新聞：Hugging Face漏洞警示 AIaaS 面臨更多資安挑戰

微軟已修補部分

微軟已於2023年11月釋出相關安全更新，並未該漏洞標視為CVE-2023-36052。而AWS和Google認為這是預期中的情況，建議組織使用專用的機密管理服務來管理敏感資訊。此外，Google也提出一些建議，例如使用「–no-user-output-enabled」選項來減少命令輸出對終端的影響。

潛在威脅

如果惡意人士取得這些環境變數，可能會取得對組織重要資源的存取權限，進而洩漏機密資訊，如密碼、使用者名稱和金鑰，對組織的資料安全造成重大威脅。

加強資安管理

這次資安漏洞事件讓人們更加重視在持續交付／部署流程中的資料安全。儘管各大供應商已經針對此問題提出相對應的安全更新，但組織仍應保持高度警覺，並採取必要的措施來保護資料安全，建議使用專門的機密管理服務來儲存敏感資訊，同時遵循相關建議以減少潛在風險。

資料來源：The Hacker News

瀏覽 167 次