Codecov의 CI 자격 증명이 유출된 문제 대응
On Thursday, April 1st, we learned that someone had gained unauthorized access to our Bash Uploader script >and modified it without our permission. The actor gained access because of an error in Codecov's Docker image >creation process that a required to modify our Bash Uploader >script.
Unfortunately, we can confirm that you were impacted by this security event.
We strongly recommend taking action by reading our security notice about this event to understand how you are >impacted and next steps you should take.
즉, Codecov의 Docker 이미지 생성 프로세스에서 Bash 업로더 스크립트를 변경하는 데 필요한 자격 증명을 추출 할 수 있습니다. 라는 것・・・
아래 공식적으로 발표되었습니다.
여기도 영어이지만 요약하면
...
라는 것입니다.
영향을 받는 사용자는 위의 CI 프로세스의 환경 변수인 모든 자격 증명, 토큰, 키를 즉시 재롤하라는 것입니다.
저도 아래의 기사에서 Codecov를 해당 리포지토리에 사용하고 있으므로, 그 쪽의 대응을 본 기사에 기재해 둡니다.
TOKEN 재생성 방법
codecov 페이지에 로그인하여 설정을 변경할 리포지토리를 표시합니다.
Settings
- Repository Upload Token
의 Regenerate를 클릭하여 토큰을 재생성합니다.재생성 후 토큰을 복사합니다.
대상 GitHub 리포지토리로 이동하여
Settings
- Secrets
에서 이전에 설정한 Repository secrets
를 삭제합니다.같은 화면에서
New Repository secret
를 클릭하고 Name
에 CODECOV_TOKEN
, Value
에 복사한 토큰을 붙여넣습니다.※이쪽의 환경 변수는 설정하고 있다
GitHub Actions
로 지정하고 있는 환경 변수를 지정해 주세요.설정 변경 후 확인
설정 변경이 완료되었으므로 시험에 codecov에 업로드해 보겠습니다.
나는 안전하게 업로드 할 수있었습니다.
codecov 측에서도 올바르게 반영되었습니다.
이것으로 대응이 완료됩니다.
참고
Reference
이 문제에 관하여(Codecov의 CI 자격 증명이 유출된 문제 대응), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/tokkun5552/items/2a844a5f87bb0f37f234텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)