Codecov의 CI 자격 증명이 유출된 문제 대응

2021/4/15에 codecov로부터 이런 메일이 도착했습니다.


On Thursday, April 1st, we learned that someone had gained unauthorized access to our Bash Uploader script >and modified it without our permission. The actor gained access because of an error in Codecov's Docker image >creation process that a required to modify our Bash Uploader >script.

Unfortunately, we can confirm that you were impacted by this security event.

We strongly recommend taking action by reading our security notice about this event to understand how you are >impacted and next steps you should take.

즉, Codecov의 Docker 이미지 생성 프로세스에서 Bash 업로더 스크립트를 변경하는 데 필요한 자격 증명을 추출 할 수 있습니다. 라는 것・・・

아래 공식적으로 발표되었습니다.

여기도 영어이지만 요약하면

...
  • Bash Upploader를 로컬에서 사용하는 경우 아마도 괜찮습니다. 그렇지 않으면 자격 증명이 없었을 가능성이 큽니다.
  • GitHub Actions, CircleCI Orb, Codecov Bitrise Step 등이 Bash Uploader를 사용하고 있기 때문에 즉각적인 CI 환경을 사용하는 사람은 즉시 대응해야합니다.
  • 구체적인 영향은 CI 러너로 사용하고 있던 크리덴셜, 토큰, 키나 이것들과 같은 것을 사용해 액세스 할 수 있는 서비스라든지 데이터 스토어라든지 어플리케이션 코드등이야. 그리고 codecov를 사용하는 git의 오리진 저장소 URL도 들렸습니다.

    라는 것입니다.

    영향을 받는 사용자는 위의 CI 프로세스의 환경 변수인 모든 자격 증명, 토큰, 키를 즉시 재롤하라는 것입니다.

    저도 아래의 기사에서 Codecov를 해당 리포지토리에 사용하고 있으므로, 그 쪽의 대응을 본 기사에 기재해 둡니다.

    TOKEN 재생성 방법



    codecov 페이지에 로그인하여 설정을 변경할 리포지토리를 표시합니다.Settings - Repository Upload Token의 Regenerate를 클릭하여 토큰을 재생성합니다.
    재생성 후 토큰을 복사합니다.


    대상 GitHub 리포지토리로 이동하여 Settings - Secrets에서 이전에 설정한 Repository secrets를 삭제합니다.


    같은 화면에서 New Repository secret 를 클릭하고 NameCODECOV_TOKEN , Value 에 복사한 토큰을 붙여넣습니다.
    ※이쪽의 환경 변수는 설정하고 있다 GitHub Actions 로 지정하고 있는 환경 변수를 지정해 주세요.


    설정 변경 후 확인



    설정 변경이 완료되었으므로 시험에 codecov에 업로드해 보겠습니다.
    나는 안전하게 업로드 할 수있었습니다.


    codecov 측에서도 올바르게 반영되었습니다.


    이것으로 대응이 완료됩니다.

    참고


  • Bash Uploader Security Update - codecov
  • 【Flutter】GitHubActions로 테스트 및 정적 해석 자동화 - Qiita
  • 좋은 웹페이지 즐겨찾기