CircleCI 呼吁客户在安全事件后旋转秘密

美国软件开发服务公司CircleCI宣布存在安全威胁，并敦促用户更换密钥。

CI/CD平台CircleCI向其用户发出警告，要求他们在遭遇安全事件后更换密钥。这个开发运维平台在软件团队中很受欢迎，为快速编写代码提供持续集成和交付服务。超过100万人和数千家公司使用该工具，但在此安全事件之后，他们正在接受警告。

CircleCI的首席技术官Rob Zuber在一篇博客文章中告诉用户要“立即更换在CircleCI中存储的所有密钥”，这些密钥“可能存储在项目环境变量或上下文中”。

CircleCI还在Twitter上警告客户注意此问题。

Zuber在上述博客文章中写道，从2022年12月21日到2023年1月4日期间，客户应该“检查其系统的内部日志是否有未经授权的访问”。用户也可以在更换密钥后检查其内部日志。此外，Zuber还提到所有项目API令牌已失效，因此用户需要重新替换。

至于此安全事件的性质，虽然CircleCI已通知用户并提供了保护数据的建议，但尚未公布事件的详细信息。但是，根据Rob Zuber在其博客文章中的陈述，CircleCI似乎打算在不久的将来提供更多关于此事件的详细信息。

虽然我们不知道具体的安全事件细节，但我们知道CircleCI之前曾处理过安全漏洞。

2019年，该公司发生了一起被第三方分析供应商渗透的事件。攻击者成功获取了用户名、电子邮件地址、分支名称、仓库URL和IP地址等信息。当时，该公司警告用户要审查其仓库和分支名称。

如果您是CircleCI的用户，建议您在遭遇此安全问题后采取措施。更换密钥并检查内部日志可能有助于保护自己免受可能的安全威胁。