パッチが適用されていないTravisCIAPIバグにより、数千のシークレットユーザーアクセストークンが公開される from thehackernews.com

2015年と2019年に以前に報告されたこの問題は、APIがクリアテキスト形式の履歴ログへのアクセスを許可し、悪意のある当事者が「以前はAPIを介して利用できなかったログをフェッチする」ことさえ可能にするという事実に根ざしています。
これは、Travis CIがAPIのレート制限を試み、代わりに文字列「[secure]」を表示することで、ビルドログから安全な環境変数とトークンを自動的に除外しようとしているにもかかわらずです。
「ただし、APIを介したログへのアクセスのしやすさ、不完全な打ち切り、「制限された」ログへのアクセス、APIへのアクセスを制限およびブロックするための弱いプロセスと、公開される可能性のある多数のログを組み合わせると、危機的な状況」
Travis CIは、調査結果に応じて、この問題は「設計による」ものであり、ユーザーがビルドログのシークレットの漏洩を回避し、トークンとシークレットを定期的にローテーションするためのベストプラクティスに従う必要があると述べています。