CircleCI は、セキュリティ インシデント後に GitHub 0Auth トークンをローテーションします from securityboulevard.com

セキュリティ インシデントの後、CircleCI は顧客のために GitHub OAuth トークンをローテーションするプロセスを完了しました。
CircleCI は土曜日に、顧客は引き続き独自のトークンをローテーションすることができるが、「CircleCI プラットフォームのセキュリティには自信があり、顧客は構築を続けることができる」と述べた。
2022 年 12 月 21 日から 2023 年 1 月 4 日まで、または 2023 年 1 月 4 日まで、または「CircleCI に保存されているすべてのシークレットをプロジェクト環境変数またはコンテキストで直ちにローテーションする」ことを推奨し、「システムの内部ログを確認して不正アクセスがないか確認する」ことを推奨しました。
Tiquet 氏は、「調査が進行中で、この違反の詳細はまだ明らかにされていませんが、侵入者が書き込みアクセス権を取得したか、コードや構成を変更できた可能性もあります」と述べています。
「問題を修正し、インフラストラクチャとシークレットを安全に保つために何ができるかを顧客が特定できるように支援するチームに称賛と HugOps を提供します。インシデント後の顧客との良好なコミュニケーションは非常に効果的であり、CircleCI からユーザーへのタイムリーな対応は、まさにあなたが期待するものです。見たい」
シークレットはどこにあるのか、どのようなアクセス権があるのか​​、シークレットが侵害された場合に攻撃者ができることは何ですか?業界のベスト プラクティス パターン (セキュリティ リファレンス アーキテクチャなど) から構築します)