Travis CI expuso las claves de miles de proyectos open source durante una semana: el líder de Ethereum recomienda buscar alternativas

16/09/2021Artículo original

Travis CI expuso las claves de miles de proyectos open source durante una semana: el líder de Ethereum recomienda buscar alternativas

Entre los días 3 y 10 de septiembre, los repositorios públicos de código abierto que hicieron uso de la herramienta Travis CI estuvieron exponiendo sus contraseñas, credenciales y tokens a un posible robo. Felix Lange, desarrollador de Ethereum, descubrió la vulnerabilidad el día 7 y dio la voz de alarma a los responsables de la plataforma.

Y, si bien ésta ya ha quedado parcheada, el equipo de Ethereum afirma ahora que tuvieron que presionar a los responsables de Travis CI para que tomaran medidas, y que —tras hacerlo— no se explicó debidamente la situación al resto de usuarios afectados. Según afirmaron en Twitter,

Finalmente, Travis CI ha admitido públicamente la vulnerabilidad (clasificada como CVE-2021-41077), si bien ha minimizado su importancia:

Linus Torvalds dice que GitHub En GenbetaLinus Torvalds dice que GitHub “crea fusiones de basura absolutamente inútiles”El boletín de seguridad de Travis CI aprovecha para recordarnos que “cambiar cada cierto tiempo sus claves es algo que todos los usuarios deberían hacer”

  Programación Android: Usando la cláusula Where

Szilágyi, líder de Ethereum, señala en sendas declaraciones para The Register y Ars Technica que, por mucho que las claves secretas permanezcan encriptadas mientras permanecen en el disco en Travis,

Szilágyi, decepcionado con la actitud de la plataforma, ya ha recomendado a los desarrolladores que consideren la opción de buscar una alternativa a Travis CI, para que “transfieran sus proyectos lejos de Travis de forma inmediata e indefinida”.

{“videoId”:”x811lis”,”autoplay”:true,”title”:”‘Oh My Git!’, el videojuego para aprender a usar Git”}

¿Qué ofrece exactamente Travis CI?

Travis CI es una plataforma distribuida de generación e integración continua, lo que significa que nos permite conectarnos con nuestro repositorio Git (alojado en Github o Bitbucket) y clonarlo para llevar a cabo pruebas en nuevos entornos virtuales, con diferentes configuraciones, tras cada ‘push’ realizado, regenerando el proyecto.

  ¿Qué es un ORM?

Si ninguna de las pruebas realizadas a través de Travis CI falla, se considera una compilación exitosa y queda lista para su implementación en el correspondiente host o servidor web.

Gran parte de la popularidad de Travis CI (desde 2019 ha sido usada por más de 600.000 usuarios para poner a prueba casi un millón de proyectos de código abierto) deriva del hecho de soportar más de una veintena de lenguajes de programación, desde los más populares como C/C++, Java, Python, Javascript y PHP hasta Clojure, D, Scala, Swift o F#.

YmlUna búsqueda en GitHub del archivo de configuración travis.yml devuelve más de 35 millones de resultados. (function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName(‘head’)[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement(‘script’); instagramScript.src = ‘https://platform.instagram.com/en_US/embeds.js’; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })();

  Más de 10 títulos recomendados para techies
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad