CircleCI : des secrets potentiellement plus si secrets

Prière de modifier tous vos secrets stockés dans CircleCI. Un appel clair et net de la part de l'éditeur américain. En toile de fond, un incident de sécurité.

[UPDATE] Addressing the most pressing incident-related concerns and top questions from our community: https://t.co/MO7mS4LkAm

You can see all responses to initial questions we have received or even add your own to the discussion at the link above. https://t.co/a2rHp56ZEy pic.twitter.com/UM2tce5hgR

- CircleCI (@CircleCI) January 5, 2023

On parle là autant des secrets stockés dans des variables d'environnement (au niveau des projets) que dans des contextes (conteneurs de variables).

CircleCI recommande aussi à ses utilisateurs de consulter leurs logs du 21 décembre 2022 au 4 janvier 2023. Il signale par ailleurs avoir invalidé les jetons d'API associés aux projets - il faut donc les remplacer eux aussi.

Diverses ressources ont émergé pour faciliter la rotation des secrets. Parmi elles, un script destiné à lister toutes les variables d'environnement. Et une recommandation : autant que possible, préférer, pour s'authentifier sur les services tiers, l'usage d'OIDC plutôt que de secrets « en dur ».

I've created a script to list all CircleCi Project env varshttps://t.co/xmIMUYc2bj #CircleCI https://t.co/U3GnwNxFMf

- azu (@azu_re) January 5, 2023

Wherever possible, use OIDC to authenticate against your cloud env and any other supported service, instead of storing static credentials in the CI.https://t.co/lBCN1rCGbw

- Omer Gil (@omer_gil) January 5, 2023

Photo d'illustration © GKSD - Fotolia