Les développeurs d’applications utilisant la plate-forme d’intégration continue CircleCI sont invités à faire la rotation de tous les codes secrets – y compris les mots de passe, les clés d’API et les certificats numériques – stockés dans le système, après la découverte d’un incident de sécurité non spécifié.
Dans un article de blog mercredi dernier, Rob Zuber, directeur de la technologie (CTO) de l’entreprise, a déclaré que cela inclut des codes secrets stockés dans des variables d’environnement de projet ou dans des contextes.
La société recommande également aux utilisateurs de consulter les journaux internes de leurs systèmes pour tout accès non autorisé à partir du 21 décembre 2022 ou à la fin de leur rotation des codes secrets.
Si un projet utilise des jetons d’API de projet, ils ont été invalidés par CircleCI et devront être remplacés.
En réponse à une question sur le forum de discussion de l’entreprise, un membre du personnel a déclaré que la rotation inclut les clés SSH, les jetons d’intégration Jira et Slack et les codes secrets du webhook.
« Nous nous excusons pour toute interruption à votre travail », a ajouté Rob Zuber. « Nous prenons très au sérieux la sécurité de nos systèmes et des systèmes de nos clients. Alors que nous enquêtons activement sur cet incident, nous nous engageons à partager plus de détails avec les clients dans les prochains jours. »
« À ce stade, nous sommes convaincus qu’aucun individu non autorisé n’est actif dans nos systèmes ; cependant, par prudence, nous voulons nous assurer que tous les clients prennent également certaines mesures préventives pour protéger leurs données. »
La société de San Francisco affirme que plus d’un million d’ingénieurs logiciels en développement et exploitation utilisent CircleCI et son moteur d’automatisation pour créer des applications pour plusieurs environnements, y compris Docker.
En novembre, elle a rejoint le programme Amazon Web Service (AWS) Service Ready pour les instances Spot Amazon Elastic Compute Cloud (Amazon EC2). CircleCI compte Cisco, Peloton et HashiCorp parmi ses clients.
Adaptation et traduction française par Renaud Larue-Langlois.
