CircleCI - কোড-বিল্ডিং পরিষেবা সম্পূর্ণ শংসাপত্রের আপস ভোগ করে

আপনি যদি একজন প্রোগ্রামার হন, আপনি শখের জন্য কোড করেন বা পেশাগতভাবে, আপনি জানবেন যে আপনার প্রকল্পের একটি নতুন সংস্করণ তৈরি করা - একটি অফিসিয়াল "রিলিজ" সংস্করণ যা আপনি নিজে, বা আপনার বন্ধুরা বা আপনার গ্রাহকরা আসলে ইনস্টল করবেন এবং ব্যবহার - সবসময় একটি সাদা-নাকল রাইড একটি বিট.

সর্বোপরি, একটি রিলিজ সংস্করণ আপনার সমস্ত কোডের উপর নির্ভর করে, আপনার সমস্ত ডিফল্ট সেটিংসের উপর নির্ভর করে, শুধুমাত্র আপনার প্রকাশিত ডকুমেন্টেশনের সাথে বেরিয়ে যায় (কিন্তু কোন অভ্যন্তরীণ জ্ঞান নেই), এবং এমন কম্পিউটারগুলিতেও কাজ করতে হবে যা আপনি আগে কখনও দেখেননি, সেট আপ করুন কনফিগারেশন যা আপনি কল্পনাও করেননি, অন্যান্য সফ্টওয়্যারের পাশাপাশি আপনি কখনই সামঞ্জস্যের জন্য পরীক্ষা করেননি।

সহজ কথায়, একটি প্রকল্প যত জটিল হবে, এবং যত বেশি ডেভেলপার আপনি এতে কাজ করবেন, এবং আরও আলাদা উপাদান যা অন্য সকলের সাথে মসৃণভাবে কাজ করতে হবে...

…অংশের যোগফলের তুলনায় পুরো জিনিসটি অনেক কম চিত্তাকর্ষক হওয়ার সম্ভাবনা বেশি।

একটি অশোধিত উপমা হিসাবে, বিবেচনা করুন যে দ্রুততম ব্যক্তিগত 100 মিটার স্প্রিন্টার সহ ট্র্যাক দল সবসময় 4x100 মিটার রিলে জিততে পারে না।

উদ্ধারে সি.আই

এই ধরণের "কিন্তু এটি আমার কম্পিউটারে ভাল কাজ করেছে" সঙ্কট এড়াতে একটি প্রচেষ্টা হল একটি কৌশল যা জার্গনে পরিচিত ক্রমাগত ইন্টিগ্রেশন, বা CI অল্পের জন্য.

ধারণাটি সহজ: প্রত্যেকবার যখন কেউ তাদের প্রকল্পের অংশে পরিবর্তন করে, তখন সেই ব্যক্তির নতুন কোডটি ধরুন এবং একটি সম্পূর্ণ বিল্ড-এন্ড-টেস্ট চক্রের মাধ্যমে তাদের এবং তাদের নতুন কোডটি ঝেড়ে ফেলুন, ঠিক যেমন আপনি একটি চূড়ান্ত প্রকাশ তৈরি করার আগে করবেন। সংস্করণ

তাড়াতাড়ি তৈরি করুন, প্রায়শই তৈরি করুন, সবকিছু তৈরি করুন, সর্বদা তৈরি করুন!

স্পষ্টতই, এটি এমন একটি বিলাসিতা যা ভৌত জগতের প্রকল্পগুলি গ্রহণ করতে পারে না: আপনি যদি সিডনি হারবার ব্রিজ নির্মাণ করেন, তাহলে আপনি প্রতিবার নতুন কাঁচামাল দিয়ে একটি সম্পূর্ণ পরীক্ষার স্প্যান পুনর্নির্মাণ করতে পারবেন না রিভেটিং প্রক্রিয়াটি পরিবর্তন করার সিদ্ধান্ত নিন বা আপনি শিখরে বড় ফ্ল্যাগপোল ফিট করতে পারেন কিনা তা দেখুন।

এমনকি যখন আপনি একগুচ্ছ সোর্স ফাইল থেকে আউটপুট ফাইলের সংগ্রহে একটি কম্পিউটার সফ্টওয়্যার প্রজেক্ট তৈরি করেন, তখন আপনি বিদ্যুৎ-এর মতো মূল্যবান সম্পদ ব্যবহার করেন এবং ডেভেলপারদের সমস্ত কম্পিউটারের পাশাপাশি চালানোর জন্য আপনার কম্পিউটিং শক্তিতে আকস্মিক বৃদ্ধির প্রয়োজন হয়। নিজেরা ব্যবহার করছে।

সর্বোপরি, সফ্টওয়্যার ইঞ্জিনিয়ারিং প্রসেসে যা CI ব্যবহার করে, ধারণাটি হল সবাই প্রস্তুত না হওয়া পর্যন্ত অপেক্ষা করা নয়, এবং তারপরে প্রত্যেকের জন্য প্রোগ্রামিং থেকে সরে আসা এবং একটি চূড়ান্ত বিল্ড সম্পূর্ণ হওয়ার জন্য অপেক্ষা করা।

বিল্ডগুলি সারাদিন, প্রতিদিন ঘটে থাকে, যাতে কোডাররা যদি অসাবধানতাবশত "উন্নতি" করে থাকে যা অন্য সকলকে নেতিবাচকভাবে প্রভাবিত করে তবে অনেক আগেই বলে দিতে পারে - বিল্ড ভেঙ্গে, শব্দার্থ বলতে পারে.

ধারণাটি হল: তাড়াতাড়ি ব্যর্থ হন, দ্রুত ঠিক করুন, গুণমান বৃদ্ধি করুন, অনুমানযোগ্য অগ্রগতি করুন এবং সময়মতো জাহাজে পাঠান।

অবশ্যই, একটি সফল পরীক্ষা তৈরির পরেও, আপনার নতুন কোডটিতে এখনও বাগ থাকতে পারে, তবে অন্তত আপনি একটি বিকাশ চক্রের শেষ পর্যন্ত পৌঁছাতে পারবেন না এবং তারপরে দেখতে পাবেন যে প্রত্যেককে কেবলমাত্র ড্রয়িং বোর্ডে ফিরে যেতে হবে সফ্টওয়্যারটি তৈরি এবং কাজ করার জন্য, কারণ বিভিন্ন উপাদানগুলি প্রান্তিককরণের বাইরে চলে গেছে।

প্রাথমিক সফ্টওয়্যার বিকাশের পদ্ধতিগুলিকে প্রায়শই নিম্নলিখিত হিসাবে উল্লেখ করা হত জলপ্রপাতের মডেল, যেখানে প্রত্যেকেই সুরেলা কিন্তু স্বাধীনভাবে কাজ করেছে কারণ প্রকল্পটি সংস্করণের সময়সীমার মধ্যে মৃদুভাবে নিচের দিকে প্রবাহিত হয়েছে, যতক্ষণ না চক্রের শেষে সবকিছু একত্রিত হয়ে একটি নতুন রিলিজ তৈরি করে, একটি সংস্করণ আপগ্রেডের উত্তাল জলপ্রপাতের উপর নিমজ্জিত হওয়ার জন্য প্রস্তুত হয়, শুধুমাত্র অন্য একটি সংস্করণে আবির্ভূত হওয়ার জন্য আরও নকশা এবং উন্নয়নের জন্য স্বচ্ছ জলের স্রোতধারার মৃদু সময়কাল। যাইহোক, এই "জলপ্রপাতগুলির" সাথে একটি সমস্যা ছিল যে আপনি প্রায়শই জলপ্রপাতের একেবারে প্রান্তে একটি দৃশ্যত অন্তহীন বৃত্তাকার এডিতে আটকা পড়েছিলেন, মাধ্যাকর্ষণ সত্ত্বেও, দীর্ঘ হ্যাকস পর্যন্ত ঢালের ঠোঁটটি একেবারেই অতিক্রম করতে অক্ষম। পরিবর্তনগুলি (এবং সহগামী ওভাররান) সামনের যাত্রাকে সম্ভব করেছে।

শুধু মেঘের কাজ

আপনি যেমন কল্পনা করতে পারেন, CI গ্রহণ করার অর্থ হল আপনার নিষ্পত্তিতে একগুচ্ছ শক্তিশালী, প্রস্তুত সার্ভার থাকা যখনই আপনার বিকাশকারীরা একটি বিল্ড-এন্ড-টেস্ট পদ্ধতি ট্রিগার করে, যাতে "এতে আটকে যাওয়া এড়াতে" জলপ্রপাতের খুব ঠোঁট" পরিস্থিতি।

মেঘের জন্য যে একটি কাজের মত শোনাচ্ছে!

এবং, প্রকৃতপক্ষে, এটি অসংখ্য তথাকথিত CI/CD ক্লাউড পরিষেবাগুলির সাথে (এটি CD একটি বাজানো সঙ্গীত ডিস্ক নয়, কিন্তু জন্য সংক্ষিপ্ত অবিচ্ছিন্ন বিতরণ) আপনাকে বিভিন্ন পণ্যের বিভিন্ন শাখার একটি সদা-পরিবর্তনশীল সংখ্যক বিভিন্নভাবে কনফিগার করা বিল্ডের মধ্য দিয়ে যেতে নমনীয়তা প্রদান করে, সম্ভবত একই সময়ে বিভিন্ন হার্ডওয়্যারেও।

সার্কেলসিআই এরকম একটি ক্লাউড-ভিত্তিক পরিষেবা…

…কিন্তু, দুর্ভাগ্যবশত তাদের গ্রাহকদের জন্য, তারা ঠিক করেছে একটি লঙ্ঘনের সম্মুখীন.

প্রযুক্তিগতভাবে, এবং আজকাল যেমন সাধারণ বলে মনে হচ্ছে, সংস্থাটি প্রকৃতপক্ষে তার অফিসিয়াল বিজ্ঞপ্তিতে কোথাও "ভঙ্গ", "অনুপ্রবেশ" বা "আক্রমণ" শব্দগুলি ব্যবহার করেনি: এখন পর্যন্ত, এটি শুধুমাত্র একটি সুরক্ষা ঘটনা.

মূল বিজ্ঞপ্তি [2023-01-04] সহজভাবে বলেছেন যে:

আমরা আপনাকে সচেতন করতে চেয়েছিলাম যে আমরা বর্তমানে একটি নিরাপত্তা ঘটনার তদন্ত করছি, এবং আমাদের তদন্ত চলছে৷ আমরা আপনাকে এই ঘটনা সম্পর্কে আপডেটগুলি প্রদান করব, এবং আমাদের প্রতিক্রিয়া, সেগুলি উপলব্ধ হওয়ার সাথে সাথে। এই মুহুর্তে, আমরা নিশ্চিত যে আমাদের সিস্টেমে কোন অননুমোদিত অভিনেতা সক্রিয় নেই; যাইহোক, প্রচুর সতর্কতার সাথে, আমরা নিশ্চিত করতে চাই যে সমস্ত গ্রাহকরা আপনার ডেটা সুরক্ষিত রাখতে কিছু প্রতিরোধমূলক ব্যবস্থা গ্রহণ করে।

কি করো?

তারপর থেকে, সার্কেলসিআই নিয়মিত আপডেট এবং আরও পরামর্শ প্রদান করেছে, যা বেশিরভাগই এটিতে ফোটে: “অনুগ্রহ করে সার্কেলসিআই-এ সঞ্চিত যেকোন এবং সমস্ত গোপনীয়তা ঘোরান।"

আমরা আগে ব্যাখ্যা করেছি, পরিভাষা শব্দ ঘোরান এখানে খারাপভাবে বেছে নেওয়া হয়েছে, কারণ এটি একটি বিপজ্জনক অতীতের উত্তরাধিকার যেখানে লোকেরা আক্ষরিক অর্থে অল্প সংখ্যক ভবিষ্যদ্বাণীযোগ্য পছন্দের মাধ্যমে পাসওয়ার্ড এবং গোপনীয়তাগুলিকে "ঘোরাতে" দিয়েছিল, শুধুমাত্র এই কারণে নয় যে নতুনের ট্র্যাক রাখা তখনকার সময়ে কঠিন ছিল, কিন্তু সাইবার নিরাপত্তা ছিল' এটি আজকের মতো গুরুত্বপূর্ণ নয়।

CircleCI বলতে যা বোঝায় তা হল আপনাকে আপনার সমস্ত পাসওয়ার্ড, গোপনীয়তা, অ্যাক্সেস টোকেন, এনভায়রনমেন্ট ভেরিয়েবল, পাবলিক-প্রাইভেট কী-পেয়ার এবং আরও অনেক কিছু পরিবর্তন করতে হবে, সম্ভবত কারণ আক্রমণকারীরা যারা নেটওয়ার্ক লঙ্ঘন করেছিল তারা হয় আপনারটি চুরি করেছে, বা প্রমাণ করা যাবে না তাদের চুরি করা হয়েছে.

কোম্পানি একটি আছে একটি তালিকা সরবরাহ বিভিন্ন ধরণের ব্যক্তিগত সুরক্ষা ডেটা যা লঙ্ঘনের দ্বারা প্রভাবিত হয়েছিল এবং একটি সহজ স্ক্রিপ্ট তৈরি করেছে সার্কেলসিআই-এনভি-ইন্সপেক্টর যেটি আপনি আপনার পরিবেশে পরিবর্তন করার জন্য প্রয়োজনীয় সমস্ত CI গোপনীয়তার JSON-ফরম্যাটেড তালিকা রপ্তানি করতে ব্যবহার করতে পারেন।

অতিরিক্তভাবে, সাইবার অপরাধীদের কাছে এখন অ্যাক্সেস টোকেন এবং ক্রিপ্টোগ্রাফিক কী থাকতে পারে যা তাদের আপনার নিজের নেটওয়ার্কে ফিরে যাওয়ার পথ দিতে পারে, বিশেষ করে কারণ CI বিল্ড প্রসেসকে কখনও কখনও কোড বা ডেটার অনুরোধ করতে "হোম কল" করতে হয় যা আপনি করতে পারেন না বা চান না। ক্লাউডে আপলোড করতে (যে স্ক্রিপ্টগুলি এটি করে সেগুলি জারগন হিসাবে পরিচিত রানার্স).

সুতরাং, সার্কেলসিআই পরামর্শ দেয়:

আমরা 2022-12-21 থেকে শুরু করে [2023-01-04 পর্যন্ত এবং সহ], অথবা [আপনার গোপনীয়তা পরিবর্তন] সম্পন্ন করার পরে যেকোনো অননুমোদিত অ্যাক্সেসের জন্য গ্রাহকদের তাদের সিস্টেমের জন্য অভ্যন্তরীণ লগ পর্যালোচনা করার পরামর্শ দিই।

আশ্চর্যজনকভাবে, বোধগম্য হলে, কিছু গ্রাহক উল্লেখ করেছেন যে সার্কেলসিআই যে তারিখে এই লঙ্ঘন শুরু হয়েছিল [2022-12-21] সেই তারিখটি শুধুমাত্র একটি ব্লগ পোস্টের সাথে মিলে যায়। কোম্পানি প্রকাশিত সাম্প্রতিক নির্ভরযোগ্যতা আপডেট সম্পর্কে।

গ্রাহকরা জানতে চেয়েছিলেন, "এই আপডেটে বাগগুলির সাথে সম্পর্কিত লঙ্ঘন কি প্রবর্তিত হয়েছিল?"

প্রদত্ত যে কোম্পানির নির্ভরযোগ্যতা আপডেট নিবন্ধগুলি নির্দিষ্ট তারিখে করা স্বতন্ত্র পরিবর্তনের ঘোষণার পরিবর্তে সংবাদ সারসংক্ষেপ ঘূর্ণায়মান বলে মনে হচ্ছে, স্পষ্ট উত্তর হল, "না"...

…এবং CircleCI বলেছে যে নির্ভরযোগ্যতা ব্লগ পোস্টের জন্য 2022-12-21 তারিখের কাকতালীয় তারিখটি ছিল: একটি কাকতালীয়।

শুভ কিরিজেনিং!

---

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• উত্স: https://nakedsecurity.sophos.com/2023/01/09/circleci-code-building-service-suffers-total-credential-compromise/