CircleCI – koodi koostamise teenus kannatab täieliku mandaadi kompromissi all

Kui olete programmeerija, olenemata sellest, kas kodeerite oma hobi või ametialaselt, teate, et oma projektist uue versiooni loomine – ametlik väljalaskeversioon, mille teie ise, teie sõbrad või kliendid installite. ja kasutamine – on alati natukene valge-nukk sõita.

Lõppude lõpuks sõltub väljalaskeversioon kogu teie koodist, tugineb kõigile teie vaikeseadetele, kustub ainult teie avaldatud dokumentatsiooniga (kuid ilma siseteadmisteta) ja peab töötama isegi arvutites, mida te pole kunagi varem näinud, seadistatud konfiguratsioonid, mida te pole kunagi ette kujutanud, koos muu tarkvaraga, mille ühilduvust te pole kunagi testinud.

Lihtsamalt öeldes, mida keerulisemaks projekt muutub ja mida rohkem arendajaid selle kallal töötab, ja seda rohkem on eraldi komponente, mis peavad kõigi teistega sujuvalt töötama...

…seda tõenäolisem on, et kogu asi on palju vähem muljetavaldav kui osade summa.

Toores analoogiana mõelge sellele, et 100x4 m teatejooksu ei võida alati kõige kiiremate 100 m sprinteritega rajameeskond.

CI appi

Üks katse vältida seda tüüpi "aga see töötas minu arvutis hästi" kriisi on žargoonis tuntud tehnika Pidev integreeriminevõi CI lühidalt.

Idee on lihtne: iga kord, kui keegi teeb oma projektiosas muudatusi, haarake selle inimese uus kood ja viige ta koos uue koodiga läbi täieliku ehitus- ja testimistsükli, just nagu teeksite enne lõpliku versiooni loomist. versioon.

Ehitage varakult, ehitage sageli, ehitage kõike, ehitage alati!

On selge, et see on luksus, mida füüsilise maailma projektid ei talu: kui ehitate näiteks Sydney sadamasilda, ei saa te iga kord tervet katseperioodi täiesti uute toorainetega ümber ehitada. otsustage neetimisprotsessi näpistada või vaadata, kas mahub tippkohtumisele suuremad lipuvardad.

Isegi kui koostate arvutitarkvaraprojekti ühest hunnikust lähtefailidest väljundfailide kogumiks, tarbite väärtuslikke ressursse, näiteks elektrit, ja teil on vaja äkilist arvutusvõimsuse tõusu, et töötada koos kõigi arendajate arvutitega. ise kasutavad.

Lõppude lõpuks ei ole CI-d kasutavates tarkvaratehnoloogia protsessides mõte oodata, kuni kõik on valmis, ja seejärel, et kõik astuksid programmeerimisest tagasi ja ootaksid lõpliku ehituse valmimist.

Ehitamine toimub kogu päeva ja iga päev, et kodeerijad saaksid pikalt ette teada, kui nad on tahtmatult teinud "täiustusi", mis mõjutavad negatiivselt kõiki teisi – konstruktsiooni purustamine, nagu žargoon võib öelda.

Idee on järgmine: ebaõnnestuge varakult, parandage kiiresti, parandage kvaliteeti, tehke prognoositavaid edusamme ja tarnige õigeaegselt.

Muidugi, isegi pärast edukat testehitamist võib teie uues koodis endiselt vigu esineda, kuid vähemalt ei jõua te arendustsükli lõpuni ega leia, et kõik peavad minema tagasi joonistuslauale, et saada tarkvara üldse ehitada ja töötada, sest erinevad komponendid on rivist välja triivinud.

Varaseid tarkvaraarenduse meetodeid nimetati sageli järgmisteks a juga mudel, kus kõik töötasid harmooniliselt, kuid sõltumatult, kui projekt triivis versioonitähtaegade vahel õrnalt allajõge, kuni tsükli lõpus kõik kokku tuli, et luua uus versioon, mis oli valmis sukelduma üle versiooniuuenduse tormilise kose, et tõusta teiseks. õrn selge vee periood allavoolu edasiseks projekteerimiseks ja arendamiseks. Üks nende "koskede" probleem oli aga see, et sageli sattusite ilmselt lõputusse ringikujulisse pöörisesse otse kose servas, hoolimata gravitatsioonist, ega pääsenud üle järsaku servast kuni pikkade sissemurdmisteni ja muudatused (ja samaaegsed ülesõidud) tegid edasisõidu võimalikuks.

Lihtsalt töö pilve jaoks

Nagu võite ette kujutada, tähendab CI kasutuselevõtt seda, et teie käsutuses on hunnik võimsaid töövalmis servereid alati, kui mõni teie arendajatest käivitab ehitus- ja testimisprotseduuri, et vältida sellesse "kinnijäämist". kose huul” olukorda.

See kõlab nagu töö pilve jaoks!

Ja tõepoolest, see on paljude niinimetatud CI/CD pilveteenustega (see CD ei ole esitatav muusikaplaat, vaid stenogramm pidev kättetoimetamine).

CircleCI on üks selline pilvepõhine teenus…

…aga klientide kahjuks on nad lihtsalt rikkumist.

Tehniliselt ja nagu tänapäeval tavaline tundub, ei ole ettevõte tegelikult oma ametlikus teatises kusagil kasutanud sõnu "rikkumine", "sissetung" või "rünnak": siiani on see lihtsalt turvaintsident.

Algne teatama [2023-01-04] ütles lihtsalt, et:

Tahtsime teid teavitada, et uurime praegu turvaintsidenti ja meie uurimine on pooleli. Anname teile selle juhtumi kohta värskendusi ja oma vastuseid, kui need muutuvad kättesaadavaks. Siinkohal oleme kindlad, et meie süsteemides ei tegutse volitamata osalejaid; Siiski tahame väga ettevaatlikult tagada, et kõik kliendid võtaksid teatud ennetavaid meetmeid ka teie andmete kaitsmiseks.

Mida teha?

Sellest ajast peale on CircleCI pakkunud regulaarselt värskendusi ja täiendavaid nõuandeid, mis taandub enamasti järgmisele: "Palun pöörake kõiki CircleCI-s talletatud saladusi.

Nagu me varem selgitasime, on kõnepruuk pöörlema on siin halvasti valitud, sest see on pärand ohtlikust minevikust, kus inimesed sõna otseses mõttes "pöörlesid" paroole ja saladusi väikese arvu etteaimatavate valikute kaudu, mitte ainult seetõttu, et tollal oli uute paroolide jälgimine raskem, vaid ka seetõttu, et küberturvalisus oli t sama oluline kui täna.

CircleCI tähendab seda, et peate MUUTMA kõiki oma paroole, saladusi, juurdepääsulube, keskkonnamuutujaid, avaliku ja privaatse võtmepaare jne, arvatavasti seetõttu, et võrku murdnud ründajad varastasid teie oma või ei saa tõestada, et võrku murdnud ründajad. et nad varastas.

Ettevõttel on a esitas nimekirja erinevat tüüpi privaatsete turvaandmete kohta, mida rikkumine mõjutas, ja on loonud mugava skripti nimega CircleCI-Env-inspektor mida saate kasutada JSON-vormingus loendi eksportimiseks kõigist CI saladustest, mida peate oma keskkonnas muutma.

Lisaks võivad küberkurjategijatel nüüd olla juurdepääsumärgid ja krüptograafilised võtmed, mis võivad anda neile tagasitee teie võrku, eriti kuna CI ehitusprotsessid peavad mõnikord "koju helistama", et nõuda koodi või andmeid, mida te ei saa või ei taha. pilve üleslaadimiseks (skripte, mis seda teevad, tuntakse kõnepruugis kui jooksjad).

Niisiis, CircleCI soovitab:

Samuti soovitame klientidel alates 2022-12-21 [kuni 2023-01-04] või pärast [oma saladuste muutmist] läbi vaadata oma süsteemide sisemised logid volitamata juurdepääsu tuvastamiseks.

Huvitaval kombel, kui see on arusaadav, on mõned kliendid märkinud, et CircleCI pakutud kuupäev, mil see rikkumine algas [2022-12-21], langeb lihtsalt kokku ajaveebi postitusega. ettevõte avaldas hiljutiste töökindlusvärskenduste kohta.

Kliendid soovisid teada: "Kas rikkumine oli seotud selles värskenduses toodud vigadega?"

Arvestades, et ettevõtte usaldusväärsuse värskenduste artiklid näivad olevat jooksvate uudiste kokkuvõtted, mitte konkreetsetel kuupäevadel tehtud üksikute muudatuste teated, on ilmne vastus: "Ei" ...

…ja CircleCI on teatanud, et usaldusväärsuse ajaveebi postituse juhuslik kuupäev 2022-12-21 oli just see: kokkusattumus.

Head võtme taastamist!

---

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://nakedsecurity.sophos.com/2023/01/09/circleci-code-building-service-suffers-total-credential-compromise/