原始發行日期:2021年4月30日
CISA意識到Codecov軟件供應鏈的一個漏洞,其中惡意威脅者從2021年1月31日開始對Codecov的Bash Uploader腳本進行未經授權的更改。一旦發現此漏洞,2021年4月1日,Codecov立即修復受影響的腳本。 。在2021年4月15日,Codecov通知了客戶有關的危害,並在2021年4月29日,Codecov發布了更新,其中包含新的檢測結果-包括危害指標(IOC)和可能危害環境變量的非詳盡數據集-以幫助組織在確定他們是否受到影響。
CISA敦促所有Codecov用戶查看Codecov更新,並:
- 搜索提供的IOC。
- 登錄到Codecov以查看特定於其組織和存儲庫的任何其他信息。
受影響的用戶應立即執行 受影響用戶的建議措施 和 常問問題 Codecov的更新部分。 CISA建議特別注意Codecov關於更改(“重新滾動”)可能受影響的憑據,令牌和密鑰的指南。 CISA還建議撤銷並重新發行任何可能受影響的證書。
提供此產品時要遵守本通知以及本隱私和使用政策。