2021/4/15 にcodecovからこんなメールが届きました。
On Thursday, April 1st, we learned that someone had gained unauthorized access to our Bash Uploader script >and modified it without our permission. The actor gained access because of an error in Codecov’s Docker image >creation process that allowed the actor to extract the credential required to modify our Bash Uploader >script.
Unfortunately, we can confirm that you were impacted by this security event.
We strongly recommend taking action by reading our security notice about this event to understand how you are >impacted and next steps you should take.
つまり、CodecovのDockerイメージ作成プロセスでBashアップローダースクリプトの変更に必要なクレデンシャルを抽出できるようになってしまっていて、あなたはまさに影響を受けます。 とのこと・・・
以下に公式でアナウンスされています。
こちらも英語ですが要約すると
- 2021年1月31日以降、Bash Uploader scriptに継続的に不正アクセスがあり、CI環境の情報をどこかに送信されていたことが分かったよ
- Bash Upploaderをローカルから使ってた場合は多分大丈夫だけど、それ以外だとクレデンシャルとか抜かれた可能性が高いよ
- GitHub Actions、CircleCI Orb、Codecov Bitrise Step、とかがこのBash Uploaderっての使ってるからつまり前述のCI環境使ってる人は直ちに対応してね
- 具体的な影響はCIランナーで使っていたクレデンシャル、トークン、キーやこれらと同じものを使ってアクセスできるサービスとかデータストアとかアプリケーションコードとかだよ。あと、codecovを使ってるgitのオリジンリポジトリのURLもバレたよ
とのことです。
影響されるユーザーは上記のCIプロセスの環境変数なるすべての資格情報、トークン、キーをすぐに再ロールせよとのことです。
私も以下の記事にてCodecovを該当レポジトリに使用していますので、そちらの対応を本記事に記載しておきます。
TOKENの再生成方法
codecovのページへログインし、設定を変更するリポジトリを表示します。
Settings - Repository Upload Token の中の Regenerate をクリックし、トークンを再生成します。
再生成後はトークンをコピーしておきます。
対象のGitHubリポジトリに行きSettings - Secrets で今まで設定していたRepository secretsを削除します。
同画面でNew Repository secretをクリックし、NameにCODECOV_TOKEN、Valueにコピーしておいたトークンを貼り付けます。
※こちらの環境変数は設定しているGitHub Actionsで指定している環境変数を指定してください。
設定変更後の確認
設定変更は完了したはずですので、試しにcodecovにアップロードしてみます。
私は無事アップロード出来ていました。
codecov側でも正しく反映されていました。
これで対応は完了です。