CodecovのBash Uploaderが書き換えられた件 - keroxpのScrapboxhttps://about.codecov.io/security-update/ 2021/04/15、コードカバレッジの記録サービスであるCodecovから上記のようなアナウンスが有った 端的に言うと、CodecovがCI上で使っているカバレッジファイルのアップロードスクリプトであるBashスクリプトが何者かに書き換えられ、それが3ヶ月(01/31~)気が付かなかったらしい Bash Scriptは以下のようにCurl経由で直接形で実行する形式だった code:bash bash <(curl -s xxxxx/xxx.sh) で、今回このリモートにあるbashファイルがまるごと書き換えられたとのこと その結果、これを使っている各種プロジェクトのCIマシン上の機密データがぶっこ抜かれたらしい 何がどこからどの程度抜かれたのかは不明なのですが、上記レポートによればそういったデータが外部の
