Violation de la chaîne d'approvisionnement de Codecov : Questionnaire gratuit pour évaluer le risque lié à un tiers

1) L'organisation utilise-t-elle l'un des téléchargeurs suivants ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

Texte d'aide : Les téléchargeurs spécifiés ne concernent que Codecov.

a) Codecov-actions uploader pour GitHub
b) Codecov CircleCI Orb
c) Codecov Bitrise Step

2) Si oui, l'organisation a-t-elle été touchée par la récente attaque de la chaîne d'approvisionnement de Codecov ?

(Veuillez en choisir un.)

Texte d'aide :

Impact significatif : L'attaque cyber a provoqué l'arrêt du fonctionnement ou l'indisponibilité de systèmes ou d'infrastructures. Il y a eu une perte de confidentialité ou d'intégrité des données.

Impact élevé : La disponibilité du service a été périodiquement perdue, et il est possible que certains systèmes s'arrêtent périodiquement. Une certaine perte de confidentialité ou d'intégrité des données.

Faible impact : Aucune perte de confidentialité ou d'intégrité des données ; perturbation minimale ou nulle de la disponibilité du service.

a) L'impact est important.
b) L'impact sur notre réseau, nos opérations informatiques ou nos produits de sécurité est élevé.
c) L'impact sur notre réseau, nos opérations informatiques ou nos produits de sécurité a été faible.
d) L'attaque cyber n'a eu aucun impact sur notre réseau, nos opérations informatiques ou nos produits de sécurité.

3) Suite aux conseils de Codecov, l'organisation a-t-elle pris les mesures suivantes ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

Texte d'aide :

Les organisations peuvent déterminer les clés et les jetons qui sont mis en surface dans l'environnement de CI en exécutant la commande env dans le pipeline de CI de l'organisation.

Si tout ce qui est renvoyé par cette commande est considéré comme privé ou sensible, Codecov recommande d'invalider l'identifiant et d'en générer un nouveau.

a) Re-roll de tous les credentials situés dans les variables d'environnement de nos processus CI qui ont utilisé un des Bash Uploaders de Codecov.
b) Re-roll de tous les tokens situés dans les variables d'environnement de nos processus CI qui ont utilisé un des Bash Uploaders de Codecov.
c) Re-roll de toutes les clés situées dans les variables d'environnement de nos processus CI qui ont utilisé un des Bash Uploaders de Codecov.

4) L'organisation a-t-elle remplacé les fichiers bash utilisés par la version la plus récente disponible auprès de Codecov ?

(Veuillez en choisir un.)

Texte d'aide :

Toute organisation qui utilise une version stockée localement d'un Bash Uploader doit vérifier les points suivants dans cette version :

curl -sm 0.5 -d "$(git remote -v)

Si cela apparaît n'importe où dans le téléchargeur Bash stocké localement, l'organisation doit immédiatement remplacer les fichiers bash par la version la plus récente de https://codecov.io/bash.

a) Oui, nous avons mis à jour notre version des fichiers Bash avec la plus récente de Codecov.
b) Non, nous n'avons pas mis à jour notre version des fichiers Bash avec la plus récente de Codecov.

5) L'attaque de la chaîne d'approvisionnement a-t-elle exposé des informations sensibles sur les clients ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

Texte d'aide :

Les informations sensibles relatives aux clients sont définies comme tout matériel qui peut avoir un impact négatif sur le client s'il est exposé à des parties non autorisées. Les conséquences peuvent être, entre autres, une atteinte à la réputation, des pénalités financières, un manque à gagner ou une perte d'avantage concurrentiel.

a) Oui, une enquête en cours permet de déterminer le niveau d'exposition.
b) Oui, une enquête est terminée et toutes les parties concernées ont été informées.
c) Non, les informations sensibles des clients n'ont pas été touchées.
d) Nous ne sommes pas en mesure de le confirmer pour le moment.