安全公告

下文介绍了与 Cloud Build 相关的所有安全公告。

如需接收最新安全公告,请执行以下操作之一:

GCP-2026-042

发布日期: 2026-06-24

说明

说明 严重级别 备注

在创建或更新代码库连接时,Cloud Build 会使用 Secret Manager 密文向第三方 Git 提供商进行身份验证。对于 GitLab Enterprise (GLE) 和 Bitbucket Data Center (BBDC) 连接,这些引用的密文之前由 Cloud Build 服务代理 (P4SA) 代表您检索。这意味着,系统会根据 P4SA 的凭据而非调用正文的凭据执行权限检查。这样,权限有限的正文就可以通过将代码库连接主机 URI 指向攻击者控制的端点来读取引用的 Secret Manager 密文。

为了缓解此漏洞并遵循最小权限安全原则,Cloud Build 现在会在为 GitLab Enterprise (GLE) 和 Bitbucket Data Center (BBDC) 连接调用代码库连接 API 时,根据调用正文的凭据(使用最终用户凭据)和 P4SA 检查权限。具体而言,服务器现在会验证调用方和 P4SA 是否都拥有对引用的 Secret Manager 密文的 secretmanager.versions.access IAM 权限。

该怎么做?

对于现有代码库连接,您无需采取任何行动。如果您在创建或更新 GitLab Enterprise (GLE) 或 Bitbucket Data Center (BBDC) 代码库连接时遇到权限错误,请向创建或更新连接的用户或服务帐号授予对引用的密文的 Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) 角色。

该补丁程序解决了哪些漏洞?

此漏洞允许具有代码库连接管理员访问权限的用户读取引用的 Secret Manager 密文,因为权限检查仅针对 P4SA 的凭据执行。通过要求针对 GitLab Enterprise (GLE) 和 Bitbucket Data Center (BBDC) 连接的调用正文(使用最终用户凭据)和 P4SA 执行权限检查,只有获得对密文的 secretmanager.versions.access IAM 权限(除了 P4SA 本身)的用户才能在代码库连接中使用这些密文。

GCP-2023-013

发布日期: 2023-06-08

说明

说明 严重级别 备注

当您在项目中启用 Cloud Build API 时, Cloud Build 会自动创建一个 默认服务账号 来 代表您执行 build。此 Cloud Build 旧版服务帐号之前具有 logging.privateLogEntries.list IAM 权限,默认允许 build 拥有列出私密日志的权限。 为遵循 最小权限原则,我们撤消了 Cloud Build 服务 账号的此权限。

该怎么做?

用户无需采取进一步行动。我们已撤消 Cloud Build 旧版服务帐号的 logging.privateLogEntries.list IAM 权限,并已推出修复方案。

该补丁程序解决了哪些漏洞?

此漏洞授予 build 列出私密日志的权限。 由于我们已撤消 Cloud Build 旧版服务帐号的 logging.privateLogEntries.list IAM 权限,因此 build 默认不再拥有列出私密日志的权限。