下文介绍了与 Cloud Build 相关的所有安全公告。
如需接收最新安全公告,请执行以下操作之一:
GCP-2026-042
发布日期: 2026-06-24
说明
| 说明 | 严重级别 | 备注 |
|---|---|---|
|
在创建或更新代码库连接时,Cloud Build 会使用 Secret Manager 密文向第三方 Git 提供商进行身份验证。对于 GitLab Enterprise (GLE) 和 Bitbucket Data Center (BBDC) 连接,这些引用的密文之前由 Cloud Build 服务代理 (P4SA) 代表您检索。这意味着,系统会根据 P4SA 的凭据而非调用正文的凭据执行权限检查。这样,权限有限的正文就可以通过将代码库连接主机 URI 指向攻击者控制的端点来读取引用的 Secret Manager 密文。 为了缓解此漏洞并遵循最小权限安全原则,Cloud Build 现在会在为 GitLab Enterprise (GLE) 和 Bitbucket Data Center (BBDC) 连接调用代码库连接 API 时,根据调用正文的凭据(使用最终用户凭据)和 P4SA 检查权限。具体而言,服务器现在会验证调用方和 P4SA 是否都拥有对引用的 Secret Manager 密文的 该怎么做? 对于现有代码库连接,您无需采取任何行动。如果您在创建或更新 GitLab Enterprise (GLE) 或 Bitbucket Data Center (BBDC) 代码库连接时遇到权限错误,请向创建或更新连接的用户或服务帐号授予对引用的密文的 Secret Manager Secret Accessor ( 该补丁程序解决了哪些漏洞? 此漏洞允许具有代码库连接管理员访问权限的用户读取引用的 Secret Manager 密文,因为权限检查仅针对 P4SA 的凭据执行。通过要求针对 GitLab Enterprise (GLE) 和 Bitbucket Data Center (BBDC) 连接的调用正文(使用最终用户凭据)和 P4SA 执行权限检查,只有获得对密文的 |
低 |
GCP-2023-013
发布日期: 2023-06-08
说明
| 说明 | 严重级别 | 备注 |
|---|---|---|
|
当您在项目中启用 Cloud Build API 时,
Cloud Build 会自动创建一个
默认服务账号 来
代表您执行 build。此 Cloud Build 旧版服务帐号之前具有 该怎么做? 用户无需采取进一步行动。我们已撤消 Cloud Build 旧版服务帐号的 该补丁程序解决了哪些漏洞? 此漏洞授予 build 列出私密日志的权限。
由于我们已撤消 Cloud Build 旧版服务帐号的 |
低 |