安全性公告

以下說明與 Developer Connect 相關的所有安全性公告。

如要接收最新的安全公告,請執行下列任一操作:

GCP-2026-048

發布日期:2026-07-13

說明

說明 嚴重性 附註

建立或更新存放區連線時,Developer Connect 會使用 Secret Manager 密鑰向第三方 Git 提供者進行驗證。如果是 GitLab Enterprise (GLE) 和 Bitbucket Data Center (BBDC) 連線,這些參照的密鑰先前是由 Developer Connect 服務代理程式 (P4SA) 代表您擷取。這表示系統會根據 P4SA 的憑證 (而非呼叫主體的憑證) 執行權限檢查。這樣一來,權限有限的主體就能將存放區連線主機 URI 指向攻擊者控制的端點,進而讀取參照的 Secret Manager 密鑰。

為減輕這項安全漏洞的影響,並遵守最低權限安全原則,Developer Connect 現在會同時根據呼叫主體的憑證 (使用使用者憑證) 和 P4SA 檢查權限,再呼叫 GitLab Enterprise (GLE) 和 Bitbucket Data Center (BBDC) 連線的存放區連線 API。具體來說,伺服器現在會驗證呼叫者和 P4SA 是否都擁有參照的 Secret Manager 密鑰的 secretmanager.versions.access IAM 權限。

我該怎麼做?

現有的存放區連線無須採取任何行動。如果建立或更新 GitLab Enterprise (GLE) 或 Bitbucket Data Center (BBDC) 存放區連線時發生權限錯誤,請將參照的密鑰的 Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) 角色授予建立或更新連線的使用者或服務帳戶。

這個修補程式修正了哪些安全漏洞?

這項安全漏洞允許具備存放區連線管理員存取權的使用者讀取參照的 Secret Manager 密鑰,因為系統只會根據 P4SA 的憑證執行權限檢查。針對 GitLab Enterprise (GLE) 和 Bitbucket Data Center (BBDC) 連線,系統會要求對呼叫主體 (使用使用者憑證) 和 P4SA 進行權限檢查,因此只有在密碼上獲得 secretmanager.versions.access IAM 權限 (除了 P4SA 本身) 的授權使用者,才能在存放區連線中使用密碼。