Gdiepen

**Nome do software vulnerável e versões afetadas** Versões do Vela anteriores à 0.23.2 **Descrição** Os pipelines do Vela podem usar substituição de variáveis combinada com campos não confidenciais, como `parameters`, `image` e `entrypoint`, para injetar segredos em um plugin/imagem e contornar o mascaramento de logs, expondo segredos sem o uso do bloco de comandos. Esse comportamento inesperado afeta principalmente segredos restritos pela opção “no commands”, levando ao uso indesejado do valor do segredo e ao aumento do risco de exposição do segredo durante a execução da imagem. O autor do pipeline deve fornecer segredos a um plugin que imprima parâmetros nos logs, e os parâmetros devem ser tratados como insensíveis. Embora o Vela ofereça mascaramento de segredos, a exposição de segredos não é totalmente resolvida pelo processo de mascaramento, e cabe ao usuário final compreender como os valores injetados em um plugin são utilizados. **Recomendações** Para versões anteriores à 0.23.2, atualize para a versão 0.23.2 para resolver o problema. Para usuários que não possam atualizar, não forneça valores confidenciais a plug-ins que possam potencialmente expô-los, especialmente em `parameters` que não se destinam a ser usados para valores confidenciais. Certifique-se de que os plug-ins sigam as melhores práticas para evitar o registro de parâmetros que se espera que sejam confidenciais. Minimize o uso de segredos com eventos `pull request` habilitados. Utilize a configuração de aprovação de compilação, restringindo compilações de usuários não confiáveis. Limite o uso de segredos compartilhados, pois eles são, por natureza, menos restritivos quanto ao acesso.