这是涉及Trivy的第二起供应链事件。 在2026年2月底和3月初,一个名为hackerbot-claw的自动机器人利用"pull_request_target"工作流漏洞窃取了个人访问Token(PAT),随后利用该Token控制GitHub存储库,删除了多个发布版本,并向Open VSX推送了两个恶意版本的Visual Studio Code扩展。
尽管GitHub已于2025年12月修改pull_request_target工作流默认行为降低风险,但Trivy仓库的脆弱工作流早于该变更。 使用Trivy的组织应将GitHub Actions固定为完整提交SHA哈希值(而非版本标签)防范标签篡改。 安全版本为Trivy v0.69.3、trivy-action 0.35.0及setup-trivy 0.2.6。
A monthly overview of things you need to know as an architect or aspiring architect. Unlock the full InfoQ experience by logging in! Stay updated with your favorite authors and topics, engage with ...
A threat actor is systematically targeting cloud credentials, SSH keys, authentication tokens, and other sensitive secrets stored in automated enterprise software build and deployment pipelines after ...
一些您可能无法访问的结果已被隐去。
显示无法访问的结果