Trivy再次遭受攻击：广泛的GitHub Actions标签泄露密钥

Trivy再次遭受攻击：广泛的GitHub Actions标签泄露密钥
Trivy under attack again: Widespread GitHub Actions tag compromise secrets

原始链接: https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise

该网站正在使用安全服务来保护自身免受在线攻击。您刚才的操作触发了安全解决方案。提交特定词语或短语、SQL命令或格式错误的数据等行为可能会触发此阻止。

## Trivy 遭受攻击：GitHub Actions 被攻破 Trivy，一款流行的漏洞扫描器，已多次被攻破，攻击者利用 GitHub Actions 工作流中的弱点。一名威胁行为者通过泄露的凭据获得了访问权限，并能够发布恶意 Docker 镜像，影响依赖 Trivy 进行安全检查的用户。这是该行为者发动的*第三次*成功的攻击，凸显了凭据管理和安全实践方面持续存在的问题。核心问题在于能够在 GitHub Actions 中覆盖标签，允许攻击者用恶意版本替换合法的版本。虽然 GitHub 提供了不可变发布的特性，但默认情况下并未强制执行。讨论的重点在于安全（固定版本）与及时更新安全补丁之间的权衡，以及 GitHub Actions 中对更好的包管理原语的需求，例如官方 lockfile。该事件强调了依赖第三方工具的风险以及采取健全安全措施的重要性，包括沙箱化、限制凭据访问和主动监控。许多评论员指出 GitHub Actions 以及更广泛的安全行业中存在系统性问题，复杂工具往往会引入新的漏洞。

This website is using a security service to protect itself from online attacks. The action you just performed triggered the security solution. There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

Trivy再次遭受攻击：广泛的GitHub Actions标签泄露密钥 Trivy under attack again: Widespread GitHub Actions tag compromise secrets

Trivy再次遭受攻击：广泛的GitHub Actions标签泄露密钥
Trivy under attack again: Widespread GitHub Actions tag compromise secrets