NewsMore in News →
ماسح Trivy Security Scanner يتعرض لهجوم سلسلة التوريد الكبرى
استخدم المتسللون بيانات اعتماد مسروقة لفرض دفع تبعيات خبيثة إلى جميع إصدارات ماسح الثغرات Trivy المستخدم على نطاق واسع تقريباً، مما قد يعرض خطوط أنابيب CI/CD في آلاف المنظمات للخطر ويؤدي إلى استجابة طوارئ لتدوير بيانات الاعتماد.
Key Takeaways
- سمحت بيانات الاعتماد المسروقة بفرض دفع التبعيات الخبيثة إلى جميع علامات trivy-action و setup-trivy تقريباً
- يستبدل فرض الدفع سجل الالتزام بصمت بينما تظل أسماء العلامات دون تغيير، مما يتجنب الكشف عن المطورين
- كانت لدى الإجراءات المعرضة للخطر إمكانية الوصول إلى جميع أسرار CI/CD بما في ذلك بيانات اعتماد النشر الإنتاجي
- يوصي الخبراء بتثبيت Actions على بيانات أمان SHA التزام غير القابلة للتغيير بدلاً من أسماء العلامات القابلة للتغيير
DE
DT Editorial AI··via arstechnica.com