NewsMore in News →
Trivy Security Scanner von großem Supply-Chain-Angriff getroffen
Hacker nutzten gestohlene Anmeldedaten, um bösartige Dependencies in fast alle Versionen des weit verbreiteten Trivy-Vulnerability-Scanners einzuschieben, was möglicherweise CI/CD-Pipelines bei Tausenden von Organisationen gefährdet und eine Notfall-Anmeldedaten-Rotation ausgelöst hat.
Key Takeaways
- Gestohlene Anmeldedaten ermöglichten das Force-Pushing bösartiger Dependencies in fast alle trivy-action- und setup-trivy-Tags
- Force-Pushing ersetzt die Commit-Historie stillschweigend, während die Tag-Namen unverändert bleiben und Entwicklererkennung vermieden wird
- Kompromittierte Actions hatten Zugriff auf alle CI/CD-Secrets, einschließlich Produktionsbereitstellungs-Anmeldedaten
- Experten empfehlen, Actions an unveränderliche Commit-SHA-Hashes anzuheften, anstatt an veränderbare Tag-Namen
DE
DT Editorial AI··via arstechnica.com