NewsMore in News →
Trivy Security Scannerがサプライチェーン攻撃の影響を受ける
ハッカーが盗まれた認証情報を使用して、広く使用されているTrivyの脆弱性スキャナのほぼすべてのバージョンに悪意のある依存関係を強制的にプッシュし、何千もの組織のCI/CDパイプラインを危険にさらす可能性があり、緊急の認証情報ローテーション対応をトリガーしました。
Key Takeaways
- 盗まれた認証情報により、ほぼすべてのtrivy-actionとsetup-trivyタグへの悪意のある依存関係の強制的なプッシュが可能になった
- フォースプッシュはタグ名が変更されないままコミット履歴を無音で置き換え、開発者による検出を回避します
- 侵害されたアクションは、本番環境デプロイ認証情報を含むすべてのCI/CDシークレットへのアクセス権を持っていました
- 専門家は、変更可能なタグ名ではなく、不変のコミットSHAハッシュにActionsをピン留めすることをお勧めします
DE
DT Editorial AI··via arstechnica.com