NewsMore in News →
Trivy Security Scanner ला Major Supply-Chain Attack मारून गेले
हॅकर्सने चोरीचे credentials वापरून Trivy vulnerability scanner च्या जवळजवळ सर्व आवृत्त्यांमध्ये malicious dependencies ला force-push केले, ज्यामुळे हजारो organizations च्या CI/CD pipelines ला संभवतः compromise केले जाऊ शकते आणि emergency credential rotation response ला प्रेरेपित केले.
Key Takeaways
- चोरीचे credentials ने जवळजवळ सर्व trivy-action आणि setup-trivy tags मध्ये malicious dependencies ला force-push करणे शक्य केले
- Force-pushing commit history ला silently replace करते tag names unchanged ठेवून, developer detection ला evade करून
- Compromised actions ला सर्व CI/CD secrets ला access होता production deployment credentials सह
- Experts मुलांना mutable tag names ऐवजी immutable commit SHA hashes ला pin करण्याची recommend करतात
DE
DT Editorial AI··via arstechnica.com