NewsMore in News →
Trivy Security Scanner Atingido por Ataque de Cadeia de Suprimentos
Hackers usaram credenciais roubadas para forçar envios de dependências maliciosas em quase todas as versões do scanner de vulnerabilidades Trivy amplamente utilizado, potencialmente comprometendo pipelines CI/CD em milhares de organizações e provocando uma resposta de rotação de credenciais de emergência.
Key Takeaways
- Credenciais roubadas permitiram forçar envios de dependências maliciosas em praticamente todas as tags trivy-action e setup-trivy
- Forçar envios substitui silenciosamente o histórico de commits enquanto nomes de tags permanecem inalterados, evitando detecção por desenvolvedores
- Ações comprometidas tinham acesso a todos os segredos CI/CD incluindo credenciais de implantação de produção
- Especialistas recomendam fixar Actions em hashes SHA de commit imutáveis em vez de nomes de tag mutáveis
DE
DT Editorial AI··via arstechnica.com