NewsMore in News →
Trivy Security Scanner ను Major Supply-Chain Attack ద్వారా హిట్ చేయబడింది
హ్యాకర్లు దొరికిన credentials ను ఉపయోగించి Trivy vulnerability scanner యొక్క దాదాపు అన్ని versions కు malicious dependencies ను force-push చేశారు, ఇది వేలాది organizations యొక్క CI/CD pipelines ను compromise చేయవచ్చు మరియు emergency credential rotation response ను ప్రేరేపించింది.
Key Takeaways
- దొరికిన credentials దాదాపు సమస్త trivy-action మరియు setup-trivy tags లలో malicious dependencies ను force-push చేయడానికి అనుమతించింది
- Force-pushing commit history ను silently replace చేస్తుంది tag names unchanged ఉంటూ, developer detection ను evade చేస్తూ
- Compromised actions సమస్త CI/CD secrets కు access కలిగి ఉంది production deployment credentials సహా
- Experts Actions ను mutable tag names కంటే immutable commit SHA hashes కు pin చేయాలని recommend చేస్తారు
DE
DT Editorial AI··via arstechnica.com