[!quote]+ 
由 Aqua Security 维护的流行开源漏洞扫描器 Trivy 在一个月内第二次遭到入侵，被恶意软件窃取了敏感的 CI/CD 秘密。 
最新事件影响了 GitHub 操作 "aquasecurity/trivy-action "和 “aquasecurity/setup-trivy”，这两个操作分别用于扫描 Docker 容器镜像中的漏洞和使用特定版本的扫描仪设置 GitHub 操作工作流。 
"Socket 安全研究员 Philipp Burckhardt 说："我们发现，攻击者强行推送了 aquasecurity/trivy-action 代码库中 76 个版本标签中的 75 个，该代码库是用于在 CI/CD 管道中运行 Trivy 漏洞扫描的官方 GitHub Action。"这些标签被修改为恶意有效载荷，实际上将可信的版本引用变成了信息窃取者的分发...