Trivy安全事件初步报告
💡
原文英文,约300词,阅读约需1分钟。
📝
内容提要
2026年3月19日,Trivy漏洞扫描器版本0.69.4遭遇安全事件,含恶意代码,可能窃取GitHub Secrets中的凭证。ASF项目受影响,已暂停所有“验证创建者”操作,正在调查是否有机密泄露。
🎯
关键要点
-
2026年3月19日,Trivy漏洞扫描器版本0.69.4遭遇安全事件,含恶意代码。
-
恶意代码可能窃取GitHub Secrets中的凭证。
-
受影响的ASF项目已暂停所有“验证创建者”操作,正在调查是否有机密泄露。
-
少数ASF项目在其构建工作流中使用了trivy GitHub Action。
-
ASF基础设施和安全团队正在调查是否有机密和Git仓库被泄露。
-
受影响的ASF项目可以通过Jira提交工单,或在Slack的#asfinfra频道讨论。
🏷️
标签
➡️
