The Apache Software Foundation Blog
·
Trivy安全事件初步报告
💡
原文英文,约300词,阅读约需1分钟。
📝
内容提要
2026年3月19日,Trivy漏洞扫描器版本0.69.4遭遇安全事件,含恶意代码,可能窃取GitHub Secrets中的凭证。ASF项目受影响,已暂停所有“验证创建者”操作,正在调查是否有机密泄露。
🎯
关键要点
- 2026年3月19日,Trivy漏洞扫描器版本0.69.4遭遇安全事件,含恶意代码。
- 恶意代码可能窃取GitHub Secrets中的凭证。
- 受影响的ASF项目已暂停所有“验证创建者”操作,正在调查是否有机密泄露。
- 少数ASF项目在其构建工作流中使用了trivy GitHub Action。
- ASF基础设施和安全团队正在调查是否有机密和Git仓库被泄露。
- 受影响的ASF项目可以通过Jira提交工单,或在Slack的#asfinfra频道讨论。
❓
延伸问答
Trivy漏洞扫描器的安全事件发生在什么时候?
2026年3月19日。
Trivy版本0.69.4的安全事件涉及哪些恶意行为?
该版本含有恶意代码,可能窃取GitHub Secrets中的凭证。
受Trivy安全事件影响的项目采取了什么措施?
受影响的ASF项目已暂停所有“验证创建者”操作,并正在调查是否有机密泄露。
如何报告与Trivy安全事件相关的问题?
受影响的ASF项目可以通过Jira提交工单,或在Slack的#asfinfra频道讨论。
Trivy安全事件对构建工作流有什么影响?
可能导致构建失败,需要项目通过Infra GHA审批流程请求添加新版本的操作。
ASF基础设施和安全团队在调查什么?
他们正在调查是否有机密和Git仓库被泄露。
🏷️
标签
➡️
