TeamPCP对Aqua Security的Trivy扫描器实施供应链攻击，导致npm、PyPI和GitHub Actions的凭证被盗，影响数百万次下载。攻击者通过篡改Trivy二进制文件和GitHub Actions窃取敏感信息，并利用这些凭证攻击其他开源项目，暴露了开源安全的脆弱性，提醒开发者加强安全措施。

RSigma是一种快速检测和分析审计日志的工具。在一次真实的供应链攻击调查中，RSigma通过22条规则评估了约30万个GitHub审计日志事件，结果未发现活跃攻击的证据。尽管Docker Hub的调查因数据限制未能得出明确结论，但此次事件揭示了审计日志的可观察性缺口，推动了后续的补救措施。

2026年3月19日，Trivy漏洞扫描器版本0.69.4遭遇安全事件，含恶意代码，可能窃取GitHub Secrets中的凭证。ASF项目受影响，已暂停所有“验证创建者”操作，正在调查是否有机密泄露。

每周五更新重要版本信息，记录新版本发布，忽略小版本的bug修复，包括多个项目如pendulum、hugo、trivy等的最新版本链接。

每周五更新重要版本信息，不记录bug修复，列出多个项目的最新版本链接，包括envoyproxy、SponsorBlock和trivy等。

Trivy 是一款多功能安全扫描工具，能够检测容器、Kubernetes、代码库和云环境中的漏洞与敏感信息，支持多种编程语言和平台，并兼容 GitHub Actions。supabase-mcp 连接 Supabase 项目与 AI 助手，简化数据管理。tap4-ai-webui 是开源 AI 工具目录，支持一键部署和数据存储。OMOTE 是基于 ESP32 的遥控器，具备多种连接功能和长续航。rpcsx 是 Linux 上的 PS4 模拟器。

在云原生开发中，确保软件工件的完整性和安全性至关重要。Trivy用于漏洞检测，能够识别已知漏洞并生成软件材料清单（SBOM）；Open Policy Agent（OPA）则通过政策编码管理安全规则。两者结合可实现自动化扫描和合规性检查，提升软件供应链安全性，降低风险。

每周五更新重要软件版本信息，记录新版本发布，忽略小版本的bug修复。提供多个项目的更新链接，包括ha_xiaomi_home、jumpserver和trivy等。

使用GitHub工作流自动化管理GHCR镜像的安全性和更新，通过Trivy扫描漏洞，利用Copacetic进行修补，并将更新后的镜像推送至GHCR。工作流分为设置和修补两个任务，以确保高效处理每个镜像。

容器镜像的安全漏洞可以直接修复，无需重建基础镜像。通过Trivy扫描镜像，使用Copacetic应用补丁，最后将修复后的镜像推送到注册中心。Copacetic支持更新所有包或仅修复特定漏洞，确保高效修复。

Trivy是一个开源漏洞扫描工具，能够快速检测容器镜像和应用依赖中的漏洞，支持Docker和Kubernetes，便于用户在CI/CD流程中自动化安全检查，确保应用安全。

OWASP、Trivy和Docker Scout是三种安全工具，分别关注Web应用安全、容器镜像扫描和Docker安全。OWASP提供安全资源，Trivy专注于容器和基础设施漏洞检测，而Docker Scout帮助开发者确保容器镜像安全。结合使用这些工具可实现全面的DevOps安全策略。

本文介绍了如何在GitLab中使用Trivy设置安全扫描CI管道。首先创建.gitlab-ci.yml文件，定义扫描作业和配置。提交并推送该文件后，GitLab会自动触发管道并生成扫描报告，从而实现安全扫描的自动化，提高项目安全性。