Крупнейший взлом Trivy, продолжение Прошлый раз были, оказывается, лишь цветочки. https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise В результате новой атаки были подменены 75 из 76 тэгов версий Trivy. Все, кто использовал версию кроме 0.35.0 (или просто все, начиная от 0.18.0 с промежуточными), получили вредоносный коммит, который крадёт: - AWS/GCP/Azure креды - SSH-ключи - git-credentials - Kubernetes service account tokens и секреты - GitHub Secret, переданные в GitHub Runner - Крипто-кошельки Пострадали более 10000 GitHub workflow-файлов, которые используют trivy-action по тегу версии. Что делать прямо сейчас Если у вас есть исполнения с: uses: aquasecurity/trivy-action@<любая версия кроме 0.35.0> считайте, что ваши данные уже записаны "где не надо". Безопасные варианты только два: - Тег @0.35.0 - Пин по SHA: aquasecurity/trivy-action@57a97c7e7821a5776cebc9bb87c984fa69cba8f1 Как признак проблем - проверить в GitHub логах запросы к репозиторию tpcp-docs, который использовался в такой схеме врагами. Лучи поддержки команде Trivy. Всем, кто использовал trivy-action в последнее время — перепроверить и в любом случае лучше обновить секреты.