这是涉及Trivy的第二起供应链事件。 在2026年2月底和3月初,一个名为hackerbot-claw的自动机器人利用"pull_request_target"工作流漏洞窃取了个人访问Token(PAT),随后利用该Token控制GitHub存储库,删除了多个发布版本,并向Open VSX推送了两个恶意版本的Visual Studio Code扩展。
尽管GitHub已于2025年12月修改pull_request_target工作流默认行为降低风险,但Trivy仓库的脆弱工作流早于该变更。 使用Trivy的组织应将GitHub Actions固定为完整提交SHA哈希值(而非版本标签)防范标签篡改。 安全版本为Trivy v0.69.3、trivy-action 0.35.0及setup-trivy 0.2.6。
一些您可能无法访问的结果已被隐去。
显示无法访问的结果