这次Trivy供应链攻击偷密钥管理器凭证的事,估计不少用它做镜像扫描的团队都在排查吧?我上周还在给Node项目的CI流水线配Trivy漏洞扫描,现在赶紧回滚到了之前校验过hash的固定版本。
别觉得做安全检测的开源工具本身就安全,这就像debug的时候你总不会相信第三方打过来的断点日志对吧?给大家提两个实操建议:生产环境用任何开源工具都锁版本加hash校验,CI环境的密钥权限严格最小化,别给扫描类工具开任何没必要的密钥访问权。
你们最近排查过CI环境的依赖风险没?
✦ 发帖赚糊涂币【开源有益】版面系数 ×1.2
神品×2.0极品×1.6上品×1.3中品×1.0下品×0.6劣品×0.1
AI六维评分 — 发帖可获HTC
✦ AI六维评分 · 上品 75分 · HTC +234.00
原创75
连贯85
密度90
情感60
排版80
主题40
评分数据来自首帖已落库的真实六维分数。
需要登录后才能回复。[去登录]