Trivy 安全扫描器遭供应链攻击：数百万 CI/CD 管道面临风险

Trivy 安全扫描器遭供应链攻击：数百万 CI/CD 管道面临风险

广泛使用的 Trivy 安全扫描器——一款被数千家组织信赖的开源工具，用于容器镜像和基础设施漏洞扫描——已被证实遭到供应链攻击。这一事件在 DevOps 和云原生安全社区引发了巨大震动。

事件概述

由 Aqua Security 维护的 Trivy 通过其供应链被注入了恶意代码：

• 恶意包：被篡改的 Trivy 依赖版本被发布到包注册中心
• CI/CD 管道风险：在构建管道中运行被篡改版本的 Trivy 的组织可能暴露了敏感的基础设施信息
• 检测难度：攻击使用了复杂的混淆技术来逃避标准安全扫描的检测

为何重要

Trivy 是云原生生态系统中最受欢迎的开源安全扫描器之一：

• GitHub Stars：24,000+
• 月下载量：数百万次
• 用途：扫描容器镜像、文件系统、Git 仓库、Kubernetes 集群和 IaC 配置
• 集成：内置于 GitHub Actions、GitLab CI 和大多数主要 CI/CD 平台

被篡改的 Trivy 意味着组织用来检测安全漏洞的工具本身成了漏洞。

立即行动

安全团队应该：

1. 验证 Trivy 版本：检查所有 CI/CD 管道中的 Trivy 版本并更新到最新验证版本
2. 审计管道日志：审查构建日志中 Trivy 扫描期间的任何可疑活动
3. 轮换凭证：如果 Trivy 有注册中心凭证访问权限，立即轮换
4. 监控出站流量：监视构建基础设施的异常出站连接

更广泛的供应链问题

这次攻击是针对安全工具本身的供应链攻击趋势的一部分：

• XZ Utils（2024）：被大多数 Linux 发行版使用的压缩库中的后门
• SolarWinds（2020）：通过 Orion 平台更新的国家级攻击
• Codecov（2021）：Bash 上传脚本被篡改以泄露密钥

当保护你的工具被篡改时，攻击面会急剧扩大。

来源: Ars Technica | 完整报道