2026年3月19日の Trivy 再侵害の概要と対応指針 – やっていく気持ち
2026年3月19日の Trivy 再侵害の概要と対応指針 – やっていく気持ち
2026年3月19日、Aqua Security が提供するOSSセキュリティスキャナ Trivy のエコシステムが、3週間以内に2度目のサプライチェーン攻撃を受けました。攻撃者は aquasecurity/setup-trivy および aquasecurity/trivy-action の2つのGitHub Actionsに悪意あるコードを注入し、これらを利用するCI/CDパイプラインからクレデンシャルを大規模に窃取するペイロードを配布しました。
対応指針
Trivy バージョン v0.69.4 は偽。利用を避けてください。(筆者は現存する悪性バイナリを確認できていませんが…)
GitHub Actions の aquasecurity/setup-trivy、aquasecurity/trivy-action は、安全なコミットハッシュに利用を固定しましょう。
3月19日〜3月20日前後にCI/CDでこれらのActionを実行した場合は、ログ調査やクレデンシャルのローテーション等を検討ください。