深度分析
從停擺到供應鏈風險:GitHub、Azure 遷移與 Copilot 的技術與治理挑戰
在微軟收購後,GitHub近年接連出現大規模停擺、內部倉庫遭入侵與重大資安揭露。其核心問題涵蓋服務遷移到Azure、CI/CD與外掛供應鏈的信任缺口,以及AI代碼工具的計費與整合策略變動。這些技術與治理選擇已衝擊系統可用性與供應鏈安全,並引發領導震盪與人才外流。
CI/CD
深度分析
Trivy 惡意發布引發供應鏈連鎖:Checkmarx、Bitwarden 與 TeamPCP/Lapsu$ 影響分析
Trivy漏洞掃描器的供應鏈入侵引發連鎖攻擊,駭客透過受信任工具植入惡意程式並掃描竊取儲存庫金鑰與憑證。TeamPCP販售存取權,Lapsu$隨後發布部分資料,導致Checkmarx與Bitwarden等資安廠商受波及,彰顯安全工具既是目標也是攻擊載具,進一步放大下游風險。
深度分析
Trivy 遭供應鏈攻擊:Git 標籤被強制推送植入惡意程式
Trivy掃描器在本月初遭供應鏈攻擊,攻擊者竊取憑證強制推送75個trivy-action與7個setup‑trivy標籤,植入竊密惡意程式,會加密並上傳GitHub令牌、雲端憑證與SSH金鑰,僅0.35.0版未受影響。此事件突顯供應鏈安全的結構性風險。
深度分析
GitHub Actions 標籤被強制推送:Trivy 攻擊技術細節與防禦建議
Trivy是AquaSecurity推出的廣受歡迎的漏洞掃描工具,近期遭供應鏈入侵。攻擊者利用盜取的憑證強制推送75個trivy-action標籤,植入惡意二進位,竊取GitHubToken、雲端憑證與SSH金鑰等機密,並加密回傳至伺服器。此事件可能使開發者的流水線面臨大規模資訊外洩風險。