深度分析 供應鏈攻擊利用被盜 OIDC 憑證繞過 Sigstore provenance 驗證 5月中研究揭露數個針對開發者工具和套件註冊的供應鏈攻擊。攻擊者利用被盜維護者憑證取得有效簽章,Sigstore仍驗證CI簽發與透明日誌紀錄,但無法辨識發布是否經授權。結果數百個套件出現惡意版本,促使業界重新檢視自動化信任機制與審核流程。需靠多層驗證與人工審核補強。
