开源安全工具 Trivy 遭供应链攻击，引发行业紧急响应 - InfoQ¶

站点: InfoQ 抓取日期: 2026-04-14 URL: https://www.infoq.cn/article/TO5Qtp6GDufPrNOsoeMx

开源安全工具 Trivy 遭供应链攻击，引发行业紧急响应 - InfoQ 首页 AI会议 hot AI课程 hot AI应用 hot 报告 HarmonyOS Snowflake new 更多    写点什么  创作场景  记录自己日常工作的实践、心得发表对生活和职场的感悟针对感兴趣的事件发表随笔或者杂谈从 0 到 1 详细介绍你掌握的一门语言、一个技术，或者一个兴趣、爱好或者，就直接把你的个人博客、公众号直接搬到这里登录 / 注册企业动态行业深度 AI&大模型出海后端芯片&算力架构大数据软件工程云计算大前端管理/文化开源安全工具 Trivy 遭供应链攻击，引发行业紧急响应作者：Craig Risi 马可薇 2026-04-14 北京本文字数：1170 字阅读完需：约 4 分钟一款被广泛使用的开源漏洞扫描工具 Trivy 最近发生了一起重大安全事件，暴露了软件供应链中的关键风险。维护团队确认，一个恶意版本曾短暂被分发给用户。这起事件由 Aqua Security 在 GitHub 讨论中披露。信息显示，攻击者成功发布了一个被篡改的版本，可能导致下游系统面临凭证泄露和恶意代码执行的风险。此次事件的核心是一个恶意版本（v0.69.4），发布于 2026 年 3 月 19 日，其中包含用于将敏感数据外传至攻击者控制域名的代码。该被篡改的版本一度通过正常分发渠道传播，包括包管理器和 CI/CD 集成，随后才被识别并移除。安全研究人员指出，这次攻击利用了被攻破的凭证，并操控了自动化发布流程，也凸显出一个问题：即使是被信任的发布流水线，本身也可能成为攻击载体。此次事件之所以引发广泛关注，很大程度上在于其供应链攻击的性质——攻击者并未直接针对终端应用，而是瞄准了被信任的工具。在该案例中，有迹象表明攻击者此前已获取代码仓库的访问凭证，从而能够发布恶意构件，并干扰事件响应过程，包括删除早期披露讨论以及通过垃圾信息刷屏来拖延处置。安全研究人员进一步发现，相关工具链也可能受到影响，包括用于安装 Trivy 的 GitHub Actions 。这意味着影响范围可能进一步扩大——依赖自动化流水线的组织，可能在不知情的情况下安装并执行该恶意版本，也反映出在现代软件生态中，一旦开发工具被攻破，往往会产生级联影响。对此，维护团队已移除恶意版本、吊销相关凭证，并建议用户回退至安全版本，同时轮换所有可能泄露的敏感信息。该事件也在安全社区引发了更广泛的讨论，重点集中在开源工具的信任边界问题，尤其是自动化发布、依赖管理以及 CI/CD 集成等环节。开发者论坛和社交平台上的反应普遍体现出担忧与紧迫感。在 Reddit 上，有用户提醒，任何在本地或流水线中使用 Trivy 的用户都可能受到影响，建议尽快采取行动并核查当前版本。与此同时，业内评论将该事件视为一个典型案例，说明“可信工具”在当前攻击模式下正逐渐成为高价值目标。该事件也进一步印证了软件行业中的一个趋势：安全工具本身已经成为攻击面的一部分。随着企业越来越依赖开源扫描工具、CI/CD 自动化以及第三方集成，攻击者开始将重点转向上游依赖和构建流水线，因为一次成功入侵就可能波及大量下游系统。针对这类事件，业内逐步形成了一些实践共识，包括：对构件进行完整性校验（如签名和校验和）、在自动化流程中收紧凭证权限范围、隔离构建环境，以及在软件供应链中引入零信任原则。随着攻击手段不断演进，对依赖的持续监控以及快速响应能力也变得愈发关键。目前针对 Trivy 事件的调查仍在持续。随着维护团队和安全研究人员的进一步分析，预计还会有更多细节披露。尽管已经采取了应对措施，但该事件也再次凸显出现代软件生态中“信任”的脆弱性，以及在整个开发流程中加强治理、可见性和防护机制的必要性。促进软件开发及相关领域知识与创新的传播关于我们我要投稿合作伙伴加入我们关注我们联系我们内容投稿：editors@geekbang.com 业务合作：hezuo@geekbang.com 反馈投诉：feedback@geekbang.com 加入我们：zhaopin@geekbang.com 联系电话：010-64738142 地址：北京市朝阳区望京北路9号2幢7层A701 InfoQ 近期会议北京 · QCon 全球软件开发大会 2026.4.16-18 上海 · AICon 全球人工智能开发与应用大会 2026.6.26-27 全球 InfoQ InfoQ En InfoQ Jp InfoQ Fr InfoQ Br Copyright © 2026, Geekbang Technology Ltd. All rights reserved. 极客邦控股（北京）有限公司 | 京 ICP 备 16027448 号 - 5 京公网安备 11010502039052号 | 产品资质