뉴스

아니, 이거 벌써 몇 번째야. 이번엔 오픈소스 취약점 스캔 도구인 '트리비(Trivy)'가 또 공격받았다고 하네. 그것도 깃허브 액션 태그를 건드려서 뭘 훔쳐간 모양이야. 이번 사건은 단순히 특정 프로젝트 문제가 아니라, 깃허브 액션 자체의 취약점을 노린 거라 더 심각한 것 같아. 개발자들이 CI/CD 파이프라인에서 깃허브 액션을 많이 쓰잖아. 근데 이런 식으로 뚫리면 우리가 쓰는 코드나 정보들도 위험해질 수 있다는 거거든. 정확히 어떤 정보가 유출됐는지, 누가 배후인지 아직 명확하게 밝혀지지는 않았지만, 이번 일을 계기로 깃허브 액션 보안에 대해 다시 한번 제대로 점검해야 할 때가 온 것 같아. 우리도 쓰는 거 있다면 좀 더 신경 써야겠더라. 출처: Hacker News | 원문: https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise