뉴스

결국 이게 단순한 버그가 아니라 GitHub 액션스 자체의 취약점을 악용한 공격인데, 덕분에 수천 개의 프로젝트에서 키가 유출될 수 있다는 게 확실해졌어. 개발자들이 "다시인가?"라는 반응을 보이며 트라비 같은 오픈소스 보안 툴을 맹신만 하고 있었다는 사실이 너무 충격적인데, 이제 정말로 '보안을 믿지 말고 항상 검증하자'라는 말만 남았다. 지금 당장 모든 액션스 워크플로우를 점검하고, 특히 외부 툴을 쓰는데 시크릿을 그대로 넘겨주는 패턴이 있는지 꼭 확인하라고 강조하고 있어. 한번 유출되면 복구할 시간이 없어서 더더욱 주의가 필요하거든. 출처: Hacker News | 원문: https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise