Trivy供应链攻击事件：Docker Hub用户需警惕

Aqua Security的Trivy漏洞扫描器近期遭遇供应链攻击，攻击者通过篡改CI/CD管道，将恶意代码注入带有0.69.4、0.69.5、0.69.6和latest标签的镜像中，并利用这些镜像窃取用户的CI/CD密钥、云凭证、SSH密钥和Docker配置。Docker与Aqua Security合作，在2026年3月23日08:00 UTC移除了受影响的镜像版本。受影响用户需立即停止使用这些镜像，删除相关凭证，并更新至安全版本0.69.3。攻击者通过伪造latest标签，成功将恶意镜像伪装成正常构建，导致难以察觉。此次事件揭示了供应链安全的重要性，强调了使用固定哈希值而非标签来确保镜像版本的必要性。Docker已推出加固镜像（DHI）和Scout工具以增强安全性。