Очередной взлом GitHub action с подменой старый версий для заражения CI.
Очередной пример, что в workflow надо фиксировать action по sha-коммита, а не по версии.
В JS-проектах используйте actions-up
https://github.com/azat-io/actions-up
В остальных — pinact.
https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise
Очередной пример, что в workflow надо фиксировать action по sha-коммита, а не по версии.
В JS-проектах используйте actions-up
https://github.com/azat-io/actions-up
В остальных — pinact.
https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise