ትሪቪ ኣብ ትሕቲ መጥቃዕቲ ዳግማይ: ሰፊሕ GitHub Actions tag compromise secrets | Mewayz Blog Skip to main content
Hacker News

ትሪቪ ኣብ ትሕቲ መጥቃዕቲ ዳግማይ: ሰፊሕ GitHub Actions tag compromise secrets

ርእይቶታት

2 min read Via socket.dev

Mewayz Team

Editorial Team

Hacker News
<ኣካል>

Trivy under attack again: ሰፊሕ ናይ GitHub Actions tag compromise secrets

ድሕነት ናይቲ ሶፍትዌር ቀረብ ሰንሰለት ከምቲ ዝደኸመ መላግቦኡ ጥራይ እዩ ድልዱል። ንማእለያ ዘይብሎም ናይ ልምዓት ጋንታታት፡ እቲ ምትእስሳር እቲ ንባዕሎም ተቓላዕነት ንምርካብ ዝጽግዕዎ መሳርሒታት ኮይኑ ኣሎ። ኣብ ዘተሓሳስብ ምዕራፍ ፍጻመታት፡ ትሪቪ ዝተባህለ ብኣክዋ ሴኩሪቲ ዝሕሎ ህቡብ ክፉት ምንጪ ዘለዎ ተቓላዕነት ስካነር፡ ኣብ ማእከል ሓደ ዝተራቐቐ መጥቃዕቲ ረኺቡ። ጐዳኢ ተዋሳእቲ ኣብ ውሽጢ መኽዘን GitHub Actions ዝርከብ ፍሉይ ስሪት መለለዪ (`v0.48.0`) ኣብ ዋጋ ዕዳጋ ኣእትዮም፡ ካብ ዝኾነ ዝጥቀመሉ ዝነበረ ዋሕዚ ስራሕ ተሃዋሲ ምስጢር ንምስርቃቕ ዝተዳለወ ኮድ ይወግኡ። እዚ ፍጻመ’ዚ፡ ኣብቲ ንሓድሕዱ ዝተኣሳሰር ልምዓታዊ ስነ-ህይወትና፡ ምትእምማን ብቐጻሊ ክረጋገጽ እምበር ክግመት ከምዘይብሉ ጽኑዕ መዘኻኸሪ እዩ።

ኣናቶሚ ናይቲ ናይ መለለዪ ምድምማጽ መጥቃዕቲ

እዚ ምጥሓስ ናይቲ ቀንዲ መተግበሪ ኮድ ትሪቪ ዘይኮነስ፡ ንCI/CD ኣውቶማቲክነቱ ብውሕሉል ምግልባጥ እዩ ነይሩ። እቶም መጥቃዕቲ ዝፈጸሙ ሰባት ነቲ መኽዘን GitHub Actions ዒላማ ብምግባር፡ ን`v0.48.0` መለለዪ ዝኸውን ጐዳኢ ስሪት ናይቲ `action.yml` ፋይል ፈጢሮምዎ። ናይ ሓደ ዲቨሎፐር ዋሕዚ ስራሕ ነዚ ፍሉይ መለለዪ ክውከስ ከሎ፡ እቲ ተግባር ቅድሚ ነቲ ሕጋዊ ትሪቪ ስካን ምክያዱ ሓደ ጎዳኢ ስክሪፕት ይፍጽም። እዚ ስክሪፕት እዚ ምስጢራት - ከም መኽዘን ቶከናት፡ መረጋገጺታት ኣቕራቢ ደበናን መፍትሕታት ኤፒኣይን - ናብቲ ብመጥቃዕቲ ዝፍጽም ሰብ ዝቆጻጸር ርሑቕ ኣገልጋሊ ንምፍሳስ ዝተሃንጸ እዩ። ናይዚ መጥቃዕቲ ተንኮለኛ ባህሪ ኣብ ፍሉይነቱ እዩ ዝርከብ፤ ውሑስ ዝኾነ `@v0.48` ወይ `@main` መለለዪታት ዝጥቀሙ ዲቨሎፐራት ኣይተጸልዉን፡ እቶም ልክዕ ኣብ ዋጋ ዕዳጋ ዝኣተወ መለለዪ ፒን ዝገበሩ ግን ብዘይፍላጥ ኣብ ሻምብቆኦም ወሳኒ ተቓላዕነት ኣተኣታትዮም።

እዚ ፍጻመ ንምንታይ ኣብ መላእ ዓለም DevOps ይድመጽ

እቲ ናይ ትሪቪ ምድምማጽ ብብዙሕ ምኽንያታት ትርጉም ዘለዎ እዩ። ቀዳማይ፡ ትሪቪ ብሚልዮናት ዝቑጸሩ ሰባት ኣብ ኮንተይነራትን ኮድን ንዘሎ ተቓላዕነት ንምፍታሽ ዝጥቀሙሉ መሰረታዊ ናይ ድሕነት መሳርሒ እዩ። ኣብ ልዕሊ መሳርሒ ጸጥታ ዝፍጸም መጥቃዕቲ ነቲ ንውሑስ ልምዓት ዘድሊ መሰረታዊ እምነት የበላሽዎ። ካልኣይ፡ ነቲ እናዓበየ ዝኸይድ ዘሎ ዝንባለ መጥቃዕቲ ዝፍጽሙ ሰባት "ላዕሊ" ብምንቅስቓስ፡ ነቶም ካልኦት ሶፍትዌራት ዝተሃንጸሎም መሳርሕታትን ጽግዕተኛታትን ዒላማ ብምግባር ዘጉልሕ እዩ። ሓደ ብሰፊሑ ዝጥቀመሉ ባእታ ብምምራዝ፡ ናብ ሰፊሕ መርበብ ናይ ታሕተዎት ፕሮጀክትታትን ትካላትን ምብጻሕ ክረኽቡ ይኽእሉ። እዚ ፍጻመ ኣብ ድሕነት ቀረብ ሰንሰለት ከም ወሳኒ መጽናዕቲ ፍጻመ ኮይኑ ዘገልግል ኮይኑ፡ ዝኾነ መሳርሒ፡ ክሳብ ክንደይ ዝና ዘለዎ ብዘየገድስ፡ ከም መጥቃዕቲ ተሸካሚ ካብ ምጥቃም ነጻ ከምዘይኮነ ዘርኢ እዩ።

<ብሎክኮት> ዝብል ጽሑፍ ኣሎ። "እዚ መጥቃዕቲ ኣብ ባህሪ ዲቨሎፐርን መካኒክስ ሲኣይ/ሲዲን ዝተራቐቐ ርድኢት ዘርኢ'ዩ። ኣብ ሓደ ፍሉይ ስሪት ቴግ ምትእስሳር መብዛሕትኡ ግዜ ንምርግጋእ ከም ዝበለጸ ልምዲ ይቑጸር፡ እዚ ፍጻመ ግን እቲ ፍሉይ ስሪት ኣብ ሓደጋ እንተወዲቑ'ውን ሓደጋ ከእቱ ከምዝኽእል ዘርኢ'ዩ። እቲ ትምህርቲ ድሕነት ቀጻሊ መስርሕ እምበር ናይ ሓደ ግዜ ምድላው ከምዘይኮነ'ዩ።" ዝብል ጽሑፍ ኣሎ።

ንተግባራት ጊትሃብካ ንምውሓስ ዝሕግዙ ቅጽበታዊ ስጉምትታት

ድሕሪ እዚ ፍጻመ፡ ዲቨሎፐራትን ናይ ጸጥታ ጋንታታትን ንዋሕዚ ስራሖም GitHub Actions ንምትራር ንጡፍ ስጉምትታት ክወስዱ ኣለዎም። ዕግበት ጸላኢ ድሕንነት እዩ። ብቕልጡፍ ንምትግባር ዝሕግዙ ኣገደስቲ ስጉምትታት እዞም ዝስዕቡ እዮም፡

    ዝብል ጽሑፍ ኣሎ።
  • ኣብ ክንዲ መለለዪታት commit SHA pinning ተጠቐም: ኩሉ ግዜ ተግባራት ብሙሉእ commit hash (ንኣብነት, `actions/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`) ተወከስ። እዚ እቲ እንኮ መንገዲ ዘይልወጥ ስሪት ናይቲ ተግባር ትጥቀም ከምዘለኻ ንምርግጋጽ እዩ።
  • ናይ ሕጂ ዋሕዚ ስራሕካ ኦዲት ግበር፦ `.github/workflows` ማህደርካ ብጥንቃቐ መርምር። ዝኾነ ኣብ መለለዪታት ዝተሰቕለ ተግባራት ኣለሊኻ ናብ SHAs ምፍጻም ቀይሮ፣ ብፍላይ ንኣገደስቲ መሳርሒታት ድሕነት።
  • ናይ GitHub ናይ ድሕነት ባህርያት ተጠቐም: ዘድሊ ናይ ኩነታት ምፍታሽ ኣኽእሎን ነቲ `workflow_permissions` ዝብል ቅጥዒ ዳግም ርአን፣ ካብ ኣብ ሓደጋ ዝወደቐ ስጉምቲ ክመጽእ ዝኽእል ጉድኣት ንምንካይ ብነባሪ ንንባብ ጥራይ ኣቐምጦም።
  • ዘይተለምደ ንጥፈታት ምክትታል: ምስጢራትካ ተጠቒምካ ዘይተጸበኻዮ ናይ ደገ መርበብ ምትእስሳር ወይ ዘይተፈቕደ ናይ ምእታው ፈተነታት ንምፍላጥ ንናይ CI/CD ሻምብቆታትካ ምዝገባን ምክትታልን ተግባራዊ።
ዝብል ጽሑፍ ኣሎ።

ምስ መዋይዝ ምህናጽ ተጻዋርነት ዘለዎ መሰረት

ውልቃዊ መሳርሒታት ምውሓስ ወሳኒ እኳ እንተኾነ፡ ሓቀኛ ጽንዓት ግን ካብ ኩለንተናዊ ኣቀራርባ ንግዳዊ ስርሓትካ ዝመጽእ እዩ። ከም ናይ ትሪቪ ምድምማጽ ዝኣመሰሉ ፍጻመታት፡ ኣብ ዘመናዊ መሳርሒታት ሰንሰለታት ዝተሰረተ ሕቡእ ዝተሓላለኸን ሓደጋታትን የቃልዑ። ከም መዋይዝ ዝኣመሰለ መድረኽ ነዚ ዝፈትሖ ውሁድ፣ ሞዱላር ቢዝነስ ኦኤስ ብምቕራብ ጽግዕተኛነት ዝርግሐ ዝቕንስን ቁጽጽር ዘማእከለን እዩ። ኣብ ክንዲ ደርዘን ዝተፈላለዩ ኣገልግሎታት ምትሕውዋስ-ነፍሲ ወከፎም ናይ ገዛእ ርእሶም ናይ ጸጥታ ሞዴልን ዑደት ምዕባለን ዘለዎም-መዋይዝ ከም ምሕደራ ፕሮጀክት፡ ሲኣርኤምን ኣተሓሕዛ ሰነዳትን ዝኣመሰሉ ቀንዲ ተግባራት ኣብ ሓደ ውሑስ ሃዋህው የወሃህድ። እዚ ምድማር እዚ ነቲ ናይ መጥቃዕቲ ገጽ የጉድሎን ንናይ ጸጥታ ምሕደራ የቃልሎን፣ ጋንታታት ኣብ ክንዲ ብቐጻሊ ኣብ ዝተበታተነ ሶፍትዌር ስታክ ንዘሎ ተቓላዕነት ምትዕርራይ ኣብ ክንዲ ኣብ ምህናጽ ባህርያት ከተኩራ የኽእለን። ኣብዛ ሓደ ኣብ ዋጋ ዕዳጋ ዝኣተወ ምልክት ናብ ዓቢ ጥሕሰት ከብጽሕ ዝኽእል ዓለም፡ እቲ ብመወይዝ ዝቐርብ ዝተዋደደ ጸጥታን ስሉጥ ስርሓትን ንዕብየት ዝያዳ ቁጽጽር ዝግበረሉን ኦዲት ዝግበረሉን መሰረት ይህብ።

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →
ዝብል ጽሑፍ ኣሎ።

ብተደጋጋሚ ዝሕተቱ ሕቶታት

Trivy under attack again: ሰፊሕ ናይ GitHub Actions tag compromise secrets

ድሕነት ናይቲ ሶፍትዌር ቀረብ ሰንሰለት ከምቲ ዝደኸመ መላግቦኡ ጥራይ እዩ ድልዱል። ንማእለያ ዘይብሎም ናይ ልምዓት ጋንታታት፡ እቲ ምትእስሳር እቲ ንባዕሎም ተቓላዕነት ንምርካብ ዝጽግዕዎ መሳርሒታት ኮይኑ ኣሎ። ኣብ ዘተሓሳስብ ምዕራፍ ፍጻመታት፡ ትሪቪ ዝተባህለ ብኣክዋ ሴኩሪቲ ዝሕሎ ህቡብ ክፉት ምንጪ ዘለዎ ተቓላዕነት ስካነር፡ ኣብ ማእከል ሓደ ዝተራቐቐ መጥቃዕቲ ረኺቡ። ጐዳኢ ተዋሳእቲ ኣብ ውሽጢ መኽዘን GitHub Actions ዝርከብ ፍሉይ ስሪት መለለዪ (`v0.48.0`) ኣብ ዋጋ ዕዳጋ ኣእትዮም፡ ካብ ዝኾነ ዝጥቀመሉ ዝነበረ ዋሕዚ ስራሕ ተሃዋሲ ምስጢር ንምስርቃቕ ዝተዳለወ ኮድ ይወግኡ። እዚ ፍጻመ’ዚ፡ ኣብቲ ንሓድሕዱ ዝተኣሳሰር ልምዓታዊ ስነ-ህይወትና፡ ምትእምማን ብቐጻሊ ክረጋገጽ እምበር ክግመት ከምዘይብሉ ጽኑዕ መዘኻኸሪ እዩ።

ኣናቶሚ ናይቲ ናይ መለለዪ ምድምማጽ መጥቃዕቲ

እዚ ምጥሓስ ናይቲ ቀንዲ መተግበሪ ኮድ ትሪቪ ዘይኮነስ፡ ንCI/CD ኣውቶማቲክነቱ ብውሕሉል ምግልባጥ እዩ ነይሩ። እቶም መጥቃዕቲ ዝፈጸሙ ሰባት ነቲ መኽዘን GitHub Actions ዒላማ ብምግባር፡ ን`v0.48.0` መለለዪ ዝኸውን ጐዳኢ ስሪት ናይቲ `action.yml` ፋይል ፈጢሮምዎ። ናይ ሓደ ዲቨሎፐር ዋሕዚ ስራሕ ነዚ ፍሉይ መለለዪ ክውከስ ከሎ፡ እቲ ተግባር ቅድሚ ነቲ ሕጋዊ ትሪቪ ስካን ምክያዱ ሓደ ጎዳኢ ስክሪፕት ይፍጽም። እዚ ስክሪፕት እዚ ምስጢራት - ከም መኽዘን ቶከናት፡ መረጋገጺታት ኣቕራቢ ደበናን መፍትሕታት ኤፒኣይን - ናብቲ ብመጥቃዕቲ ዝፍጽም ሰብ ዝቆጻጸር ርሑቕ ኣገልጋሊ ንምፍሳስ ዝተሃንጸ እዩ። ናይዚ መጥቃዕቲ ተንኮለኛ ባህሪ ኣብ ፍሉይነቱ እዩ ዝርከብ፤ ውሑስ ዝኾነ `@v0.48` ወይ `@main` መለለዪታት ዝጥቀሙ ዲቨሎፐራት ኣይተጸልዉን፡ እቶም ልክዕ ኣብ ዋጋ ዕዳጋ ዝኣተወ መለለዪ ፒን ዝገበሩ ግን ብዘይፍላጥ ኣብ ሻምብቆኦም ወሳኒ ተቓላዕነት ኣተኣታትዮም።

እዚ ፍጻመ ስለምንታይ ኣብ መላእ ዓለም DevOps ይድመጽ

እቲ ናይ ትሪቪ ምድምማጽ ብብዙሕ ምኽንያታት ትርጉም ዘለዎ እዩ። ቀዳማይ፡ ትሪቪ ብሚልዮናት ዝቑጸሩ ሰባት ኣብ ኮንተይነራትን ኮድን ንዘሎ ተቓላዕነት ንምፍታሽ ዝጥቀሙሉ መሰረታዊ ናይ ድሕነት መሳርሒ እዩ። ኣብ ልዕሊ መሳርሒ ጸጥታ ዝፍጸም መጥቃዕቲ ነቲ ንውሑስ ልምዓት ዘድሊ መሰረታዊ እምነት የበላሽዎ። ካልኣይ፡ ነቲ እናዓበየ ዝኸይድ ዘሎ ዝንባለ መጥቃዕቲ ዝፍጽሙ ሰባት "ላዕሊ" ብምንቅስቓስ፡ ነቶም ካልኦት ሶፍትዌራት ዝተሃንጸሎም መሳርሕታትን ጽግዕተኛታትን ዒላማ ብምግባር ዘጉልሕ እዩ። ሓደ ብሰፊሑ ዝጥቀመሉ ባእታ ብምምራዝ፡ ናብ ሰፊሕ መርበብ ናይ ታሕተዎት ፕሮጀክትታትን ትካላትን ምብጻሕ ክረኽቡ ይኽእሉ። እዚ ፍጻመ ኣብ ድሕነት ቀረብ ሰንሰለት ከም ወሳኒ መጽናዕቲ ፍጻመ ኮይኑ ዘገልግል ኮይኑ፡ ዝኾነ መሳርሒ፡ ክሳብ ክንደይ ዝና ዘለዎ ብዘየገድስ፡ ከም መጥቃዕቲ ተሸካሚ ካብ ምጥቃም ነጻ ከምዘይኮነ ዘርኢ እዩ።

ንተግባራት ጊትሃብካ ንምውሓስ ዝሕግዙ ቅጽበታዊ ስጉምትታት

ድሕሪ እዚ ፍጻመ፡ ዲቨሎፐራትን ናይ ጸጥታ ጋንታታትን ንዋሕዚ ስራሖም GitHub Actions ንምትራር ንጡፍ ስጉምትታት ክወስዱ ኣለዎም። ዕግበት ጸላኢ ድሕንነት እዩ። ብቕልጡፍ ንምትግባር ዝሕግዙ ኣገደስቲ ስጉምትታት እዞም ዝስዕቡ እዮም፡

ምህናጽ ተጻዋርነት ዘለዎ መሰረት ምስ መዋይዝ

ውልቃዊ መሳርሒታት ምውሓስ ወሳኒ እኳ እንተኾነ፡ ሓቀኛ ጽንዓት ግን ካብ ኩለንተናዊ ኣቀራርባ ንግዳዊ ስርሓትካ ዝመጽእ እዩ። ከም ናይ ትሪቪ ምድምማጽ ዝኣመሰሉ ፍጻመታት፡ ኣብ ዘመናዊ መሳርሒታት ሰንሰለታት ዝተሰረተ ሕቡእ ዝተሓላለኸን ሓደጋታትን የቃልዑ። ከም መዋይዝ ዝኣመሰለ መድረኽ ነዚ ዝፈትሖ ውሁድ፣ ሞዱላር ቢዝነስ ኦኤስ ብምቕራብ ጽግዕተኛነት ዝርግሐ ዝቕንስን ቁጽጽር ዘማእከለን እዩ። ኣብ ክንዲ ደርዘን ዝተፈላለዩ ኣገልግሎታት ምትሕውዋስ-ነፍሲ ወከፎም ናይ ገዛእ ርእሶም ናይ ጸጥታ ሞዴልን ዑደት ምዕባለን ዘለዎም-መዋይዝ ከም ምሕደራ ፕሮጀክት፡ ሲኣርኤምን ኣተሓሕዛ ሰነዳትን ዝኣመሰሉ ቀንዲ ተግባራት ኣብ ሓደ ውሑስ ሃዋህው የወሃህድ። እዚ ምድማር እዚ ነቲ ናይ መጥቃዕቲ ገጽ የጉድሎን ንናይ ጸጥታ ምሕደራ የቃልሎን፣ ጋንታታት ኣብ ክንዲ ብቐጻሊ ኣብ ዝተበታተነ ሶፍትዌር ስታክ ንዘሎ ተቓላዕነት ምትዕርራይ ኣብ ክንዲ ኣብ ምህናጽ ባህርያት ከተኩራ የኽእለን። ኣብዛ ሓደ ኣብ ዋጋ ዕዳጋ ዝኣተወ ምልክት ናብ ዓቢ ጥሕሰት ከብጽሕ ዝኽእል ዓለም፡ እቲ ብመወይዝ ዝቐርብ ዝተዋደደ ጸጥታን ስሉጥ ስርሓትን ንዕብየት ዝያዳ ቁጽጽር ዝግበረሉን ኦዲት ዝግበረሉን መሰረት ይህብ።

ሎሚ ናይ ቢዝነስ ኦኤስካ ሃንጽ

ካብ ነጻ ሞያውያን ክሳብ ትካላት፡ መዋይዝ ን138,000+ ትካላት ንግዲ ብ208 ዝተዋሃሃዱ ሞዱላት ሓይሊ ይህብ። ብነጻ ጀምር፣ ምስ ዓበኻ ኣዕብዮ።

ነጻ ኣካውንት ምፍጣር →
ዝብል ጽሑፍ ኣሎ።

Try Mewayz Free

All-in-one platform for CRM, invoicing, projects, HR & more. No credit card required.

Start Free Try Demo

Start managing your business smarter today

Join 6,208+ businesses. Free forever plan · No credit card required.

Start Free → Watch Demo
Found this useful? Share it.
X / Twitter LinkedIn Facebook WhatsApp

Ready to put this into practice?

Join 6,208+ businesses using Mewayz. Free forever plan — no credit card required.

Start Free Trial →

Related articles

Hacker News

The insider trading suspicions looming over Trump's presidency

Apr 20, 2026

Hacker News

Claude Token Counter, now with model comparisons

Apr 20, 2026

Hacker News

Show HN: A lightweight way to make agents talk without paying for API usage

Apr 20, 2026

 Show HN: TRELLIS.2 image-to-3D running on Mac Silicon – no Nvidia GPU needed

Hacker News

Show HN: TRELLIS.2 image-to-3D running on Mac Silicon – no Nvidia GPU needed

Apr 20, 2026

Hacker News

Sudo for Windows

Apr 19, 2026

 Swiss AI Initiative (2023)

Hacker News

Swiss AI Initiative (2023)

Apr 19, 2026

Ready to take action?

Start your free Mewayz trial today

All-in-one business platform. No credit card required.

Start Free →

14-day free trial · No credit card · Cancel anytime