VibeGuard - 供应链安全情报

VibeGuardLive feed

API MCP RSS Skill 查询

风险信号

32 篇93 个标签

标签

全部标签 npm54 actions34 ci-cd32 github29 secrets14 ai13 postinstall12 tokens12 backdoor11 runner10 runtime10 pypi9

当前筛选标签：ci-cd清空全部筛选

STEPSECURITY

2025-07-08 17:03

正式推出 StepSecurity Artifact Monitor：几分钟内检测未授权软件发布，无需等待数月

过去三年间，Kong、Docker Hub、Ultralytics、PyPI、npm及xrpl.js等平台发生多起供应链攻击事件。攻击者利用被盗的GitHub Actions令牌或开发者账户凭证，绕过CI/CD流程直接向注册表发布恶意版本（如Kong v3.4.0后门镜像、xrpl.js后门SDK等），导致恶意容器和投毒库在官方渠道流通数天至数周未被检测。StepSecurity Artifact Monitor通过实时关联发布物与CI/CD工作流执行日志，可在数分钟内标记非合规版本，建议企业部署此类registry监控工具以防止供应链攻击。

ci-cdmonitoringactionsdocker

STEPSECURITY

2025-07-08 17:03

通过自动拉取请求将第三方 Actions 替换为 StepSecurity 维护的 Actions

StepSecurity扩展了其Policy Driven PRs功能，可自动将组织内所有仓库中使用的第三方GitHub Actions替换为StepSecurity维护的安全版本。该功能针对存在供应链攻击风险的动作设计，如tj-actions/changed-files和reviewdog actions曾遭受的安全漏洞事件。此功能目前仅限Enterprise版用户使用，可帮助企业快速在组织层面执行安全策略，消除repo逐个手动更新的繁琐工作。

githubactionsci-cd