事件核心：開源與商業版的防護差異

本次攻擊者鎖定 Trivy 開源版（v0.69.4）及其 GitHub Actions，試圖竊取開發者的 Secret 憑證。然而，Aqua 商業版客戶之所以能免於威脅，得益於我們對產品交付的嚴格控管：

• 封閉式驗證管線：商業版掃描引擎均經過 Aqua 內部多重安全測試與數位簽章驗證，非直接拉取未經審核的開源組件。
• 內建運行時防護 (Runtime Protection)：Aqua 平台具備自我防護機制，能主動偵測並即時阻斷任何異常的二進位執行行為。

給開源用戶的緊急應變建議

若您的開發團隊目前仍在使用 Trivy 開源版本，請務必立即採取以下行動：

1. 版本升級：請立即停止使用 v0.69.4，並更新至官方釋出的最新修復版本。
2. 憑證輪換 (Secret Rotation)：即便尚未發現異常，仍強烈建議針對受影響期間的 CI/CD 管線進行 Secret 輪換，以確保開發環境安全。
3. 風險評估：此次事件再次凸顯了開源工具在缺乏企業級管理下可能潛藏的供應鏈風險。建議企業評估轉換至具備完整軟體供應鏈安全（SSCS）的 Aqua 商業解決方案。

  Aqua Security 的守護承諾  

我們深知供應鏈安全是現代企業的命脈。Aqua 團隊將持續監控全球威脅趨勢，確保我們的商業客戶在享受開源技術便利的同時，擁有企業級的堅實防護。

行動諮詢： 若您需要針對現有環境進行安全檢測，或想了解如何從開源版無縫遷移至更安全的商業平台，請隨時聯繫： Aqua 台灣授權代理商｜創泓科技 (02) 2658-3077