En mars 2026, Trivy était compromis via un vol de credentials CI. 76 tags GitHub Actions empoisonnés, des images Docker Hub malveillantes, un ver npm. Analyse des mécanismes d’attaques supply chain et des mesures qui tiennent vraiment en production.