8 min de lectura<\/p>\n
El 19 de marzo de 2026, el popular esc\u00e1ner de vulnerabilidades Trivy se convirti\u00f3 \u00e9l mismo en un vector de ataque. 75 de las 76 etiquetas de versi\u00f3n en el repositorio de GitHub fueron comprometidas, y un binario manipulado rob\u00f3 claves SSH, credenciales en la nube y secretos de Kubernetes de las cadenas CI\/CD. El ataque revela un patr\u00f3n que en 2026 se ha agravado: los atacantes ya no apuntan a las aplicaciones, sino a las herramientas que deber\u00edan protegerlas.<\/strong><\/p>\n Seg\u00fan el informe del BSI de 2025, los ataques a la cadena de suministro en Alemania se han duplicado. El tiempo medio de detecci\u00f3n es de 287 d\u00edas<\/strong> – casi diez meses en los que c\u00f3digo comprometido puede ejecutarse sin ser detectado en entornos de producci\u00f3n. Cualquiera que desarrolle, compre o gestione software debe considerar su cadena de suministro como un frente de ataque. Este art\u00edculo muestra, con casos actuales, qu\u00e9 ocurre, qu\u00e9 patrones se repiten<\/a> y qu\u00e9 medidas concretas funcionan.<\/p>\n Trivy es uno de los esc\u00e1neres de vulnerabilidades de c\u00f3digo abierto m\u00e1s utilizados en el \u00e1mbito DevSecOps. Analiza im\u00e1genes de contenedores, sistemas de archivos y plantillas IaC en busca de vulnerabilidades, y se ejecuta en miles de cadenas CI\/CD como una acci\u00f3n de GitHub. Precisamente ah\u00ed es donde actuaron los atacantes.<\/p>\n El grupo \u00abTeamPCP\u00bb comprometi\u00f3 a finales de febrero de 2026 las credenciales de GitHub Actions del proyecto Trivy. La primera reacci\u00f3n de Aqua Security fue incompleta: la rotaci\u00f3n de credenciales no cubri\u00f3 todos los accesos. El 19 de marzo lleg\u00f3 la segunda ola: 75 de las 76 etiquetas de versi\u00f3n<\/strong> en el repositorio aquasecurity\/trivy-action fueron redirigidas mediante force-push a c\u00f3digo malicioso. Las siete etiquetas en aquasecurity\/setup-trivy tambi\u00e9n fueron afectadas.<\/p>\n El c\u00f3digo infiltrado actu\u00f3 en tres fases. Primero: extracci\u00f3n de variables de entorno y credenciales del almacenamiento del ejecutor CI\/CD. Segundo: cifrado de datos sensibles – claves SSH, credenciales en la nube, tokens de bases de datos, secretos de Kubernetes<\/a>. Tercero: exfiltraci\u00f3n hacia el dominio de typosquatting scan.aquasecurtiy[.]org – un nombre de dominio deliberadamente escrito de forma incorrecta.<\/p>\n La iron\u00eda: una herramienta dise\u00f1ada para encontrar vulnerabilidades se convirti\u00f3 en una vulnerabilidad. El ataque podr\u00eda haberse evitado en gran medida mediante el anclaje basado en SHA<\/strong> de las acciones de GitHub. Quien hubiera referenciado un hash de commit espec\u00edfico en lugar de trivy-action@v0.35.0 no habr\u00eda sido afectado por la manipulaci\u00f3n de etiquetas.<\/p>\n Los ataques a la cadena de suministro siguen cada vez m\u00e1s un patr\u00f3n: ganar confianza, comprometer la infraestructura, propagarse ampliamente.<\/strong><\/p>\n El ejemplo m\u00e1s extremo es la puerta trasera en XZ-Utils<\/strong> de marzo de 2024 (CVE-2024-3094, CVSS 10.0). Un atacante con el seud\u00f3nimo \u00abJia Tan\u00bb construy\u00f3 confianza durante tres a\u00f1os con el mantenedor de la biblioteca de compresi\u00f3n ampliamente utilizada. Al final, implant\u00f3 una puerta trasera que permit\u00eda la ejecuci\u00f3n remota de c\u00f3digo a trav\u00e9s de OpenSSH – en un componente que se ejecuta pr\u00e1cticamente en todos los servidores Linux. El ataque fue descubierto por casualidad: el desarrollador de PostgreSQL Andres Freund not\u00f3 un retraso inusual en los inicios de sesi\u00f3n SSH.<\/p>\n En el ataque a 3CX<\/strong> (marzo de 2023), Mandiant document\u00f3 por primera vez una \u00abdoble compromisi\u00f3n de la cadena de suministro\u00bb: el grupo Lazarus comprometi\u00f3 primero el software de trading X_Trader, infect\u00f3 a trav\u00e9s de \u00e9l a un empleado de 3CX y luego manipul\u00f3 los entornos de compilaci\u00f3n. La aplicaci\u00f3n de escritorio firmada<\/a> fue distribuida a 600.000 empresas con 12 millones de usuarios.<\/p>\n El patr\u00f3n com\u00fan en los tres casos: el vector de ataque no fue la aplicaci\u00f3n, sino la infraestructura detr\u00e1s de ella.<\/strong> Sistemas de compilaci\u00f3n, repositorios de c\u00f3digo, registros de dependencias. Quien solo protege su propia aplicaci\u00f3n pero conf\u00eda ciegamente en herramientas y dependencias, deja una flanco abierto que se est\u00e1 explotando cada vez m\u00e1s. Gartner pronostic\u00f3 en 2022 que hasta 2025, el 45 por ciento de las organizaciones sufrir\u00edan ataques a su cadena de suministro de software. Una encuesta de BlackBerry en 2024 revel\u00f3: ya es el 75 por ciento.<\/p>\n \n\u00abLa gesti\u00f3n del riesgo en la cadena de suministro sigue siendo uno de los mayores problemas para los CISO.\u00bb El informe Sonatype sobre el estado de la cadena de suministro de software 2024 documenta un aumento del 156 por ciento en paquetes maliciosos de c\u00f3digo abierto<\/strong> en comparaci\u00f3n con el a\u00f1o anterior. Desde 2019 se han identificado m\u00e1s de 704.000 paquetes maliciosos en registros como npm, PyPI y Maven – m\u00e1s de 512.000 de ellos solo desde noviembre de 2023.<\/p>\n El informe Synopsys OSSRA 2024 a\u00f1ade: el 96 por ciento de las bases de c\u00f3digo analizadas<\/strong> contienen componentes de c\u00f3digo abierto. El 84 por ciento contienen al menos una vulnerabilidad conocida. El 74 por ciento contienen vulnerabilidades de alto riesgo – un salto del 54 por ciento respecto al a\u00f1o anterior. Y el 91 por ciento utiliza componentes que est\u00e1n desactualizados en diez o m\u00e1s versiones.<\/p>\n A esto se suma un fen\u00f3meno nuevo: el \u00abslopsquatting\u00bb<\/strong> – los atacantes aprovechan la tendencia de los asistentes de c\u00f3digo con IA a \u00abalucinar\u00bb nombres de paquetes inexistentes. Registran esos nombres y los llenan con c\u00f3digo malicioso. Si un desarrollador adopta la sugerencia de la IA sin verificarla, el malware se instala autom\u00e1ticamente.<\/p>\n El problema del \u00abslopsquatting\u00bb es especialmente insidioso porque crece con la difusi\u00f3n de los asistentes de programaci\u00f3n con IA. Seg\u00fan ReversingLabs, en 2024 ya 14 de 23 campa\u00f1as de malware relacionadas con criptomonedas apuntaban a paquetes npm. En septiembre de 2025, 20 paquetes npm fueron comprometidos, que juntos acumulaban m\u00e1s de dos mil millones de descargas semanales. Por tanto, la superficie de ataque no crece linealmente: crece con cada nuevo paquete que instala un desarrollador, con cada nueva dependencia que un sistema de compilaci\u00f3n resuelve autom\u00e1ticamente. Y seg\u00fan Sonatype, en el 95 por ciento de los casos en los que los desarrolladores usan un componente vulnerable, ya existe una versi\u00f3n parcheada. El problema no es la disponibilidad de soluciones, sino la falta de atenci\u00f3n a las actualizaciones.<\/p>\n Los costes son cuantificables: seg\u00fan el IBM Cost of a Data Breach Report 2024, el coste medio de una violaci\u00f3n de datos es de 4,88 millones de d\u00f3lares<\/strong> – un r\u00e9cord hist\u00f3rico. Las compromisiones de la cadena de suministro estuvieron ligeramente por encima seg\u00fan el an\u00e1lisis de IBM y fueron el segundo vector de ataque m\u00e1s frecuente.<\/p>\n Para las empresas alemanas, la situaci\u00f3n se agrava por dos desarrollos paralelos. Primero: la directiva NIS2 convierte la seguridad de la cadena de suministro en una obligaci\u00f3n legal para unas 29.500 empresas – incluyendo la responsabilidad personal de los directores ejecutivos en caso de negligencia. Segundo: la escasez de personal especializado en ciberseguridad significa que muchas empresas no tienen suficientes recursos para revisar sistem\u00e1ticamente sus dependencias. El BSI informa que el 80 por ciento de los operadores de infraestructuras cr\u00edticas han implementado sistemas de gesti\u00f3n de seguridad de la informaci\u00f3n, pero presentan deficiencias importantes en la gesti\u00f3n de la continuidad del negocio. Si una dependencia cr\u00edtica se ve comprometida y no existe un plan de respuesta a incidentes, los 287 d\u00edas hasta la detecci\u00f3n resultan especialmente dolorosos.<\/p>\n La mayor parte de la seguridad empresarial se basa en un modelo que no cubre los ataques a la cadena de suministro: protecci\u00f3n perimetral, detecci\u00f3n en el endpoint, segmentaci\u00f3n de red. Estas herramientas detectan malware que viene del exterior, pero no c\u00f3digo malicioso introducido a trav\u00e9s de canales de confianza.<\/p>\n En el ataque a Trivy, el c\u00f3digo malicioso lleg\u00f3 a trav\u00e9s de una herramienta que se utilizaba expl\u00edcitamente como medida de seguridad. Ning\u00fan antivirus habr\u00eda activado la alarma, ning\u00fan registro de firewall habr\u00eda mostrado anomal\u00edas. El ataque utiliz\u00f3 la cadena CI\/CD normal – los mismos caminos por los que tambi\u00e9n se distribuye c\u00f3digo leg\u00edtimo. Para los sistemas de detecci\u00f3n de intrusiones, todo parec\u00eda funcionar con normalidad.<\/p>\n Por eso tambi\u00e9n fallan los pentests tradicionales ante los riesgos de la cadena de suministro. Un pentest examina la infraestructura propia, no los sistemas de compilaci\u00f3n de los proyectos de c\u00f3digo abierto que se utilizan como dependencias. Y una auditor\u00eda de la base de c\u00f3digo propia no encuentra una puerta trasera en una dependencia de nivel superior anidada 50 versiones en profundidad.<\/p>\n Lo que se necesita en cambio es: Shift Left en la cadena de suministro<\/strong> – verificaciones de seguridad no solo al final de la cadena, sino en cada dependencia individual. Esto significa: cada paquete se verifica al incorporarlo al c\u00f3digo, no solo al desplegarlo. Cada acci\u00f3n de GitHub se ancla mediante SHA, no mediante etiqueta. Y cada proceso de compilaci\u00f3n se firma y verifica criptogr\u00e1ficamente – antes de que un solo byte llegue a producci\u00f3n.<\/p>\n El cambio de paradigma<\/a> es comparable a la introducci\u00f3n de Zero Trust en las redes: no m\u00e1s \u00abtodo dentro del per\u00edmetro es de confianza\u00bb, sino \u00abnada es de confianza hasta que se verifique\u00bb – y esto incluye las propias herramientas de desarrollo.<\/p>\n El informe del BSI 2025 documenta 119 nuevas vulnerabilidades de seguridad por d\u00eda<\/strong> en el per\u00edodo analizado – un aumento del 24 por ciento. 461 fugas de datos con instituciones alemanas como v\u00edctimas. Y el 48 por ciento de los operadores de infraestructuras cr\u00edticas carecen de un sistema de detecci\u00f3n de ataques.<\/p>\n El Cyber Resilience Act de la UE<\/strong> (en vigor desde el 10 de diciembre de 2024) obliga a todos los fabricantes de productos con elementos digitales a proporcionar una SBOM legible por m\u00e1quina. Principales obligaciones a partir del 11 de diciembre de 2027, obligaciones de notificaci\u00f3n desde el 11 de septiembre de 2026. Sanciones: hasta 15 millones de euros o el 2,5 por ciento del volumen de negocio mundial anual.<\/p>\n El BSI ha definido requisitos concretos para la SBOM con TR-03183-2 (agosto de 2025). Formatos recomendados: SPDX y CycloneDX. Para empresas reguladas por NIS2<\/a>, la seguridad de la cadena de suministro ya es parte expl\u00edcita de los requisitos legales.<\/p>\n En Estados Unidos, desde 2021 rige la Orden Ejecutiva 14028: todo proveedor de software que suministre al gobierno federal debe presentar una SBOM. La fecha l\u00edmite para la implementaci\u00f3n fue septiembre de 2023. Europa sigue con el CRA – e incluso da un paso m\u00e1s all\u00e1 que la regulaci\u00f3n estadounidense con las obligaciones de notificaci\u00f3n desde septiembre de 2026. Para pymes alemanas que suministran tanto a EE. UU. como a la UE, esto significa: la SBOM no es opcional, es un requisito para acceder al mercado en ambos lados del Atl\u00e1ntico.<\/p>\n La dimensi\u00f3n financiera es considerable: seg\u00fan el IBM Cost of a Data Breach Report 2024, el coste medio de un incidente en la cadena de suministro es de casi 5 millones de d\u00f3lares<\/strong>. Para una empresa mediana con 500 empleados, esto puede ser una amenaza existencial – especialmente si el tiempo de detecci\u00f3n es de casi diez meses y durante ese tiempo se comprometen m\u00e1s sistemas. A esto se suman las consecuencias regulatorias: bajo NIS2, las sanciones por deficiencias en la seguridad de la cadena de suministro pueden alcanzar hasta 10 millones de euros y la responsabilidad personal de los directores. Bajo el CRA, se a\u00f1aden hasta 15 millones m\u00e1s. Los costes de prevenci\u00f3n – herramientas para SBOM, escaneo de dependencias, medio puesto dedicado a seguridad de la cadena de suministro – se sit\u00faan en la cifra baja de cinco d\u00edgitos anuales. La relaci\u00f3n entre inversi\u00f3n y da\u00f1o potencial justifica cualquiera de estas medidas.<\/p>\n 1. Anclaje de dependencias basado en SHA.<\/strong> En lugar de referenciar acciones de GitHub por etiqueta (@v1), usar el hash de commit espec\u00edfico. Las etiquetas pueden sobrescribirse, los hashes SHA no. Todo el ataque a Trivy habr\u00eda fracasado.<\/p>\n 2. Crear y mantener una SBOM.<\/strong> Quien no sabe qu\u00e9 dependencias contiene su software, no puede reaccionar ante la pr\u00f3xima alerta CVE. Herramientas como Syft generan SBOMs autom\u00e1ticamente a partir de im\u00e1genes de contenedores.<\/p>\n 3. Implementar SLSA Nivel 2.<\/strong> El marco Supply-chain Levels for Software Artifacts asegura la integridad de la compilaci\u00f3n. El Nivel 2 – procedencia de compilaci\u00f3n firmada digitalmente – es alcanzable en pocas semanas con cosign y GitHub-OIDC.<\/p>\n 4. Escaneo de dependencias en la cadena CI\/CD.<\/strong> Verificaci\u00f3n automatizada de cada dependencia en cada compilaci\u00f3n. Herramientas: Dependabot, Snyk, Grype. Ning\u00fan push sin una verificaci\u00f3n de seguridad positiva.<\/p>\n 5. Firma de c\u00f3digo con Sigstore.<\/strong> Gratis, c\u00f3digo abierto, permite firmas criptogr\u00e1ficas para binarios y paquetes. Las manipulaciones quedan demostradas.<\/p>\n 6. Evaluaci\u00f3n regular del riesgo del proveedor.<\/strong> No solo verificar el propio software, sino tambi\u00e9n a los proveedores<\/a>. Quien utiliza un esc\u00e1ner de vulnerabilidades debe saber si su cadena CI\/CD est\u00e1 protegida.<\/p>\n La combinaci\u00f3n de estas seis medidas constituye el m\u00ednimo necesario para una seguridad robusta en la cadena de suministro. Ninguna medida por s\u00ed sola es suficiente. El anclaje SHA sin escaneo de dependencias no detecta vulnerabilidades conocidas. Una SBOM sin evaluaci\u00f3n del proveedor muestra las dependencias propias, pero no su estado de seguridad. Y la firma de c\u00f3digo sin SLSA solo prueba qui\u00e9n firm\u00f3, no si el proceso de compilaci\u00f3n fue limpio. La fortaleza est\u00e1 en la combinaci\u00f3n: transparencia (SBOM), integridad (SLSA + firma), verificaci\u00f3n (escaneo + evaluaci\u00f3n) y endurecimiento (anclaje).<\/p>\n El punto decisivo: la seguridad de la cadena de suministro no es un proyecto que se termine una vez. Es un proceso continuo que debe integrarse en cada compilaci\u00f3n, cada despliegue y cada decisi\u00f3n de compra. El ataque a Trivy ha demostrado que incluso las herramientas que deber\u00edan garantizar la seguridad pueden ser comprometidas. Quien entiende esto, no basa su defensa en la confianza, sino en la verificaci\u00f3n.<\/p>\n \n\u00abLos ataques a la cadena de suministro de software de nuestra infraestructura global de TIC son cada vez m\u00e1s frecuentes, agresivos y graves.\u00bb La lecci\u00f3n de 2024, 2025 y el primer trimestre de 2026 es clara: las cadenas de suministro de software son la nueva principal superficie de ataque. Quien las ignora, conf\u00eda en un mundo que exige verificaci\u00f3n. El caso de Trivy es especialmente instructivo – no porque fuera t\u00e9cnicamente novedoso, sino porque muestra que incluso las herramientas de defensa son vulnerables. La respuesta no es desconfiar del c\u00f3digo abierto. Es la verificaci\u00f3n sistem\u00e1tica: cada dependencia verificada, cada compilaci\u00f3n firmada, cada cambio rastreable. Es un trabajo intenso. Pero la alternativa – 287 d\u00edas con c\u00f3digo comprometido en producci\u00f3n – lo es mucho m\u00e1s.<\/p>\n En marzo de 2026, el grupo TeamPCP comprometi\u00f3 el esc\u00e1ner de vulnerabilidades de c\u00f3digo abierto Trivy de Aqua Security. 75 de las 76 etiquetas de versi\u00f3n en el repositorio de GitHub fueron redirigidas a c\u00f3digo malicioso. El c\u00f3digo infiltrado rob\u00f3 secretos de CI\/CD como claves SSH, credenciales en la nube y tokens de Kubernetes.<\/p>\n Una SBOM (lista de materiales de software) es una lista legible por m\u00e1quina de todos los componentes de software de un producto. La Ley de Resiliencia Cibern\u00e9tica de la UE la hace obligatoria a partir de diciembre de 2027. Los formatos comunes son CycloneDX y SPDX.<\/p>\n Las medidas m\u00e1s importantes son: anclaje de dependencias basado en SHA, escaneo automatizado de dependencias en la cadena CI\/CD, crear y mantener una SBOM, firma de c\u00f3digo con Sigstore y evaluaci\u00f3n regular del riesgo del proveedor.<\/p>\n En lugar de referenciar una acci\u00f3n de GitHub por etiqueta de versi\u00f3n (por ejemplo, @v1), se utiliza el hash de commit espec\u00edfico. Las etiquetas pueden ser sobrescritas por atacantes, los hashes SHA no.<\/p>\n Seg\u00fan el informe del BSI 2025, el tiempo medio de detecci\u00f3n es de 287 d\u00edas. En la puerta trasera de XZ-Utils, la preparaci\u00f3n dur\u00f3 incluso tres a\u00f1os.<\/p>\n Toda empresa que utilice o gestione software. Especialmente expuestas: empresas bajo regulaci\u00f3n NIS2 (unas 29.500 en Alemania) y operadores de infraestructuras cr\u00edticas.<\/p>\n Supply-chain Levels for Software Artifacts – un modelo escalonado para la integridad de la compilaci\u00f3n. El Nivel 2 puede implementarse en pocas semanas con cosign y GitHub-OIDC.<\/p>\n Fuente de imagen: Pexels \/ Tima Miroshnichenko (px:5380603)<\/p>\n","protected":false},"excerpt":{"rendered":"75 de 76 etiquetas de versi\u00f3n comprometidas, 287 d\u00edas de tiempo de detecci\u00f3n, 156 por ciento m\u00e1s de paquetes da\u00f1inos. Lo que el ataque Trivy revela sobre un ataque de **supply-chain**.","protected":false},"author":50,"featured_media":5568,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"software-lieferketten","_yoast_wpseo_title":"","_yoast_wpseo_metadesc":"Software-Lieferkette: Protege tu entorno de ataques en cadena como el de Trivy. Aprende las mejores pr\u00e1cticas y act\u00faa ahora para fortalecer tu seguridad.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"footnotes":""},"categories":[253],"tags":[],"class_list":["post-9851","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad"],"wpml_language":"es","wpml_translation_of":5569,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/9851","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=9851"}],"version-history":[{"count":4,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/9851\/revisions"}],"predecessor-version":[{"id":13497,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/9851\/revisions\/13497"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/5568"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=9851"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=9851"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=9851"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}En resumen<\/h2>\n
\n
El ataque a Trivy: cuando el esc\u00e1ner se convierte en troyano<\/h2>\n
El patr\u00f3n: XZ Utils, 3CX y la estrategia a largo plazo<\/h2>\n
\n– Philip Reitinger, CEO de Global Cyber Alliance, de forma aproximada (SecurityWeek Cyber Insights 2024)<\/cite>\n<\/p><\/blockquote>\nLas cifras: por qu\u00e9 el problema crece exponencialmente<\/h2>\n
Por qu\u00e9 las herramientas de seguridad tradicionales no son suficientes<\/h2>\n
Alemania: 119 vulnerabilidades por d\u00eda y la obligaci\u00f3n de la SBOM<\/h2>\n
Qu\u00e9 medidas concretas protegen: seis acciones con evidencia<\/h2>\n
\n– CISA, Defending Against Software Supply Chain Attacks, de forma aproximada<\/cite>\n<\/p><\/blockquote>\nPreguntas frecuentes<\/h2>\n
\u00bfQu\u00e9 fue el ataque a la cadena de suministro de Trivy?<\/h3>\n
\u00bfQu\u00e9 es una SBOM y por qu\u00e9 ser\u00e1 obligatoria?<\/h3>\n
\u00bfC\u00f3mo me protejo de los ataques a la cadena de suministro?<\/h3>\n
\u00bfQu\u00e9 es el anclaje basado en SHA?<\/h3>\n
\u00bfCu\u00e1nto tiempo permanecen sin descubrir los ataques a la cadena de suministro?<\/h3>\n
\u00bfQu\u00e9 empresas alemanas est\u00e1n afectadas?<\/h3>\n
\u00bfQu\u00e9 es SLSA?<\/h3>\n
Recomendaciones de lectura de la redacci\u00f3n<\/h2>\n
\n
M\u00e1s del MBF Media Network<\/h2>\n
\n