尽管GitHub已于2025年12月修改pull_request_target工作流默认行为降低风险，但Trivy仓库的脆弱工作流早于该变更。 使用Trivy的组织应将GitHub Actions固定为完整提交SHA哈希值（而非版本标签）防范标签篡改。 安全版本为Trivy v0.69.3、trivy-action 0.35.0及setup-trivy 0.2.6。