feat: add Trivy security scan workflow for vulnerability detection #6

aavinash-nr · 2025-08-14T10:53:10Z

No description provided.

github-actions · 2025-08-14T10:54:52Z

🔒 Trivy Security Scan Results

✅ Trivy Security Scanner: No vulnerabilities detected

✅ Trivy scan passed

View the complete security scan logs in the Actions tab.

github-actions · 2025-08-18T10:07:21Z

Report Summary

┌──────────────────────────────────────────────────────────────────────────────────┬───────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├──────────────────────────────────────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ examples/sam/ai-monitoring/src/package-lock.json │ npm │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ examples/sam/containerized-lambda/java-17-maven-sam-example/HelloWorldFunction/- │ pom │ 0 │ - │
│ pom.xml │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ examples/sam/containerized-lambda/nodejs-sam-example/hello-world/package-lock.j- │ npm │ 1 │ - │
│ son │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ examples/sam/distributedtracing/java/DtSnsFunction/pom.xml │ pom │ 35 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ examples/sam/go/go.mod │ gomod │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ examples/sam/java/NewRelicExampleJava/pom.xml │ pom │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼───────┼─────────────────┼─────────┤
│ go.mod │ gomod │ 0 │ - │
└──────────────────────────────────────────────────────────────────────────────────┴───────┴─────────────────┴─────────┘
Legend:

'-': Not scanned
'0': Clean (no security findings detected)

For OSS Maintainers: VEX Notice

If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://trivy.dev/v0.64/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.

examples/sam/containerized-lambda/nodejs-sam-example/hello-world/package-lock.json (npm)

Total: 1 (HIGH: 0, CRITICAL: 1)

┌───────────┬───────────────┬──────────┬────────┬───────────────────┬─────────────────────┬────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├───────────┼───────────────┼──────────┼────────┼───────────────────┼─────────────────────┼────────────────────────────────────────────────┤
│ form-data │ CVE-2025-7783 │ CRITICAL │ fixed │ 4.0.1 │ 2.5.4, 3.0.4, 4.0.4 │ form-data: Unsafe random function in form-data │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-7783 │
└───────────┴───────────────┴──────────┴────────┴───────────────────┴─────────────────────┴────────────────────────────────────────────────┘

examples/sam/distributedtracing/java/DtSnsFunction/pom.xml (pom)

Total: 35 (HIGH: 27, CRITICAL: 8)

┌─────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├─────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.amazonaws:aws-java-sdk-s3 │ CVE-2022-31159 │ HIGH │ fixed │ 1.11.956 │ 1.12.261 │ Partial Path Traversal in com.amazonaws:aws-java-sdk-s3 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-31159 │
├─────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-core │ CVE-2025-52999 │ │ │ 2.6.7 │ 2.15.0 │ com.fasterxml.jackson.core/jackson-core: jackson-core │
│ │ │ │ │ │ │ Potential StackoverflowError │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-52999 │
├─────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2017-17485 │ CRITICAL │ │ 2.6.7.4 │ 2.9.4, 2.8.11, 2.7.9.2 │ jackson-databind: Unsafe deserialization due to incomplete │
│ │ │ │ │ │ │ black list (incomplete fix for CVE-2017-15095)... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17485 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-11307 │ │ │ │ 2.7.9.4, 2.8.11.2, 2.9.6 │ jackson-databind: Potential information exfiltration with │
│ │ │ │ │ │ │ default typing, serialization gadget from MyBatis │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-11307 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-14719 │ │ │ │ 2.9.7, 2.8.11.3, 2.7.9.5 │ jackson-databind: arbitrary code execution in blaze-ds-opt │
│ │ │ │ │ │ │ and blaze-ds-core classes │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14719 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-7489 │ │ │ │ 2.8.11.1, 2.9.5, 2.7.9.3, 2.6.7.5 │ jackson-databind: incomplete fix for CVE-2017-7525 permits │
│ │ │ │ │ │ │ unsafe serialization via c3p0 libraries │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-7489 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-14379 │ │ │ │ 2.9.9.2, 2.8.11.4, 2.7.9.6 │ jackson-databind: default typing mishandling leading to │
│ │ │ │ │ │ │ remote code execution │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14379 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-17267 │ │ │ │ 2.9.10, 2.8.11.5 │ jackson-databind: Serialization gadgets in classes of the │
│ │ │ │ │ │ │ ehcache package │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17267 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-9547 │ │ │ │ 2.9.10.4, 2.8.11.6, 2.7.9.7 │ jackson-databind: Serialization gadgets in ibatis-sqlmap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-9547 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-9548 │ │ │ │ │ jackson-databind: Serialization gadgets in anteros-core │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-9548 │
│ ├────────────────┼──────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-12022 │ HIGH │ │ │ 2.7.9.4, 2.8.11.2, 2.9.6 │ jackson-databind: improper polymorphic deserialization of │
│ │ │ │ │ │ │ types from Jodd-db library │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-12022 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-5968 │ │ │ │ 2.8.11.1, 2.9.4, 2.7.9.5 │ jackson-databind: unsafe deserialization due to incomplete │
│ │ │ │ │ │ │ blacklist (incomplete fix for CVE-2017-7525 and... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5968 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10650 │ │ │ │ 2.9.10.4 │ A deserialization flaw was discovered in jackson-databind │
│ │ │ │ │ │ │ through 2.9. ... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10650 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-24616 │ │ │ │ 2.9.10.6 │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ br.com.anteros.dbcp.AnterosDBCPDataSource... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-24616 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-24750 │ │ │ │ 2.6.7.5, 2.9.10.6 │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ │ com.pastdev.httpcomponents.configuration.JndiConfiguration │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-24750 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-35490 │ │ │ │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.- │
│ │ │ │ │ │ │ .. │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35490 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-35491 │ │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ org.apache.commons.dbcp2.datasources.SharedPoolDataSource... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35491 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-35728 │ │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnecti- │
│ │ │ │ │ │ │ onPool... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35728 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36179 │ │ │ │ 2.9.10.8, 2.6.7.5 │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS.- │
│ │ │ │ │ │ │ .. │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36179 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36180 │ │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36180 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36181 │ │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36181 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36182 │ │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.- │
│ │ │ │ │ │ │ .. │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36182 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36183 │ │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36183 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36184 │ │ │ │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSou- │
│ │ │ │ │ │ │ rce... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36184 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36185 │ │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSour- │
│ │ │ │ │ │ │ ce... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36185 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36186 │ │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSour- │
│ │ │ │ │ │ │ ce... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36186 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36187 │ │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSourc- │
│ │ │ │ │ │ │ e... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36187 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36188 │ │ │ │ 2.9.10.8, 2.6.7.5 │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnecti- │
│ │ │ │ │ │ │ onSource... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36188 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36189 │ │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ │ com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManage- │
│ │ │ │ │ │ │ rConnectionSource... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36189 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36518 │ │ │ │ 2.13.2.1, 2.12.6.1 │ jackson-databind: denial of service via a large depth of │
│ │ │ │ │ │ │ nested objects │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36518 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-20190 │ │ │ │ 2.9.10.7, 2.6.7.5 │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ │ serialization gadgets and typing, related to javax.swing... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20190 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-42003 │ │ │ │ 2.12.7.1, 2.13.4.2 │ jackson-databind: deep wrapper array nesting wrt │
│ │ │ │ │ │ │ UNWRAP_SINGLE_VALUE_ARRAYS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-42003 │
│ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-42004 │ │ │ │ 2.12.7.1, 2.13.4 │ jackson-databind: use of deeply nested arrays │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-42004 │
├─────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http2 │ CVE-2025-55163 │ │ │ 4.1.118.Final │ 4.2.4.Final, 4.1.124.Final │ netty: netty-codec-http2: Netty MadeYouReset HTTP/2 DDoS │
│ │ │ │ │ │ │ Vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-55163 │
├─────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ software.amazon.ion:ion-java │ CVE-2024-21634 │ │ │ 1.0.2 │ 1.10.5 │ ion-java: ion-java: Ion Java StackOverflow vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-21634 │
└─────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘

github-actions · 2025-08-18T12:18:00Z

Report Summary

┌────────┬───────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├────────┼───────┼─────────────────┼─────────┤
│ go.mod │ gomod │ 0 │ - │
└────────┴───────┴─────────────────┴─────────┘
Legend:

'-': Not scanned
'0': Clean (no security findings detected)

feat: add Trivy security scan workflow for vulnerability detection

0f6dd0b

aavinash-nr added 21 commits August 14, 2025 16:30

chore: Update security-scan.yml

126f9b6

feat: Update security-scan.yml

ccce8a5

feat: Update security-scan.yml

9000659

Update security-scan.yml

849cc44

chore: testing workflow

dc02d58

chore: update docker and security scan to use this docker

c9265ce

chore: updated docker file

7597a57

chore: updated code

6134d0b

chore : updated dependency-tree check

cb9823c

chore : updating mod

6a0720b

Merge branch 'dev' into NR-429672-trivy-workflow

61fa164

chore: updated docker

452eeb5

chore: updated docker

01b5284

chore: updated yml

869b4f6

chore: updated workflow

b099240

chore: updated workflow

99cf99d

chore: updating workflow

290a5be

Update security-scan.yml

48b3286

Update security-scan.yml

debbc43

Update security-scan.yml

7c2d1ff

chore: Update security-scan.yml

ed8790b

aavinash-nr added 6 commits August 18, 2025 15:39

chore: Update security-scan.yml

84a922e

chore: update security-scan.yml

0c2392d

Update security-scan.yml

5a9b722

Update security-scan.yml

9fe3e83

Update security-scan.yml

467287f

Update security-scan.yml

cb0dbc5

aavinash-nr added 2 commits August 18, 2025 17:40

Update security-scan.yml

f2a950f

Update security-scan.yml

d24b615

aavinash-nr added 4 commits August 18, 2025 17:52

Update security-scan.yml

060e4ed

Update security-scan.yml

22331f5

Update security-scan.yml

3037fda

Update security-scan.yml

3e648e9

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

feat: add Trivy security scan workflow for vulnerability detection #6

feat: add Trivy security scan workflow for vulnerability detection #6

Uh oh!

aavinash-nr commented Aug 14, 2025

Uh oh!

github-actions bot commented Aug 14, 2025

Uh oh!

github-actions bot commented Aug 18, 2025

Uh oh!

github-actions bot commented Aug 18, 2025

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

2 participants

feat: add Trivy security scan workflow for vulnerability detection #6

Are you sure you want to change the base?

feat: add Trivy security scan workflow for vulnerability detection #6

Uh oh!

Conversation

aavinash-nr commented Aug 14, 2025

Uh oh!

github-actions bot commented Aug 14, 2025

🔒 Trivy Security Scan Results

Uh oh!

github-actions bot commented Aug 18, 2025

For OSS Maintainers: VEX Notice

examples/sam/containerized-lambda/nodejs-sam-example/hello-world/package-lock.json (npm)

examples/sam/distributedtracing/java/DtSnsFunction/pom.xml (pom)

Uh oh!

github-actions bot commented Aug 18, 2025

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

2 participants