🚨 n8n 2.17.2 镜像因高危漏洞被安全门拦截，需人工审核

自动化工作流平台 n8n 的一个关键版本镜像在部署前被安全门强制拦截。n8n 2.17.2 镜像在自动安全扫描中被检出 5 个严重或高危的通用漏洞披露（CVE），其中至少 1 个漏洞的公开时间已超过 30 天，触发了基于漏洞年龄的安全策略，导致其无法自动通过部署流程。这一事件凸显了在持续集成/持续部署（CI/CD）管道中，对第三方软件依赖进行严格安全审查的必要性。

此次安全警报由 GitHub Actions 工作流中的自动化安全扫描触发。扫描报告显示，该镜像虽然未触发美国网络安全和基础设施安全局（CISA）已知被利用漏洞（KEV）目录，也未达到利用预测评分系统（EPSS）的高风险阈值，但其存在的多个长期未修复的高危 CVE 构成了实质性风险。根据安全策略，此类发现需要人工介入进行风险评估，操作者必须在名为“trusted-promotion”的环境门控中，手动审查详细的漏洞报告，并最终决定是批准还是拒绝该镜像的部署。

这一拦截事件直接指向软件供应链安全的核心挑战。对于广泛使用 n8n 这类开源自动化工具的企业而言，依赖过时或含有已知高危漏洞的组件，可能为攻击者提供初始入侵路径。安全门控的触发迫使开发或运维团队必须暂停部署流程，评估风险，这一过程虽然增加了操作成本，但却是防止漏洞流入生产环境的关键防线。该案例也警示，仅依赖 KEV 或 EPSS 等动态威胁情报可能不足，结合漏洞存在时间的静态策略同样至关重要。