ci(secret-scan): запинить trufflehog v3.90.5 (latest 3.95.4 = 404 на бинарник)

Upstream trufflehog latest-тег указывал на релиз без выложенного бинарника → install HTTP 404 → secret-scan падал на всех PR. Пин на стабильную версию. Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-06-02 14:32:25 +03:00 · 2026-06-02 14:32:25 +03:00 · 5c5ae76e5c
commit 5c5ae76e5c
parent 201c54d179
1 changed files with 5 additions and 1 deletions
--- a/.gitea/workflows/ci.yml
+++ b/.gitea/workflows/ci.yml
@ -56,8 +56,12 @@ jobs:
          fetch-depth: 0
      - name: Install trufflehog
        run: |
+          # Версия ЗАПИНЕНА: 2026-06-02 latest-тег trufflehog (3.95.4) указывал
+          # на релиз без выложенного бинарника → install давал HTTP 404 и валил
+          # secret-scan у всех PR. Пин на стабильную версию убирает зависимость
+          # от свежести релизов upstream.
          curl -sSfL https://raw.githubusercontent.com/trufflesecurity/trufflehog/main/scripts/install.sh \
-            | sh -s -- -b /usr/local/bin
+            | sh -s -- -b /usr/local/bin v3.90.5
      - name: Run trufflehog
        run: |
          trufflehog git "file://$(pwd)" \