Ekonomi Haberleri : Kaspersky araştırmacıları, GitHub Actions iş akışlarında yaptıkları inceleme sonucunda 250 binden fazla potansiyel güvenlik riski bulunduğunu ortaya koydu.Şirketten yapılan açıklamaya göre, Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), GitHub'da en fazla yıldız alan depolardaki GitHub Actions iş akışlarını inceledi.
Kaspersky Container Security'nin yeni analiz yeteneklerinden yararlanan araştırmacılar, kritik yapılandırma hataları içeren 8 depo tespit etti.Açık kaynak bileşenleri, modern yazılım geliştirme süreçlerinin temel yapı taşları arasında yer alıyor. Ancak bu bileşenler, yazılım tedarik zincirine yönelik saldırılar için gizli riskler de barındırıyor. Bunun en dikkati çekici örneklerinden biri, TeamPCP tarafından Mayıs 2026'da gerçekleştirilen Mini Shai-Hulud kampanyası oldu. Söz konusu saldırıda GitHub Actions tabanlı derleme (build) süreçlerindeki zafiyetlerden yararlanılarak TanStack, Mistral AI ve OpenSearch gibi projeleri etkileyen 170'ten fazla npm ve PyPI paketi ele geçirildi.
Kaspersky Container Security'nin son güncellemesiyle gelen özel tarama kurallarından yararlanan araştırmacılar, sürekli entegrasyon ve teslimat süreçlerinde 250 binden fazla potansiyel hatalı yapılandırma tespit etti.Analizde, güvenli olmayan yapılandırma uygulamalarının yaygın olduğu görülürken, incelenen depoların yalnızca yüzde 10'unda herhangi bir güvenlik uyarısına rastlanmadı.Tespit edilen bulguların yüzde 59,8'i düşük, yüzde 39,8'i orta ve yüzde 0,4'ü ise yüksek risk kategorisinde yer aldı. En yaygın sorunlar, varsayılan olarak verilen veya kapsamı gereğinden fazla geniş erişim izinleri, bağımlılıkların belirli sürümlere sabitlenmemesi (version pinning) ve iş akışı ayarlarındaki güvenlik eksiklikleri oldu. Daha az sayıda depoda ise hassas bilgilerin açığa çıkmasına yol açabilecek yapılandırmalar, güvenli olmayan çalıştırma ayarları ve harici verilerin yeterli doğrulama yapılmadan işlenmesi gibi, çok daha ciddi güvenlik ihlallerine neden olabilecek riskler tespit edildi.
Bu depolar, kurumsal yapay zeka entegrasyonları, geliştirici ve otomasyon hizmetleri ile güvenlik test araçları gibi farklı alanlarda kullanılan projeleri kapsıyor. Tespit edilen kritik bulguların tamamı, sorumlu açıklama (responsible disclosure) ilkeleri doğrultusunda geliştiricilerle paylaşıldı.Açıklamada görüşlerine yer verilen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko, güvenli CI/CD yapılandırma yönergelerine uyulması halinde kolayca önlenebilecek ciddi tedarik zinciri saldırılarına tanık olunduğunu belirterek, şunları kaydetti:Ortaya çıkardığımız bu sorunlar doğrudan istismar edilebilir açıklar anlamına gelmese de geliştiricilerin yapılandırmalarını gözden geçirmesi ve güçlendirmesi gereken zayıf noktalara işaret ediyor. Kuruluşlar bu açıkları erkenden tespit ederek çok daha dirençli CI/CD hatları inşa edebilir ve tedarik zinciri ihlali riskini azaltabilir. Konteyner güvenliği çözümümüz için geliştirdiğimiz kurallar, bu boşlukların kötü niyetli kişilerce suistimal edilmeden önce belirlenmesi ve giderilmesi için pratik bir çerçeve sunuyor.
Kaspersky Container Security'nin yeni analiz yeteneklerinden yararlanan araştırmacılar, kritik yapılandırma hataları içeren 8 depo tespit etti.Açık kaynak bileşenleri, modern yazılım geliştirme süreçlerinin temel yapı taşları arasında yer alıyor. Ancak bu bileşenler, yazılım tedarik zincirine yönelik saldırılar için gizli riskler de barındırıyor. Bunun en dikkati çekici örneklerinden biri, TeamPCP tarafından Mayıs 2026'da gerçekleştirilen Mini Shai-Hulud kampanyası oldu. Söz konusu saldırıda GitHub Actions tabanlı derleme (build) süreçlerindeki zafiyetlerden yararlanılarak TanStack, Mistral AI ve OpenSearch gibi projeleri etkileyen 170'ten fazla npm ve PyPI paketi ele geçirildi.
Yanlış yapılandırmalar siber saldırganlara fırsat yaratıyor
Genel olarak yanlış yapılandırılmış GitHub Actions iş akışları, güvenilir geliştirme süreçlerini saldırganlar için kritik giriş noktalarına dönüştürebiliyor. Bu durum, otomatik iş akışlarının ele geçirilmesine, üretim ortamlarına kötü amaçlı kod eklenmesine veya kritik altyapı anahtarlarının yetkisiz kişilerin eline geçmesine neden olabiliyor.Kaspersky GReAT uzmanları, GitHub Actions iş akışlarına yönelik değerlendirme kapsamında en çok yıldız alan 30 bin depoda 130 binden fazla CI/CD iş akışını inceledi.Kaspersky Container Security'nin son güncellemesiyle gelen özel tarama kurallarından yararlanan araştırmacılar, sürekli entegrasyon ve teslimat süreçlerinde 250 binden fazla potansiyel hatalı yapılandırma tespit etti.Analizde, güvenli olmayan yapılandırma uygulamalarının yaygın olduğu görülürken, incelenen depoların yalnızca yüzde 10'unda herhangi bir güvenlik uyarısına rastlanmadı.Tespit edilen bulguların yüzde 59,8'i düşük, yüzde 39,8'i orta ve yüzde 0,4'ü ise yüksek risk kategorisinde yer aldı. En yaygın sorunlar, varsayılan olarak verilen veya kapsamı gereğinden fazla geniş erişim izinleri, bağımlılıkların belirli sürümlere sabitlenmemesi (version pinning) ve iş akışı ayarlarındaki güvenlik eksiklikleri oldu. Daha az sayıda depoda ise hassas bilgilerin açığa çıkmasına yol açabilecek yapılandırmalar, güvenli olmayan çalıştırma ayarları ve harici verilerin yeterli doğrulama yapılmadan işlenmesi gibi, çok daha ciddi güvenlik ihlallerine neden olabilecek riskler tespit edildi.
Tespit edilen açıklar geliştiricilerle paylaşıldı
Araştırmacılar, yüksek risk kategorisinde değerlendirilen yaklaşık 200 depo üzerinde yaptıkları detaylı incelemede, yazılım tedarik zincirinin tehlikeye girmesine neden olabilecek kritik güvenlik sorunları barındıran 8 depo belirledi.Bu depolar, kurumsal yapay zeka entegrasyonları, geliştirici ve otomasyon hizmetleri ile güvenlik test araçları gibi farklı alanlarda kullanılan projeleri kapsıyor. Tespit edilen kritik bulguların tamamı, sorumlu açıklama (responsible disclosure) ilkeleri doğrultusunda geliştiricilerle paylaşıldı.Açıklamada görüşlerine yer verilen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko, güvenli CI/CD yapılandırma yönergelerine uyulması halinde kolayca önlenebilecek ciddi tedarik zinciri saldırılarına tanık olunduğunu belirterek, şunları kaydetti:Ortaya çıkardığımız bu sorunlar doğrudan istismar edilebilir açıklar anlamına gelmese de geliştiricilerin yapılandırmalarını gözden geçirmesi ve güçlendirmesi gereken zayıf noktalara işaret ediyor. Kuruluşlar bu açıkları erkenden tespit ederek çok daha dirençli CI/CD hatları inşa edebilir ve tedarik zinciri ihlali riskini azaltabilir. Konteyner güvenliği çözümümüz için geliştirdiğimiz kurallar, bu boşlukların kötü niyetli kişilerce suistimal edilmeden önce belirlenmesi ve giderilmesi için pratik bir çerçeve sunuyor.

