Menu

Kaspersky, GitHub Actions iş akışlarında 250 binden fazla potansiyel güvenlik riski tespit etti

Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT), GitHub'da en fazla yıldız alan depolardaki GitHub Actions iş akışlarını kapsamlı şekilde inceledi.

GİRİŞ: 07 Temmuz 2026 - 10:50
Kaspersky, GitHub Actions iş akışlarında 250 binden fazla potansiyel güvenlik riski tespit etti

Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT), GitHub'da en fazla yıldız alan depolardaki GitHub Actions iş akışlarını kapsamlı şekilde inceledi. Kaspersky Container Security'nin kısa süre önce kullanıma sunulan yeni analiz yeteneklerinden yararlanan araştırmacılar, kritik yapılandırma hataları barındıran sekiz depo tespit etti. 

Açık kaynak bileşenleri, modern yazılım geliştirme süreçlerinin temel yapı taşları arasında yer alıyor. Ancak bu bileşenler, yazılım tedarik zincirine yönelik saldırılar için gizli riskler de barındırıyor. Bunun en dikkat çekici örneklerinden biri, TeamPCP tarafından Mayıs 2026'da gerçekleştirilen Mini Shai-Hulud kampanyası oldu. Söz konusu saldırıda GitHub Actions tabanlı derleme (build) süreçlerindeki zafiyetlerden yararlanılarak TanStack, Mistral AI ve OpenSearch gibi projeleri etkileyen 170'ten fazla npm ve PyPI paketi ele geçirildi. Genel olarak yanlış yapılandırılmış GitHub Actions iş akışları, güvenilir geliştirme süreçlerini saldırganlar için kritik giriş noktalarına dönüştürebiliyor. Bu durum, otomatik iş akışlarının ele geçirilmesine, üretim ortamlarına kötü amaçlı kod eklenmesine veya kritik altyapı anahtarlarının yetkisiz kişilerin eline geçmesine neden olabiliyor.

GitHub Actions iş akışlarına yönelik değerlendirmesini tamamlayan Kaspersky GReAT uzmanları, en çok yıldız alan 30.000 depoda 130 binden fazla CI/CD iş akışı incelendi. Kaspersky Container Security'nin son güncellemesiyle gelen özel tarama kurallarından yararlanan araştırmacılar, sürekli entegrasyon ve sürekli teslimat (CI/CD) süreçlerinde 250 binden fazla potansiyel hatalı yapılandırma saptadı. Bu sonuçlar, güvenli olmayan yapılandırma uygulamalarının yaygınlığını ortaya koyuyor. Analiz edilen depoların yalnızca %10'unda herhangi bir güvenlik uyarısı tespit edilmedi.

Tespit edilen bulguların yüzde 59,8'i düşük, yüzde 39,8'i orta ve yüzde 0,4'ü ise yüksek risk kategorisinde yer aldı. En yaygın sorunlar; Varsayılan olarak verilen veya kapsamı gereğinden fazla geniş erişim izinleri, bağımlılıkların belirli sürümlere sabitlenmemesi (version pinning) ve iş akışı ayarlarındaki güvenlik eksiklikleri oldu. Daha az sayıda depoda ise hassas bilgilerin açığa çıkmasına yol açabilecek yapılandırmalar, güvenli olmayan çalıştırma ayarları ve harici verilerin yeterli doğrulama yapılmadan işlenmesi gibi, çok daha ciddi güvenlik ihlallerine neden olabilecek riskler tespit edildi.

Araştırmacılar, yüksek risk kategorisinde değerlendirilen yaklaşık 200 depo üzerinde yaptıkları detaylı incelemede, yazılım tedarik zincirinin tehlikeye girmesine neden olabilecek kritik güvenlik sorunları barındıran sekiz depo belirledi. Bu depolar; kurumsal yapay zekâ entegrasyonları, geliştirici ve otomasyon hizmetleri ile güvenlik test araçları gibi farklı alanlarda kullanılan projeleri kapsıyor. Tespit edilen kritik bulguların tamamı, sorumlu açıklama (responsible disclosure) ilkeleri doğrultusunda geliştiricilerle paylaşıldı.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko, konuya ilişkin yaptığı açıklamada şunları söyledi: “Geçtiğimiz yıl, güvenli CI/CD yapılandırma yönergelerine uyulması halinde kolayca önlenebilecek ciddi tedarik zinciri saldırılarına tanık olduk. Ortaya çıkardığımız bu sorunlar doğrudan istismar edilebilir açıklar anlamına gelmese de, geliştiricilerin yapılandırmalarını gözden geçirmesi ve güçlendirmesi gereken zayıf noktalara işaret ediyor. Kuruluşlar bu açıkları erkenden tespit ederek çok daha dirençli CI/CD hatları inşa edebilir ve tedarik zinciri ihlali riskini azaltabilir. Konteyner güvenliği çözümümüz için geliştirdiğimiz kurallar, bu boşlukların kötü niyetli kişilerce suistimal edilmeden önce belirlenmesi ve giderilmesi için pratik bir çerçeve sunuyor.”

Kaspersky Container Security kullanıcıları, hatalı yapılandırmalardan kaynaklanan potansiyel güvenlik sorunlarını tespit etmek ve etkilerini azaltmak için GitHub depo tarama özelliğinden yararlanabiliyor. Bu özellik doğrudan CI/CD iş akışlarına entegre edilebildiği gibi bağımsız (standalone) modda da kullanılabiliyor.

Kaspersky Container Security hakkında daha fazla bilgiye ilgili bağlantıdan ulaşabilirsiniz.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

BENZER HABERLER
PUAN DURUMU
O AV P
1 Alanyaspor Alanyaspor 0 0 0
2 Amed Sportif Amed Sportif 0 0 0
3 Beşiktaş Beşiktaş 0 0 0
4 Arca Çorum FK Arca Çorum FK 0 0 0
5 Erzurumspor Erzurumspor 0 0 0
6 Eyüpspor Eyüpspor 0 0 0
7 Fenerbahçe Fenerbahçe 0 0 0
8 Galatasaray Galatasaray 0 0 0
Tamamını Göster
15 Konyaspor Konyaspor 0 0 0
16 Rizespor Rizespor 0 0 0
17 Samsunspor Samsunspor 0 0 0
18 Trabzonspor Trabzonspor 0 0 0
O AV P
1 Antalyaspor Antalyaspor 0 0 0
2 Bandırmaspor Bandırmaspor 0 0 0
3 Batman Petrolspor Batman Petrolspor 0 0 0
4 Bodrum FK Bodrum FK 0 0 0
5 Boluspor Boluspor 0 0 0
6 Bursaspor Bursaspor 0 0 0
7 Esenler Erokspor Esenler Erokspor 0 0 0
8 Karagümrük Karagümrük 0 0 0
Tamamını Göster
17 Sarıyer Sarıyer 0 0 0
18 Sivasspor Sivasspor 0 0 0
19 Ümraniye Ümraniye 0 0 0
20 Vanspor FK Vanspor FK 0 0 0
O AV P
1 Bournemouth Bournemouth 0 0 0
2 Arsenal Arsenal 0 0 0
3 Aston Villa Aston Villa 0 0 0
4 Brentford Brentford 0 0 0
5 Brighton Brighton 0 0 0
6 Chelsea Chelsea 0 0 0
7 Coventry City Coventry City 0 0 0
8 C.Palace C.Palace 0 0 0
Tamamını Göster
17 Newcastle Newcastle 0 0 0
18 N. Forest N. Forest 0 0 0
19 Sunderland Sunderland 0 0 0
20 Tottenham Tottenham 0 0 0
O AV P
1 Augsburg Augsburg 0 0 0
2 Leverkusen Leverkusen 0 0 0
3 Bayern Munih Bayern Munih 0 0 0
4 B. Dortmund B. Dortmund 0 0 0
5 Mönchengladbach Mönchengladbach 0 0 0
6 E. Frankfurt E. Frankfurt 0 0 0
7 Elversberg Elversberg 0 0 0
8 FC Köln FC Köln 0 0 0
Tamamını Göster
15 Schalke 04 Schalke 04 0 0 0
16 Union Berlin Union Berlin 0 0 0
17 VfB Stuttgart VfB Stuttgart 0 0 0
18 Werder Bremen Werder Bremen 0 0 0
O AV P
1 Athletic Bilbao Athletic Bilbao 0 0 0
2 Atletico Madrid Atletico Madrid 0 0 0
3 Barcelona Barcelona 0 0 0
4 Celta Vigo Celta Vigo 0 0 0
5 Alaves Alaves 0 0 0
6 Deportivo de A Coruna Deportivo de A Coruna 0 0 0
7 Elche Elche 0 0 0
8 Espanyol Espanyol 0 0 0
Tamamını Göster
17 Real Sociedad Real Sociedad 0 0 0
18 Sevilla Sevilla 0 0 0
19 Valencia Valencia 0 0 0
20 Villarreal Villarreal 0 0 0
O AV P
1 AC Milan AC Milan 0 0 0
2 Atalanta Atalanta 0 0 0
3 Bologna Bologna 0 0 0
4 Cagliari Cagliari 0 0 0
5 Como Como 0 0 0
6 Fiorentina Fiorentina 0 0 0
8 Genoa Genoa 0 0 0
9 Inter Inter 0 0 0
Tamamını Göster
17 Sassuolo Sassuolo 0 0 0
18 Torino Torino 0 0 0
19 Udinese Udinese 0 0 0
20 Venezia Venezia 0 0 0
O AV P
1 Angers Angers 0 0 0
2 Auxerre Auxerre 0 0 0
3 Brest Brest 0 0 0
4 Le Havre Le Havre 0 0 0
5 Le Mans Le Mans 0 0 0
6 Lens Lens 0 0 0
7 Lille Lille 0 0 0
8 Lorient Lorient 0 0 0
Tamamını Göster
15 Rennes Rennes 0 0 0
16 Strasbourg Strasbourg 0 0 0
17 Toulouse Toulouse 0 0 0
18 Troyes Troyes 0 0 0
O AV P
1 ADO Den Haag ADO Den Haag 0 0 0
2 Alkmaar Alkmaar 0 0 0
3 Ajax Ajax 0 0 0
4 Cambuur Cambuur 0 0 0
5 Excelsior Excelsior 0 0 0
6 FC Groningen FC Groningen 0 0 0
7 FC Twente FC Twente 0 0 0
8 FC Utrecht FC Utrecht 0 0 0
Tamamını Göster
15 SC Heerenveen SC Heerenveen 0 0 0
16 S. Rotterdam S. Rotterdam 0 0 0
17 Telstar Telstar 0 0 0
18 Willem Willem 0 0 0