

Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), GitHub’da en fazla yıldız alan depolardaki GitHub Actions iş akışlarını kapsamlı formda inceledi. Kaspersky Container Security’nin kısa mühlet evvel kullanıma sunulan yeni tahlil yeteneklerinden yararlanan araştırmacılar, kritik yapılandırma yanlışları barındıran sekiz depo tespit etti.
Açık kaynak bileşenleri, çağdaş yazılım geliştirme süreçlerinin temel yapı taşları arasında yer alıyor. Fakat bu bileşenler, yazılım tedarik zincirine yönelik hücumlar için saklı riskler de barındırıyor. Bunun en dikkat alımlı örneklerinden biri, TeamPCP tarafından Mayıs 2026’da gerçekleştirilen Mini Shai-Hulud kampanyası oldu. Kelam konusu akında GitHub Actions tabanlı derleme (build) süreçlerindeki zafiyetlerden yararlanılarak TanStack, Mistral AI ve OpenSearch üzere projeleri etkileyen 170’ten fazla npm ve PyPI paketi ele geçirildi. Genel olarak yanlış yapılandırılmış GitHub Actions iş akışları, emniyetli geliştirme süreçlerini saldırganlar için kritik giriş noktalarına dönüştürebiliyor. Bu durum, otomatik iş akışlarının ele geçirilmesine, üretim ortamlarına berbat emelli kod eklenmesine yahut kritik altyapı anahtarlarının yetkisiz şahısların eline geçmesine sebep olabiliyor.
GitHub Actions iş akışlarına yönelik değerlendirmesini tamamlayan Kaspersky GReAT uzmanları, en çok yıldız alan 30.000 depoda 130 binden fazla CI/CD iş akışı incelendi. Kaspersky Container Security’nin son güncellemesiyle gelen özel tarama kurallarından yararlanan araştırmacılar, daima entegrasyon ve daima teslimat (CI/CD) süreçlerinde 250 binden fazla potansiyel kusurlu yapılandırma saptadı. Bu sonuçlar, inançlı olmayan yapılandırma uygulamalarının yaygınlığını ortaya koyuyor. Analiz edilen depoların sırf %10’unda rastgele bir güvenlik uyarısı tespit edilmedi.
Tespit edilen bulguların yüzde 59,8’i düşük, yüzde 39,8’i orta ve yüzde 0,4’ü ise yüksek risk kategorisinde yer aldı. En yaygın problemler; Varsayılan olarak verilen yahut kapsamı gereğinden fazla geniş erişim müsaadeleri, bağımlılıkların muhakkak sürümlere sabitlenmemesi (version pinning) ve iş akışı ayarlarındaki güvenlik eksiklikleri oldu. Daha az sayıda depoda ise hassas bilgilerin açığa çıkmasına yol açabilecek yapılandırmalar, inançlı olmayan çalıştırma ayarları ve harici bilgilerin kâfi doğrulama yapılmadan işlenmesi üzere, çok daha önemli güvenlik ihlallerine sebep olabilecek riskler tespit edildi.
Araştırmacılar, yüksek risk kategorisinde bedellendirilen yaklaşık 200 depo üzerinde yaptıkları ayrıntılı incelemede, yazılım tedarik zincirinin tehlikeye girmesine sebep olabilecek kritik güvenlik sıkıntıları barındıran sekiz depo belirledi. Bu depolar; kurumsal yapay zekâ entegrasyonları, geliştirici ve otomasyon hizmetleri ile güvenlik test araçları üzere farklı alanlarda kullanılan projeleri kapsıyor. Tespit edilen kritik bulguların tamamı, sorumlu açıklama (responsible disclosure) prensipleri doğrultusunda geliştiricilerle paylaşıldı.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko, hususa ait yaptığı açıklamada şunları söyledi: “Geçtiğimiz yıl, inançlı CI/CD yapılandırma yönergelerine uyulması halinde basitçe önlenebilecek önemli tedarik zinciri akınlarına şahit olduk. Ortaya çıkardığımız bu problemler direkt istismar edilebilir açıklar manasına gelmese de, geliştiricilerin yapılandırmalarını gözden geçirmesi ve güçlendirmesi gereken zayıf noktalara işaret ediyor. Kuruluşlar bu açıkları erkenden tespit ederek çok daha dirençli CI/CD çizgileri inşa edebilir ve tedarik zinciri ihlali riskini azaltabilir. Konteyner güvenliği tahlilimiz için geliştirdiğimiz kurallar, bu boşlukların berbat niyetli şahıslarca suistimal edilmeden evvel belirlenmesi ve giderilmesi için pratik bir çerçeve sunuyor.”
Kaspersky Container Security kullanıcıları, yanılgılı yapılandırmalardan kaynaklanan potansiyel güvenlik sıkıntılarını tespit etmek ve tesirlerini azaltmak için GitHub depo tarama özelliğinden yararlanabiliyor. Bu özellik direkt CI/CD iş akışlarına entegre edilebildiği üzere bağımsız (standalone) modda da kullanılabiliyor.
Kaspersky Container Security hakkında daha fazla bilgiye ilgili bağlantıdan ulaşabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı


