Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT), GitHub'ın en çok yıldız alan 30 bin depodaki CI/CD iş akışlarını inceledi. Son güncellemesiyle gelen özel tarama kurallarını kullanan araştırmacılar, 130 binden fazla iş akışında 250 binden fazla potansiyel hatalı yapılandırma saptadı.\n\nTespit edilen sorunların yüzde 59,8'i düşük, yüzde 39,8'i orta ve yüzde 0,4'ü yüksek risk kategorisinde yer aldı. En yaygın sorunlar arasında gereğinden fazla geniş erişim izinleri, bağımlılıkların belirli sürümlere sabitlenmemesi ve iş akışı ayarlarındaki güvenlik eksiklikleri bulundu. Detaylı incelemede sekiz depo, yazılım tedarik zincirinin ele geçirilmesine neden olabilecek kritik güvenlik sorunları barındırdığı belirlenmiştir.\n\nAraştırma, geçen yıl TeamPCP tarafından gerçekleştirilen Mini Shai-Hulud kampanyası gibi saldırılara işaret ediyor. Bu saldırıda GitHub Actions zafiyetlerinden yararlanan saldırganlar, TanStack, Mistral AI ve OpenSearch gibi projeleri etkileyen 170'ten fazla npm ve PyPI paketini ele geçirmişti.
Kaspersky, GitHub Actions'da 250 binden fazla güvenlik riski buldu

Kaspersky araştırmacıları, GitHub'ın en popüler depolarındaki CI/CD iş akışlarında 250 binden fazla potansiyel güvenlik hatasını tespit etti. Sekiz kritik depo, yazılım tedarik zincirini tehlikeye sokabilecek nitelikte sorunlar içeriyordu.
Galeri
Bilgi TeknolojileriKasperskyGitHub Actionssiber güvenlikCI/CDyazılım tedarik zincirigüvenlik açıkları
İlgili Haberler
Turkcell Genel Müdürü GSMA Teknoloji Grubu Başkanı Oldu

Pakyürek, Logo ERP ile operasyonlarını veriye dayalı yönetiyor

Bticino Living Now KNX Termostat, Akıllı Binalarda İklim Kontrolünü Merkezileştiriyor

Halkbank ve İTÜ ARI Teknokent'ten 10 Girişime Destek

Isparta'da 1000 Bilgisayar Kamu Kurumları ve Sosyal Alanlara Dağıtılacak
