Canlı yayın8 Temmuz 2026 Çarşamba
₿ Bitcoin $62.584 %-0,79Ξ Ethereum $1.752 %-1,03₿ Bitcoin $62.584 %-0,79Ξ Ethereum $1.752 %-1,03
☀️ İstanbul 23°C🌤️ Ankara 21°C☀️ İzmir 27°C☀️ Erzincan 21°C☀️ Antalya 30°C☀️ İstanbul 23°C🌤️ Ankara 21°C☀️ İzmir 27°C☀️ Erzincan 21°C☀️ Antalya 30°C

Kaspersky, GitHub Actions İş Akışlarında 250 Bin Güvenlik Riski Tespit Etti

Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), GitHub’da en fazla yıldız alan depolardaki GitHub Actions iş akışlarını kapsamlı şekilde inceledi. Araştırmacılar, Kaspersky Container Security’nin yeni analiz yeteneklerini kullanarak kritik yapılandırma hataları barındıran sekiz depo tespit etti.

İncelenen 30.000 Depoda 250 Bin Potansiyel Risk

Kaspersky GReAT uzmanları, en çok yıldız alan 30.000 depoda 130 binden fazla CI/CD iş akışını inceledi. Kaspersky Container Security’nin son güncellemesiyle gelen özel tarama kuralları sayesinde sürekli entegrasyon ve sürekli teslimat (CI/CD) süreçlerinde 250 binden fazla potansiyel hatalı yapılandırma saptandı. Analiz edilen depoların yalnızca %10’unda herhangi bir güvenlik uyarısı tespit edilmedi.

Tespit edilen bulguların yüzde 59,8’i düşük, yüzde 39,8’i orta ve yüzde 0,4’ü yüksek risk kategorisinde yer aldı. En yaygın sorunlar; varsayılan olarak verilen veya kapsamı gereğinden fazla geniş erişim izinleri, bağımlılıkların belirli sürümlere sabitlenmemesi ve iş akışı ayarlarındaki güvenlik eksiklikleri oldu.

Sekiz Depoda Kritik Güvenlik Sorunları

Yüksek risk kategorisindeki yaklaşık 200 depo üzerinde detaylı inceleme yapan araştırmacılar, yazılım tedarik zincirini tehlikeye atabilecek kritik güvenlik sorunları barındıran sekiz depo belirledi. Bu depolar; kurumsal yapay zekâ entegrasyonları, geliştirici ve otomasyon hizmetleri ile güvenlik test araçları gibi alanlarda kullanılan projeleri kapsıyor. Tespit edilen kritik bulguların tamamı, sorumlu açıklama (responsible disclosure) ilkeleri doğrultusunda geliştiricilerle paylaşıldı.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko, konuya ilişkin yaptığı açıklamada şunları söyledi: “Geçtiğimiz yıl, güvenli CI/CD yapılandırma yönergelerine uyulması halinde kolayca önlenebilecek ciddi tedarik zinciri saldırılarına tanık olduk. Ortaya çıkardığımız bu sorunlar doğrudan istismar edilebilir açıklar anlamına gelmese de, geliştiricilerin yapılandırmalarını gözden geçirmesi ve güçlendirmesi gereken zayıf noktalara işaret ediyor.”

Konteyner Güvenliği Çözümüyle Önleyici Tedbir

Kaspersky Container Security kullanıcıları, hatalı yapılandırmalardan kaynaklanan potansiyel güvenlik sorunlarını tespit etmek ve etkilerini azaltmak için GitHub depo tarama özelliğinden yararlanabiliyor. Bu özellik doğrudan CI/CD iş akışlarına entegre edilebildiği gibi bağımsız modda da kullanılabiliyor.