Siber güvenlik alanının önde gelen şirketlerinden Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT), yazılım geliştiricilerin yoğun olarak kullandığı GitHub platformundaki Actions iş akışlarını detaylı bir incelemeye tabi tuttu. Özellikle en fazla yıldız alan depolardaki CI/CD (Sürekli Entegrasyon/Sürekli Teslimat) süreçlerine odaklanan ekip, Kaspersky Container Security'nin yeni analiz yeteneklerini kullanarak çarpıcı sonuçlara ulaştı. Araştırma sonucunda, tam 250 binden fazla potansiyel hatalı yapılandırma ve kritik güvenlik zafiyeti belirlendi.
Açık Kaynak Projelerdeki Gizli Tehlikeler ve Saldırı Zincirleri
Modern yazılım geliştirme süreçlerinin temelini oluşturan açık kaynak bileşenleri, sağladıkları kolaylık ve esnekliğin yanı sıra, yazılım tedarik zincirine yönelik saldırılar için ciddi riskler de barındırıyor. Bu durumun en somut örneklerinden biri, Mayıs 2026'da TeamPCP tarafından gerçekleştirilen 'Mini Shai-Hulud kampanyası' oldu. Söz konusu saldırıda, GitHub Actions tabanlı derleme süreçlerindeki zafiyetler istismar edilerek TanStack, Mistral AI ve OpenSearch gibi popüler projelere ait 170'ten fazla npm ve PyPI paketine sızıldığı ortaya çıktı. Bu tür olaylar, yanlış yapılandırılmış GitHub Actions iş akışlarının, güvenilir geliştirme süreçlerini saldırganlar için kolay birer giriş noktasına dönüştürebileceğini açıkça gösteriyor.
Hatalı yapılandırılmış iş akışları, otomatik süreçlerin ele geçirilmesine, üretim ortamlarına kötü amaçlı kod eklenmesine veya kritik altyapı anahtarlarının yetkisiz kişilerin eline geçmesine zemin hazırlayabiliyor. Bu da hem yazılım geliştiriciler hem de son kullanıcılar için büyük güvenlik tehditleri oluşturuyor.
Kaspersky'nin Analiz Raporu: Çeyrek Milyon Risk ve Yaygın Güvenlik İhlalleri
Kaspersky GReAT uzmanları, GitHub Actions iş akışlarına yönelik değerlendirmeleri kapsamında, en çok yıldız alan 30.000 depoda yer alan 130 binden fazla CI/CD iş akışını titizlikle inceledi. Kaspersky Container Security'nin son güncellemesiyle gelen özel tarama kurallarından faydalanan araştırmacılar, bu süreçlerde tam 250 binden fazla potansiyel hatalı yapılandırma tespit etti. Bu devasa sayı, güvenli olmayan yapılandırma uygulamalarının GitHub ekosisteminde ne kadar yaygın olduğunu gözler önüne seriyor.
Tespit Edilen Risk Seviyeleri ve En Yaygın Sorunlar
- Analiz edilen depoların yalnızca %10'unda herhangi bir güvenlik uyarısı tespit edilmedi. Bu, depoların büyük çoğunluğunda güvenlik zafiyetlerinin bulunduğu anlamına geliyor.
- Tespit edilen bulguların %59,8'i düşük risk kategorisinde yer alırken, %39,8'i orta risk ve %0,4'ü ise yüksek risk kategorisinde sınıflandırıldı. Yüksek riskli bulguların sayısı az olsa da, potansiyel etkileri nedeniyle son derece kritik önem taşıyor.
- Raporda belirtilen en yaygın sorunlar arasında, varsayılan olarak verilen veya kapsamı gereğinden fazla olan izinler öne çıkıyor. Bu durum, kötü niyetli aktörlerin sistemlere gereğinden fazla erişim elde etmesine ve ciddi güvenlik ihlallerine yol açabiliyor.
Kaspersky'nin bu araştırması, yazılım geliştirme süreçlerinde güvenlik adımlarının ne denli kritik olduğunu bir kez daha gösteriyor. Geliştiricilerin ve kuruluşların, CI/CD iş akışlarını düzenli olarak gözden geçirmesi, güvenlik en iyi uygulamalarını benimsemesi ve araçların sağladığı güvenlik özelliklerini etkin bir şekilde kullanması büyük önem taşıyor. Aksi takdirde, yazılım tedarik zinciri saldırıları, gelecekte daha da büyük çaplı felaketlere yol açabilir.










