web analytics
Çarşamba, Temmuz 8, 2026
No Result
View All Result
  • Giriş
Türk İnternet
  • Ana Sayfa
  • BİLİŞİM
  • e-TİCARET
  • INTERNET
  • TELEKOM
  • YENİ TEKNOLOJİLER
  • Hakkımızda
  • Kişisel Verilerin Korunması
    • Çerez Aydınlatma Metni
    • İlgili Kişi Başvuru Formu
No Result
View All Result
  • Ana Sayfa
  • BİLİŞİM
  • e-TİCARET
  • INTERNET
  • TELEKOM
  • YENİ TEKNOLOJİLER
  • Hakkımızda
  • Kişisel Verilerin Korunması
    • Çerez Aydınlatma Metni
    • İlgili Kişi Başvuru Formu
No Result
View All Result
Türk İnternet
No Result
View All Result
Ana Sayfa BİLİŞİM Siber Güvenlik

Kaspersky, GitHub Actions İş Akışlarında 250 Binden Fazla Potansiyel Güvenlik Riski Tespit Etti

turk-internet.com Pr Haberleri-turk-internet.com Pr Haberleri
8 Temmuz 2026
- Siber Güvenlik
0
Kaspersky, GitHub Actions İş Akışlarında 250 Binden Fazla Potansiyel Güvenlik Riski Tespit Etti
Facebook'ta PaylaşTwitter'da PaylaşLinkedin'de Paylaş

Açık kaynak bileşenleri, modern yazılım geliştirme süreçlerinin temel yapı taşları arasında yer alıyor. Ancak bu bileşenler, yazılım tedarik zincirine yönelik saldırılar için gizli riskler de barındırıyor. Bunun en dikkat çekici örneklerinden biri, TeamPCP tarafından Mayıs 2026’da gerçekleştirilen Mini Shai-Hulud kampanyası oldu. Söz konusu saldırıda GitHub Actions tabanlı derleme (build) süreçlerindeki zafiyetlerden yararlanılarak TanStack, Mistral AI ve OpenSearch gibi projeleri etkileyen 170’ten fazla npm ve PyPI paketi ele geçirildi. Genel olarak yanlış yapılandırılmış GitHub Actions iş akışları, güvenilir geliştirme süreçlerini saldırganlar için kritik giriş noktalarına dönüştürebiliyor. Bu durum, otomatik iş akışlarının ele geçirilmesine, üretim ortamlarına kötü amaçlı kod eklenmesine veya kritik altyapı anahtarlarının yetkisiz kişilerin eline geçmesine neden olabiliyor.

GitHub Actions iş akışlarına yönelik değerlendirmesini tamamlayan Kaspersky GReAT uzmanları, en çok yıldız alan 30.000 depoda 130 binden fazla CI/CD iş akışı incelendi. Kaspersky Container Security’nin son güncellemesiyle gelen özel tarama kurallarından yararlanan araştırmacılar, sürekli entegrasyon ve sürekli teslimat (CI/CD) süreçlerinde 250 binden fazla potansiyel hatalı yapılandırma saptadı. Bu sonuçlar, güvenli olmayan yapılandırma uygulamalarının yaygınlığını ortaya koyuyor. Analiz edilen depoların yalnızca %10’unda herhangi bir güvenlik uyarısı tespit edilmedi.

Tespit edilen bulguların yüzde 59,8’i düşük, yüzde 39,8’i orta ve yüzde 0,4’ü ise yüksek risk kategorisinde yer aldı. En yaygın sorunlar; Varsayılan olarak verilen veya kapsamı gereğinden fazla geniş erişim izinleri, bağımlılıkların belirli sürümlere sabitlenmemesi (version pinning) ve iş akışı ayarlarındaki güvenlik eksiklikleri oldu. Daha az sayıda depoda ise hassas bilgilerin açığa çıkmasına yol açabilecek yapılandırmalar, güvenli olmayan çalıştırma ayarları ve harici verilerin yeterli doğrulama yapılmadan işlenmesi gibi, çok daha ciddi güvenlik ihlallerine neden olabilecek riskler tespit edildi.

Araştırmacılar, yüksek risk kategorisinde değerlendirilen yaklaşık 200 depo üzerinde yaptıkları detaylı incelemede, yazılım tedarik zincirinin tehlikeye girmesine neden olabilecek kritik güvenlik sorunları barındıran sekiz depo belirledi. Bu depolar; kurumsal yapay zekâ entegrasyonları, geliştirici ve otomasyon hizmetleri ile güvenlik test araçları gibi farklı alanlarda kullanılan projeleri kapsıyor. Tespit edilen kritik bulguların tamamı, sorumlu açıklama (responsible disclosure) ilkeleri doğrultusunda geliştiricilerle paylaşıldı.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko, konuya ilişkin yaptığı açıklamada şunları söyledi:

“Geçtiğimiz yıl, güvenli CI/CD yapılandırma yönergelerine uyulması halinde kolayca önlenebilecek ciddi tedarik zinciri saldırılarına tanık olduk. Ortaya çıkardığımız bu sorunlar doğrudan istismar edilebilir açıklar anlamına gelmese de, geliştiricilerin yapılandırmalarını gözden geçirmesi ve güçlendirmesi gereken zayıf noktalara işaret ediyor. Kuruluşlar bu açıkları erkenden tespit ederek çok daha dirençli CI/CD hatları inşa edebilir ve tedarik zinciri ihlali riskini azaltabilir. Konteyner güvenliği çözümümüz için geliştirdiğimiz kurallar, bu boşlukların kötü niyetli kişilerce suistimal edilmeden önce belirlenmesi ve giderilmesi için pratik bir çerçeve sunuyor.”

Kaspersky Container Security kullanıcıları, hatalı yapılandırmalardan kaynaklanan potansiyel güvenlik sorunlarını tespit etmek ve etkilerini azaltmak için GitHub depo tarama özelliğinden yararlanabiliyor. Bu özellik doğrudan CI/CD iş akışlarına entegre edilebildiği gibi bağımsız (standalone) modda da kullanılabiliyor.

Etiketler: GitHubGündemKasperskyKaspersky GReAT (Global Araştırma ve Analiz Ekibi)Leonid BezvershenkoMistral AIOpenSearchTanStack
Plugin Install : Subscribe Push Notification need OneSignal plugin to be installed.
turk-internet.com Pr Haberleri

turk-internet.com Pr Haberleri

Lütfen yorum yapmak için giriş yapın.

HAFTANIN ÖNE ÇIKANLARI

  • Elektronik Tebligatta Yeni Dönem: Zorunluluk Kanuna Girdi, Bakanlığın Yetkisi Sınırlandı
  • Yapay Zekâ Eylem Planı’nda İlk Ay: Hedeflerde Gelişme Yok, Şimdilik Sadece Çağrılar Açıldı
  • WhatsApp Küresel Kullanıcı Adı Rezervasyonlarını Başlattı, Telefon Numarası Paylaşımı Gerekmeyecek
  • Hepsiburada’da Bayrak Değişimi
  • 2026’nın ABD’de Okuyan En Başarılı 25 Türk Öğrencisi Açıklandı

HAFTANIN KELİMESİ

3GPP

3. Nesil Ortaklık Projesi (3GPP), dünya çapında çeşitli mobil (hücresel) ve telekomünikasyon standartlarını geliştiren ve sürdüren bir grup standart kuruluşudur.

3G ile birlikte kurulmuş ve telekom endüstrisinin Birleşmiş Milletleri diye tanımlanabilir. Sonraki nesiller için de standartları belirlemiştir.

Detayı için Wiki-Turk'e bakınız

İNTERNET HIZI

Türkiye'nin İnternet Hızlarını Dünya ile Karşılaştırmak Kaynak : https://www.speedtest.net/global-index#mobile
Facebook Twitter LinkedIn

Son Yorumlar

  • ICANN, Yeterince Temsil Edilmeyen Toplulukları Yeni gTLD Başvuru Destek Programı İle Güçlendiriyor için Tolga Kaprol
  • BTK, Yabancı e-SIM Firmalarını Engelledi için Bulent SEN
  • Sahibinden.com Domain’inin Güncellenmesi Unutulmuş için Tolga Kaprol
  • İngiliz Düzenleyici Ofcom, Bulut Servislerini ve Akıllı Cihaz Pazarını Soruşturuyor için Tolga Kaprol
  • Seçim Yaklaşırken, Kişisel Veriler Kötüye Nasıl Kullanılır? için [email protected]
Plugin Install : Subscribe Push Notification need OneSignal plugin to be installed

© Copyrights 2000-2025 - Bu sitede yayınlanan haber/söyleşi/makale ve bilgilerin tüm hakkı turk-internet.com'a aittir.

Tekrar Hoşgeldiniz!

Aşağıdan hesabınıza giriş yapınız

Şifremi unuttum?

Şifrenizi geri alın

Lütfen şifrenizi resetlemek için kullanıcı adı veya email adresinizi girin.

Giriş yap
No Result
View All Result
  • Ana Sayfa
  • BİLİŞİM
  • e-TİCARET
  • INTERNET
  • TELEKOM
  • YENİ TEKNOLOJİLER
  • Hakkımızda
  • Kişisel Verilerin Korunması
    • Çerez Aydınlatma Metni
    • İlgili Kişi Başvuru Formu

© Copyrights 2000-2025 - Bu sitede yayınlanan haber/söyleşi/makale ve bilgilerin tüm hakkı turk-internet.com'a aittir.

Bu internet sitesinde, kullanıcı deneyimini geliştirmek ve internet sitesinin verimli çalışmasını sağlamak amacıyla çerezler kullanılmaktadır. Gizlilik Bildirimi.