Araştırmacılar, GitHub’daki en çok yıldız alan 30.000 depodaki CI/CD iş akışlarını inceledi. Container Security’nin yeni analiz yeteneklerini kullanarak, sürekli entegrasyon ve sürekli teslimat (CI/CD) süreçlerinde 250 binden fazla potansiyel hatalı yapılandırma saptandı. Bu sonuçlar, güvenli olmayan yapılandırma uygulamalarının yaygınlığını ortaya koyuyor.
Tespit edilen bulguların yüzde 59,8’i düşük, yüzde 39,8’i orta ve yüzde 0,4’ü ise yüksek risk kategorisinde yer aldı. En yaygın sorunlar; Varsayılan olarak verilen veya kapsamı gereğinden fazla geniş erişim izinleri, bağımlılıkların belirli sürümlere sabitlenmemesi (version pinning) ve iş akışı ayarlarındaki güvenlik eksiklikleri oldu.
Daha detaylı incelemelerde, yüksek risk kategorisinde değerlendirilen yaklaşık 200 depo üzerinde yapılan incelemelerde, yazılım tedarik zincirinin tehlikeye girmesine neden olabilecek kritik güvenlik sorunları barındıran sekiz depo bulundu. Bu depolar; kurumsal yapay zekâ entegrasyonları, geliştirici ve otomasyon hizmetleri ile güvenlik test araçları gibi farklı alanlarda kullanılan projeleri kapsıyor.

Bu haber için yorumlar kapalı.