GitHub, 100 milyondan fazla geliştirici ve Fortune 100 şirketlerinin %90’ından fazlasının kullandığı son derece popüler bir platformdur. Yaygın kullanımına rağmen, birçok GitHub Actions iş akışı, genellikle aşırı ayrıcalıklar veya yüksek riskli bağımlılıklar nedeniyle güvensiz kalmaktadır.
Bu Help Net Security videosunda, Legit Security’de Araştırma Başkanı olan Roy Blit, yeni bir Legit Security State of GitHub Actions Security raporunu ele alıyor. Rapor, özellikle endişe verici bir güvenlik duruşunu ortaya koyuyor ve çoğu iş akışının güvensiz, aşırı ayrıcalıklı ve riskli bağımlılıklara sahip olduğunu gösteriyor.
Raporun temel bulguları arasında şunlar yer alıyor:
- Araştırmacılar, 7.000’den fazla iş akışında güvenilmeyen girdilerin interpolasyonunu, 2.500’den fazla iş akışında güvenilmeyen kodların yürütülmesini ve 3.000’den fazla iş akışında güvenilmeyen yapıtların kullanımını ortaya çıkardı.
- Legit Security tetikleyicileri, işleri, adımları, yürütücüleri ve izinleri inceleyerek önemli riskleri ortaya çıkardı: Referansların %98,4’ü bağımlılık sabitlemenin en iyi uygulamasını takip etmiyor ve iş akışlarının %86’sı belirteç izinlerini sınırlamıyor.
- Pazardaki 19.113 özel GitHub Eylemi’nden yalnızca 913’ü doğrulanmış GitHub kullanıcıları tarafından oluşturuldu; %18’inin güvenlik açığı bulunan bağımlılıkları vardı; 762’si arşivlendi ve düzenli güncellemeler almıyor; ortalama OSSF güvenlik puanı 10 üzerinden 4,23’tü ve çoğunu tek bir geliştirici koruyordu.