Categories: Teknoloji

Yazmadığın koda güvenme

Yazılım projeleri GitHub Actions üzerinden indirilen güvensiz yapılar nedeniyle tedarik zinciri güvenliği riskiyle karşı karşıya

Siber güvenlik araştırmacıları GitHub Actions platformunda, saldırganların yazılım projelerine kötü amaçlı kod ekleyerek bir tedarik zinciri saldırısı başlatmalarını sağlayabilecek riskler belirlediler.

 

Kodların GitHub Actions platformu tarafından depolanma şekli, saldırganların bu parçaları indirirken yeterli filtreleme gerçekleştirmeyen (CI/CD – sürekli tümleştirme ve sürekli teslim) iş akışlarıyla yazılım projelerine kötü amaçlı kod eklemesine olanak tanıyabiliyor. Araştırmacılar, savunmasız binlerce depo tarafından kullanılan, birkaç popüler kod parçacığı indirme komut dosyası tespit ettiler. Artefact zehirlenmesi olarak tanımlanan büyük bir risk ile ilgili uyarılarda bulundular. Artefact zehirlenmesinde saldırganlar meşru bir yapıyı kötü amaçlı bir kodla değiştirerek tedarik zinciri saldırısı başlatabiliyorlar. 

 

ESET Türkiye Teknik Müdürü Gürcan Şen channelasia.tech’de de yer alan konu ile ilgili şu açıklamada bulundu: "Tedarik zinciri saldırıları genellikle o kadar hızlıdır ki, kurban herhangi bir şeyin gerçekleştiğinin farkında bile olamadan saldırganlar içeri girip çıkabilirler. Saldırganların meşru kodu kendi kötü amaçlı kodlarıyla değiştirdiği artefact zehirlenmesinde, kodun başka biri tarafından gözden geçirilmiş olabileceğine inanıldığı için sorun büyüyor. Kod kontrol edilmediğinden dolayı bir tedarik zinciri boyunca farkedilmiyor.  GitHub tüm dünyada kullanılıyor ve varsayılan bir koruma seviyesi bulunuyor. Ancak bu, kodun her zaman kötü niyetli içerikten temiz olacağı anlamına veya bu sorunun ilk defa oluştuğu anlamına gelmiyor. Bu nedenle, güvende kalmak için iş akışlarını daha sıkı filtreleme ile güncellenmesi gerekiyor. Hash değerleri, tutarsızlıkları hızlı bir şekilde tespit edebilme konusunda kullanıcıya fayda sağlayabilir. Dikkatli ve platformda uyanık olmak genellikle en iyi korunma yöntemidir. Ayrıca, geliştiriciler hiçbir koda, özellikle de yazmadıkları koda asla güvenmemeliler."

 

Kaynak: (BYZHA) – Beyaz Haber Ajansı

Recent Posts

İstanbul Böcek İlaçlama Hizmetleri

İstanbul böcek ilaçlama hizmetleriyle evinizi haşerelerden koruyun. Güvenli ve etkili ev ilaçlama yöntemleri ile hijyenik…

1 gün ago

EduTalks Serisinin İkinci Durağı İstanbul Aydın Üniversitesi

EduTalks: İstanbul Aydın Üniversitesi’nde sektör liderleri ve öğrenciler bir araya geldi! Dijital markalaşmadan yeni medyaya…

2 gün ago

Kadın Kazak Modelleriyle Sıcak Bir Kışa Hazırlanın

Kadın kazak modelleri, kış günlerinin temel parçaları arasında yer alarak hem sıcak tutar hem de…

5 gün ago

Kadın Giyimde Renklerin Psikolojisi ve Kombin İpuçları

Renkler, sadece gözlerimizi değil, ruhlarımızı da boyar. Kırmızı, tutkuyu ve enerjiyi, mavi sakinliği ve güveni,…

5 gün ago

Duvar Paneli Nedir?

Duvar paneli iç mekanlarda hem dekoratif hem de işlevsel amaçlarla kullanılan bir kaplama çözümüdür. Özellikle…

1 hafta ago

Toplumsal Roller Üzerine Bir Eleştiri

Odeabank, 28. İstanbul Tiyatro Festivali’nde “Bu İşte Bir Kadın Var” temasıyla sahnede.

1 hafta ago