• Biz Kimiz
  • Künye
logo
MEDOC
logo
  • Anasayfa
  • ICT Etkinlik
  • Gündem
  • Bilişim
  • Telekom
  • Savunma
  • Enerji
  • e-Mobilite
  • Oyun
  • Kariyer
  • Röportaj
  • Dergi
  • Yazarlarımız
MEDOC
  1. Anasayfa
  2. Bilişim
  3. Yazmadığın koda güvenme
Yazmadığın koda güvenme

Yazmadığın koda güvenme

ICT Media ICT Media
6 Aralık 2022 10:12
Paylaş

Siber güvenlik araştırmacıları GitHub Actions platformunda, saldırganların yazılım projelerine kötü amaçlı kod ekleyerek bir tedarik zinciri saldırısı başlatmalarını sağlayabilecek riskler belirlediler.

Kodların GitHub Actions platformu tarafından depolanma şekli, saldırganların bu parçaları indirirken yeterli filtreleme gerçekleştirmeyen (CI/CD - sürekli tümleştirme ve sürekli teslim) iş akışlarıyla yazılım projelerine kötü amaçlı kod eklemesine olanak tanıyabiliyor. Araştırmacılar, savunmasız binlerce depo tarafından kullanılan, birkaç popüler kod parçacığı indirme komut dosyası tespit ettiler. Artefact zehirlenmesi olarak tanımlanan büyük bir risk ile ilgili uyarılarda bulundular. Artefact zehirlenmesinde saldırganlar meşru bir yapıyı kötü amaçlı bir kodla değiştirerek tedarik zinciri saldırısı başlatabiliyorlar. 

ESET Türkiye Teknik Müdürü Gürcan Şen channelasia.tech’de de yer alan konu ile ilgili şu açıklamada bulundu: "Tedarik zinciri saldırıları genellikle o kadar hızlıdır ki, kurban herhangi bir şeyin gerçekleştiğinin farkında bile olamadan saldırganlar içeri girip çıkabilirler. Saldırganların meşru kodu kendi kötü amaçlı kodlarıyla değiştirdiği artefact zehirlenmesinde, kodun başka biri tarafından gözden geçirilmiş olabileceğine inanıldığı için sorun büyüyor. Kod kontrol edilmediğinden dolayı bir tedarik zinciri boyunca farkedilmiyor.  GitHub tüm dünyada kullanılıyor ve varsayılan bir koruma seviyesi bulunuyor. Ancak bu, kodun her zaman kötü niyetli içerikten temiz olacağı anlamına veya bu sorunun ilk defa oluştuğu anlamına gelmiyor. Bu nedenle, güvende kalmak için iş akışlarını daha sıkı filtreleme ile güncellenmesi gerekiyor. Hash değerleri, tutarsızlıkları hızlı bir şekilde tespit edebilme konusunda kullanıcıya fayda sağlayabilir. Dikkatli ve platformda uyanık olmak genellikle en iyi korunma yöntemidir. Ayrıca, geliştiriciler hiçbir koda, özellikle de yazmadıkları koda asla güvenmemeliler."

Paylaş
GitHub Actions Artefact ESET Gürcan Şen kod bilişim haberleri bilişim gündemi teknoloji haberleri teknoloji gündemi

Bilişim Kategorisinin En Yenileri

Sağlıkta yeni ufuklar açacak  10 yenilikçi girişim AZ Lab Sahnesi’nde
Sağlıkta yeni ufuklar açacak 10 yenilikçi girişim AZ Lab Sahnesi’nde
28 Haziran 2025 10:29
Ankara’da bilişim rüzgarları esti, TEDÜ öğrencileri yine zirveye yerleşti
Ankara’da bilişim rüzgarları esti, TEDÜ öğrencileri yine zirveye yerleşti
28 Haziran 2025 10:24
Yapay Zeka, Pazarlamanın Yeni Beyni: Kararlar Daha Hızlı, Stratejiler Daha Akıllı
Yapay Zeka, Pazarlamanın Yeni Beyni: Kararlar Daha Hızlı, Stratejiler Daha Akıllı
27 Haziran 2025 15:18
Vodafone’dan tüm kullanıcılara yapay zeka destekli “Wi-Fi Asistanı
Vodafone’dan tüm kullanıcılara yapay zeka destekli “Wi-Fi Asistanı
27 Haziran 2025 15:15
Felaket Kurtarma Planı Olmayan Şirketler İçin Büyük Tehdit: Veri Kaybı ve Finansal Zarar
Felaket Kurtarma Planı Olmayan Şirketler İçin Büyük Tehdit: Veri Kaybı ve Finansal Zarar
27 Haziran 2025 14:02
Trend Micro Ürünlerini Kullanmak Çözüme Giden Yolu Kolaylaştırıyor
Trend Micro Ürünlerini Kullanmak Çözüme Giden Yolu Kolaylaştırıyor
26 Haziran 2025 15:27
ICT MEDIA DERGİSİ HAZİRAN 2025 SAYISI ÇIKTI!
Dergi

ICT MEDIA DERGİSİ HAZİRAN 2025 SAYISI ÇIKTI!

Copyright © 2022. All Rights Reserved. Paragon Teknoloji

Webmail

play store app store

Bu websitesi Odeaweb sunucularında barındırılmaktadır.