Kaspersky: 90% проектов на GitHub имеют уязвимости в настройках сборки
Девяносто процентов популярных репозиториев содержат ошибки настройки, превращающие конвейеры сборки в открытые ворота для компрометации цепочек поставок. Чрезмерно широкие права доступа и отсутствие фиксации версий позволяют злоумышленникам внедрять вредоносный код в финальный продукт еще до его выхода к клиентам.
«Лаборатория Касперского» выявила более 250 тысяч потенциальных уязвимостей в конфигурациях рабочих процессов GitHub Actions. Эксперты проанализировали 130 тысяч конвейеров сборки в 30 тысячах популярных репозиториев и обнаружили, что в 90% из них есть ошибки настройки. Критические проблемы, способные привести к компрометации цепочки поставок ПО, найдены в 8 репозиториях. Это подтверждает, что небезопасная настройка инструментов автоматизации остается массовым явлением, создающим риски для интеграции ИИ и корпоративных сервисов.
Масштаб проблемы и структура ошибок
Исследование показало, что большинство ошибок связано с неправильными правами доступа и отсутствием фиксации версий компонентов. Распределение рисков по степени тяжести выглядит следующим образом:
- Низкий риск: 59,8% от всех обнаруженных проблем.
- Средний риск: 39,8%.
- Высокий риск: 0,4%.
Наиболее частые ошибки включают неявно заданные или чрезмерно широкие права доступа, а также отсутствие жесткой привязки версий используемых инструментов. Реже встречаются случаи раскрытия секретных ключей и небезопасная обработка внешних данных.
Важный нюанс: Наличие ошибки конфигурации не всегда означает наличие активной уязвимости, но указывает на слабое место, которое злоумышленники могут использовать при первой возможности.
Реальные угрозы и прецеденты
Проблема небезопасных конвейеров сборки не является теоретической. В мае 2026 года группа TeamPCP провела атаку Mini Shai-Hulud, скомпрометировав более 170 пакетов в экосистемах npm и PyPI. В результате пострадали проекты TanStack, Mistral AI, UiPath и OpenSearch Project. Основным вектором атаки стали уязвимости в сборочном конвейере GitHub Actions.
Подобные инциденты демонстрируют, что компоненты с открытым исходным кодом, являясь стандартом современной разработки, создают скрытые каналы для атак на цепочки поставок. Особенно уязвимыми становятся сценарии интеграции искусственного интеллекта в корпоративные среды и инструменты автоматизации.
Стоит учесть: Атаки на цепочки поставок часто остаются незамеченными до момента внедрения вредоносного кода в финальный продукт, что делает превентивный аудит конфигураций критически важным этапом разработки.
Инструменты защиты и методы обнаружения
Для выявления рисков «Лаборатория Касперского» использовала решение Kaspersky Container Security. Пользователи могут внедрять сканирование двумя способами:
- Встраивание в CI/CD: Сканер работает непосредственно в рабочих процессах сборки.
- Автономный режим: Проверка репозиториев без привязки к конвейеру.
Компания оперативно уведомила разработчиков о найденных в 8 репозиториях критических ошибках. Обнаружение проблем на ранних стадиях позволяет сформировать более надежные цепочки поставок и снизить вероятность их компрометации.
Операционные последствия и скрытые риски
На основе фактов исследования можно выделить следующие практические выводы для бизнеса:
- Аудит конфигураций: Компании должны пересмотреть права доступа в своих конвейерах сборки. Чрезмерно широкие права — самый распространенный вектор атаки.
- Фиксация версий: Отсутствие жесткой привязки версий компонентов создает риск непреднамеренного обновления на скомпрометированную версию библиотеки.
- Интеграция ИИ: При внедрении моделей искусственного интеллекта в корпоративную среду необходимо уделять особое внимание безопасности конвейеров, так как они становятся привлекательной целью для атак на интеллектуальную собственность.
- Проверка зависимостей: Даже популярные и проверенные пакеты могут стать вектором атаки, если их сборка была скомпрометирована через уязвимости в GitHub Actions.
На фоне этого: Безопасность ПО смещается от защиты конечного продукта к защите процесса его создания, где ошибка в настройке одного скрипта может привести к компрометации тысяч клиентов.
Источник: kaspersky.ru