Июль 2026   |   В фокусе

Kaspersky: 90% проектов на GitHub имеют уязвимости в настройках сборки

Девяносто процентов популярных репозиториев содержат ошибки настройки, превращающие конвейеры сборки в открытые ворота для компрометации цепочек поставок. Чрезмерно широкие права доступа и отсутствие фиксации версий позволяют злоумышленникам внедрять вредоносный код в финальный продукт еще до его выхода к клиентам.

«Лаборатория Касперского» выявила более 250 тысяч потенциальных уязвимостей в конфигурациях рабочих процессов GitHub Actions. Эксперты проанализировали 130 тысяч конвейеров сборки в 30 тысячах популярных репозиториев и обнаружили, что в 90% из них есть ошибки настройки. Критические проблемы, способные привести к компрометации цепочки поставок ПО, найдены в 8 репозиториях. Это подтверждает, что небезопасная настройка инструментов автоматизации остается массовым явлением, создающим риски для интеграции ИИ и корпоративных сервисов.

Масштаб проблемы и структура ошибок

Исследование показало, что большинство ошибок связано с неправильными правами доступа и отсутствием фиксации версий компонентов. Распределение рисков по степени тяжести выглядит следующим образом:

  • Низкий риск: 59,8% от всех обнаруженных проблем.
  • Средний риск: 39,8%.
  • Высокий риск: 0,4%.

Наиболее частые ошибки включают неявно заданные или чрезмерно широкие права доступа, а также отсутствие жесткой привязки версий используемых инструментов. Реже встречаются случаи раскрытия секретных ключей и небезопасная обработка внешних данных.

Важный нюанс: Наличие ошибки конфигурации не всегда означает наличие активной уязвимости, но указывает на слабое место, которое злоумышленники могут использовать при первой возможности.

Реальные угрозы и прецеденты

Проблема небезопасных конвейеров сборки не является теоретической. В мае 2026 года группа TeamPCP провела атаку Mini Shai-Hulud, скомпрометировав более 170 пакетов в экосистемах npm и PyPI. В результате пострадали проекты TanStack, Mistral AI, UiPath и OpenSearch Project. Основным вектором атаки стали уязвимости в сборочном конвейере GitHub Actions.

Подобные инциденты демонстрируют, что компоненты с открытым исходным кодом, являясь стандартом современной разработки, создают скрытые каналы для атак на цепочки поставок. Особенно уязвимыми становятся сценарии интеграции искусственного интеллекта в корпоративные среды и инструменты автоматизации.

Стоит учесть: Атаки на цепочки поставок часто остаются незамеченными до момента внедрения вредоносного кода в финальный продукт, что делает превентивный аудит конфигураций критически важным этапом разработки.

Инструменты защиты и методы обнаружения

Для выявления рисков «Лаборатория Касперского» использовала решение Kaspersky Container Security. Пользователи могут внедрять сканирование двумя способами:

  1. Встраивание в CI/CD: Сканер работает непосредственно в рабочих процессах сборки.
  2. Автономный режим: Проверка репозиториев без привязки к конвейеру.

Компания оперативно уведомила разработчиков о найденных в 8 репозиториях критических ошибках. Обнаружение проблем на ранних стадиях позволяет сформировать более надежные цепочки поставок и снизить вероятность их компрометации.

Операционные последствия и скрытые риски

На основе фактов исследования можно выделить следующие практические выводы для бизнеса:

  • Аудит конфигураций: Компании должны пересмотреть права доступа в своих конвейерах сборки. Чрезмерно широкие права — самый распространенный вектор атаки.
  • Фиксация версий: Отсутствие жесткой привязки версий компонентов создает риск непреднамеренного обновления на скомпрометированную версию библиотеки.
  • Интеграция ИИ: При внедрении моделей искусственного интеллекта в корпоративную среду необходимо уделять особое внимание безопасности конвейеров, так как они становятся привлекательной целью для атак на интеллектуальную собственность.
  • Проверка зависимостей: Даже популярные и проверенные пакеты могут стать вектором атаки, если их сборка была скомпрометирована через уязвимости в GitHub Actions.

На фоне этого: Безопасность ПО смещается от защиты конечного продукта к защите процесса его создания, где ошибка в настройке одного скрипта может привести к компрометации тысяч клиентов.

Коротко о главном

Какие конкретные ошибки конфигурации встречаются чаще всего?

Большинство проблем вызвано неправильными правами доступа и отсутствием жесткой фиксации версий используемых компонентов. Эти недочеты позволяют злоумышленникам использовать слабые места для компрометации, даже если активная атака еще не была запущена.

Какое реальное событие подтвердило угрозу небезопасных конвейеров сборки?

В мае 2026 года группа TeamPCP провела атаку Mini Shai-Hulud, скомпрометировав более 170 пакетов в экосистемах npm и PyPI через уязвимости GitHub Actions. В результате пострадали крупные проекты, включая TanStack, Mistral AI, UiPath и OpenSearch Project, что доказало наличие скрытых каналов для атак на цепочки поставок.

В скольких репозиториях были найдены критические ошибки, способные привести к компрометации?

Критические проблемы, несущие прямую угрозу безопасности, выявлены только в 8 репозиториях из проанализированных. Компания оперативно уведомила разработчиков об этих ошибках, чтобы предотвратить возможное внедрение вредоносного кода в финальные продукты.

Как распределяются риски по степени тяжести среди всех обнаруженных проблем?

Низкий риск составляет 59,8% от всех выявленных ошибок, средний — 39,8%, а высокий риск встречается лишь в 0,4% случаев. Несмотря на малую долю критических инцидентов, наличие любых ошибок конфигурации указывает на уязвимость, которую могут эксплуатировать злоумышленники.

Каким инструментом и методами «Лаборатория Касперского» обнаружила эти уязвимости?

Для сканирования использовалось решение Kaspersky Container Security, которое может работать как внутри рабочих процессов CI/CD, так и в автономном режиме. Применение этого инструмента позволяет выявлять проблемы на ранних стадиях разработки, что снижает вероятность компрометации цепочек поставок.

Почему отсутствие фиксации версий компонентов создает серьезную угрозу безопасности?

Без жесткой привязки версий существует риск непреднамеренного обновления на скомпрометированную версию библиотеки при сборке. Это позволяет злоумышленникам внедрить вредоносный код в популярные пакеты, которые затем распространяются среди тысяч клиентов.

Инфографика событий

Открыть инфографику на весь экран


Участники и связи

Отрасли: ИТ и программное обеспечение; Искусственный интеллект (AI); Кибербезопасность; ПО и разработка

Материалы по теме