Это стало возможно благодаря решению Kaspersky Container Security
Эксперты Kaspersky GReAT провели масштабный анализ рабочих процессов GitHub Actions в популярных репозиториях с максимальным количеством звёзд. При помощи решения Kaspersky Container Security они обнаружили восемь репозиториев с критическими ошибками конфигурации, которые могут привести к компрометации цепочки поставок. Компания оперативно сообщила о них разработчикам.
Как проводилось исследование. Всего эксперты проанализировали более 130 тысяч конвейеров в 30 тысячах самых популярных репозиториев GitHub. Для этого они использовали специальные правила обнаружения ошибок конфигурации, которые недавно стали доступны в Kaspersky Container Security. В результате было выявлено более 250 тысяч потенциальных проблем в рабочих процессах CI/CD. При этом только в 10% проанализированных репозиториев не было обнаружено каких-либо рисков. Это говорит о том, что небезопасные методы настройки достаточно распространены.
Согласно классификации «Лаборатории Касперского», 59,8% обнаруженных ошибок конфигурации можно отнести к низкому риску, 39,8% — к среднему, а 0,4% — к высокому. Среди них наиболее часто встречались: неявно заданные или чрезмерно широкие права доступа, отсутствие фиксации версий используемых компонентов и настроек уровня рабочего процесса. Реже — раскрытие секретов верхнего уровня, потенциально небезопасные условия выполнения, а также обработка внешних данных небезопасным образом, что может привести к более серьёзным ИБ-проблемам.
В восьми из 200 репозиториев с ошибками конфигурации высокого риска были найдены критические проблемы, которые могли привести к компрометации цепочки поставок. Данные репозитории могут использоваться во множестве сценариев, в том числе при интеграции ИИ в корпоративные среды, в сервисах для разработки и автоматизации, инструментах тестирования безопасности.
Реальные риски. Компоненты с открытым исходным кодом — неотъемлемая часть современной разработки ПО, но в то же время они создают скрытые векторы для атак на цепочки поставок. Например, в мае 2026 года группа TeamPCP провела атаку Mini Shai-Hulud, нацеленную на экосистемы npm и PyPI. В результате были скомпрометированы более 170 пакетов и сотни вредоносных релизов, включая TanStack, Mistral AI, UiPath и OpenSearch Project. Основным вектором атаки являлась цепочка уязвимостей в сборочном конвейере в GitHub Actions.
«За последний год мы наблюдали несколько серьёзных атак на цепочки поставок, которых можно было бы избежать, если следовать рекомендациям по безопасной настройке CI/CD. Именно поэтому важно проверять конфигурации на ИБ-риски. Если они найдены, это не обязательно говорит о наличии уязвимостей, которыми могут воспользоваться злоумышленники. Однако это помогает разработчикам понять, какие области стоит внимательно проверить и улучшить настройки. Обнаружение ошибок на ранних стадиях помогает сформировать более надёжные цепочки поставок и снизить риск их компрометации. В нашем решении Kaspersky Container Security предусмотрены соответствующие возможности», — комментирует Леонид Безвершенко, старший эксперт Kaspersky GReAT.
Пользователи Kaspersky Container Security могут выявлять и устранять ИБ-риски во время сканирования репозиториев GitHub двумя способами — через встраивание сканера KCS в рабочие процессы CI/CD или в автономном режиме.
Подробнее об исследовании Kaspersky GReAT читайте в блоге «Лаборатории Касперского».
Узнать больше о возможностях Kaspersky Container Security можно на странице продукта.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) основан в 2008 году. Его задача — выявлять APT-атаки, кампании кибершпионажа, вредоносное ПО, программы-вымогатели и тренды в киберпреступности по всему миру. Сегодня в команде Kaspersky GReAT более 35 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Талантливые профессионалы в сфере кибербезопасности играют ведущую роль в исследовании вредоносного ПО и создании инновационных методов борьбы с ним. Их богатый опыт, мотивация и любознательность способствуют эффективному обнаружению и анализу киберугроз.
