SentinelOne, 15 Mayıs 2026'da yazılım tedarik zinciri güvenliğini tehdit eden CI/CD (Sürekli Entegrasyon/Sürekli Dağıtım) boru hattı saldırılarını ele alan kapsamlı bir teknik analiz yayımladı. Rapor, saldırganların bitmiş ürünleri veya son kullanıcıları değil, yazılım geliştirme süreçlerinin omurgasını oluşturan CI/CD altyapısını nasıl hedef aldığını ayrıntılı biçimde inceliyor.
Raporda öne çıkan saldırı vektörleri şunlar: TeamCity gibi savunmasız derleme sunucularının istismar edilerek meşru görünümlü yapılandırmalar aracılığıyla arka kapı yerleştirilmesi; ele geçirilmiş servis hesapları üzerinden otomasyon iş akışlarına kötü amaçlı kod enjekte edilmesi; geliştirici iş istasyonlarını hedef alan sosyal mühendislik kampanyaları (Contagious Interview gibi); saldırganların kontrol ettiği sistemlerin meşru CI/CD çalıştırıcılar olarak kaydedilmesi (Sha1-Hulud kampanyasında görüldüğü üzere) ve kurulum sırasında keşif kodu çalıştıran kötü amaçlı paket sürümlerinin yayımlanması.
Rapor, temel güvenlik ilkesini şu şekilde özetliyor: kötü amaçlı kod, onu teslim eden kaynağın güvenilirliğini miras alır. Bu nedenle boru hattının tüm bileşenlerine yönelik örtük güven yaklaşımından vazgeçilmesi, sürekli doğrulama modelinin benimsenmesi gerekiyor.
Savunma sanayiinde CI/CD ortamları özellikle kritik: geliştirme sürecinden geçen kod hem kurumsal sistemlere hem de sensör ve platform yazılımlarına dönüşebiliyor. Bu ortama yerleştirilen bir arka kapı, geleneksel güvenlik taramalarının gözden kaçırabileceği kalıcı bir güvenlik açığı oluşturuyor.
