Kompromi GitHub Actions yang Beruntun. GitLab Self-Hosted yang Disebut sebagai Pabrik Privat Tertinggi dan Berkembang Pesat

Antara tahun 2025 hingga 2026, serangan rantai pasokan yang menargetkan GitHub Actions terus beruntun dalam skala yang sangat merusak. Pelanggaran tj-actions/changed-files pada Maret 2025 (CVE-2025-30066, berdampak pada lebih dari 23.000 repositori), worm Shai-Hulud pada November 2025 (membuat 27.000 repositori berbahaya dan mengekspos 14.000 secret dari 487 organisasi), serta pelanggaran Trivy-action pada Maret 2026 (CVE-2025-61671, CVSS 9.3)——ini bukan insiden-insiden yang berdiri sendiri, melainkan konsekuensi dari kerentanan struktural yang inheren dalam arsitektur GitHub Actions itu sendiri. GitHub sendiri mengakui dalam peta jalan keamanan 2026-nya bahwa "dependensi Action diselesaikan saat runtime dan tidak bersifat deterministik," "visibilitas terbatas," dan "kontrol sangat minimal." Linus Torvalds, pencipta Git sekaligus pencipta Linux, menegaskan bahwa "GitHub menghasilkan merge yang benar-benar tidak berguna" dan "pull request GitHub serta pengeditan commit online adalah sampah murni." Di tengah kekacauan ini, GitLab versi self-hosted semakin cepat mendapatkan dukungan sebagai "pabrik privat terbaik di era vibe coding." Pada awal 2026, ketika 92% pengembang di Amerika Serikat mengadopsi coding berbantuan AI (vibe coding), terdapat kenyataan bahwa sekitar 24,7% kode yang dihasilkan AI mengandung cacat keamanan. GitLab Duo Self-Hosted (GA sejak Februari 2025) men-deploy LLM di dalam infrastruktur pelanggan, sehingga data inferensi tidak pernah meninggalkan jaringan pelanggan. Solusi ini telah memperoleh sertifikasi FedRAMP Moderate, terintegrasi dengan Iron Bank Departemen Pertahanan AS, dan mendukung deployment air-gap di lingkungan sensitif keuangan, kesehatan, dan pemerintahan. Pendapatan GitLab Inc. (GTLB) untuk FY2026 mencapai 955 juta dolar (sekitar 143,25 miliar yen, naik 25,8% year-over-year), pelanggan dengan ARR di atas 100.000 dolar berjumlah 1.344 perusahaan (naik 25%), dan 24 dari 29 analis merekomendasikan "Strong Buy." Pasar DevSecOps diperkirakan akan berkembang dari sekitar 10 miliar dolar (sekitar 1,5 triliun yen) pada 2025 menjadi 26 hingga 37 miliar dolar (sekitar 3,9 triliun hingga 5,55 triliun yen) pada periode 2032–2035. Artikel ini secara komprehensif mengkaji keseluruhan gambaran kerentanan struktural GitHub Actions, keunggulan GitLab self-hosted, serta signifikansi lingkungan pengembangan privat di era vibe coding.

Kutukan Linus Torvalds——"GitHub adalah sampah murni"

Sebelum membahas kompromi GitHub Actions, perlu diperjelas terlebih dahulu hubungan antara Git itu sendiri dan GitHub.

Git adalah sistem kontrol versi terdistribusi yang dikembangkan oleh Linus Torvalds——pencipta kernel Linux——pada tahun 2005. Namun Torvalds secara konsisten melontarkan kritik keras terhadap GitHub, yang dibangun di atas Git ciptaannya sendiri.

Pada September 2021, terkait pull request driver NTFS di Linux 5.15, Torvalds menyatakan hal berikut di mailing list kernel:

"GitHub membuat merge yang benar-benar sampah dan tidak berguna. Jangan pernah melakukan merge melalui antarmuka GitHub"

"Git dilengkapi dengan modul pembuatan pull request yang proper, tetapi GitHub memutuskan untuk menggantinya dengan versi mereka sendiri yang jauh lebih buruk"

"Pull request GitHub dan pengeditan commit online adalah sampah murni"

Yang menjadi masalah bagi Torvalds adalah pesan merge commit GitHub yang menghasilkan string tanpa informasi seperti "Merge branch 'torvalds:master' into master"——yang sepenuhnya menghancurkan konteks tentang apa yang di-merge dan mengapa. Bagi proyek mission-critical seperti pengembangan kernel, ini bukan sekadar masalah estetika, melainkan kerusakan mendasar pada keterlacakan kode dan jaminan kualitas.

Kritik Torvalds bukan berarti menafikan nilai GitHub sebagai layanan hosting kode (ia juga menyatakan "sebagai hosting, tidak masalah"). Namun, pencipta Git sendiri telah lama memperingatkan bahwa alur kerja GitHub——pull request, merge, dan GitHub Actions yang dibangun di atasnya——mengandung cacat desain yang serius.

Rantai Kompromi GitHub Actions——Catatan Bencana Tahun 2025–2026

Antara tahun 2025 hingga 2026, serangan rantai pasokan yang menargetkan GitHub Actions terjadi secara berantai dalam skala yang belum pernah terjadi sebelumnya.

Maret 2025: Kompromi tj-actions/changed-files. CVE-2025-30066 (CVSS 8.6). Penyerang membangun rantai serangan dari reviewdog/action-setup → tj-actions/changed-files → Coinbase agentikit, dengan titik awal berupa PAT (Personal Access Token) yang bocor akibat kerentanan pull_request_target di SpotBugs. Payload yang dikodekan Base64 melakukan dump memori runner CI/CD dan mengekspos semua variabel lingkungan serta secret ke log workflow. Lebih dari 23.000 repositori terdampak, dan di 218 repositori terjadi kebocoran kredensial DockerHub, npm, dan AWS. CISA menambahkannya ke katalog Known Exploited Vulnerabilities (KEV) pada 18 Maret dan menerbitkan peringatan resmi. Target utama adalah proyek agentkit milik Coinbase, yang diduga bertujuan mencuri aset kripto.

November 2025: Worm Shai-Hulud. Ditemukan oleh peneliti Unit 42 dari Palo Alto Networks. Worm ini men-trojanisasi lebih dari 700 paket npm, membuat 27.000 repositori GitHub berbahaya, dan dalam beberapa jam mengekspos 14.000 secret milik 487 organisasi. Worm ini membangun jaringan seperti botnet yang mereplikasi diri sendiri, di mana sistem yang telah dikompromikan saling berbagi access token. Zapier, ENS Domains, PostHog, dan Postman sempat ter-trojanisasi.

2025: Kompromi UNC6395 / Salesloft. Disebut sebagai "kampanye kompromi SaaS terbesar tahun ini", dengan lebih dari 700 perusahaan yang terdampak. Penyerang mengakses akun GitHub Salesloft, mengunduh kode, menambahkan akun tamu, dan mengonfigurasi workflow yang tidak sah. Dengan token OAuth yang dicuri, mereka mengakses ratusan lingkungan Salesforce. Perusahaan yang terdampak mencakup Cloudflare, SentinelOne, Zscaler, Palo Alto Networks, Google, PagerDuty, dan Proofpoint.

Maret 2026: Kompromi Trivy-action. Bot otonom bernama "hackerbot-claw" milik aktor ancaman "TeamPCP" menyalahgunakan workflow pull_request_target untuk mencuri PAT, lalu menimpa 76 dari 77 tag aquasecurity/trivy-action menggunakan force push. Bot ini mengekstrak kunci SSH, kredensial penyedia cloud, kredensial basis data, token Kubernetes, dan dompet kripto. CVE-2025-61671 (CVSS 9.3, Critical) ditetapkan, dan Microsoft menerbitkan panduan keamanan terkait.

Gambaran Lengkap Vektor Serangan——Anatomi Kerentanan Struktural

Kompromi pada GitHub Actions bersumber dari kerentanan struktural yang melekat pada arsitekturnya, bukan sekadar kesalahan konfigurasi individual.

Pengambilalihan izin melalui penggunaan pull_request_target yang tidak tepat. Trigger pull_request biasa dijalankan dalam konteks fork asal dan hanya memiliki akses baca saja. Namun pull_request_target dijalankan dalam konteks branch target (main) dan memiliki akses penuh ke secret serta GITHUB_TOKEN yang dapat dibaca dan ditulis. Penyerang cukup mengirimkan PR dari fork untuk mengakses seluruh secret repositori target. OWASP mengklasifikasikan ini sebagai CICD-SEC-04 (Poisoned Pipeline Execution), dan MITRE ATT&CK mendaftarkannya sebagai T1677. Pada Februari 2026, bot otonom "hackerbot-claw" mengeksploitasi kerentanan ini pada setidaknya 6 repositori terkemuka.

Serangan "typosquatting" di GitHub Marketplace. Dalam eksperimen proof-of-concept (PoC) oleh Orca Security, 14 organisasi palsu dibuat (contoh: "circelci", "actons", "docker-action"), dan hasilnya organisasi "actons" dirujuk oleh 12 repositori dalam 2 bulan tanpa promosi sama sekali. GitHub tidak memiliki mekanisme untuk memverifikasi keaslian Action, sehingga siapa pun dapat mempublikasikan Actions dengan nama yang menyerupai Action populer. Ini adalah serangan rantai pasokan berbiaya rendah namun berdampak tinggi.

Penyalahgunaan hubungan kepercayaan OIDC (OpenID Connect). Autentikasi tanpa kunci ke AWS/GCP/Azure menggunakan token OIDC dari GitHub Actions dapat memungkinkan akses ke sumber daya cloud dari workflow GitHub Actions mana pun, apabila trust policy pada IAM role dikonfigurasi secara tidak tepat. Tinder Security Labs dan Datadog Security Labs telah mempublikasikan investigasi terperinci mengenai hal ini, dan AWS mengambil langkah pembatasan pembuatan role yang rentan baru pada Juni 2025.

Pembajakan lingkungan eksekusi (Runners) dan penambangan mata uang kripto. Dalam kampanye Shai-Hulud, runner tidak sah dipasang pada mesin yang telah dikompromikan, dan workflow yang sengaja dibuat rentan digunakan sebagai saluran C2. Seorang peneliti NVIDIA berhasil mendapatkan reverse shell dari runner instance g5g.metal yang dihost sendiri. Praetorian Research menyimpulkan bahwa "self-hosted GitHub runner adalah backdoor", dan memperingatkan bahwa runner non-ephemeral dapat menjadi basis serangan yang persisten.

Pengakuan GitHub Sendiri——"Visibilitas Terbatas, Kontrol Minimal"

Yang paling mengejutkan adalah GitHub sendiri mengakui kelemahan struktural dalam Peta Jalan Keamanan Actions 2026 mereka.

GitHub secara resmi mengakui: "Dependensi Action diselesaikan saat runtime dan tidak deterministik", "visibilitas terbatas", "kontrol minimal", "alur kerja yang diberi izin berlebihan", "batas kepercayaan yang tidak jelas", "konfigurasi yang mudah salah dikonfigurasi" — semuanya adalah akar penyebab yang memungkinkan serangan yang disebutkan sebelumnya.

Nirmata menerbitkan artikel berjudul "GitHub Actions is Under Attack" pada Maret 2026, merangkum ancaman yang semakin meningkat. Penelitian Sysdig menemukan bahwa bahkan repositori open source yang berfokus pada keamanan seperti MITRE dan Splunk pun menggunakan GitHub Actions yang tidak aman. OpenSSF (Open Source Security Foundation) menerbitkan "Panduan Keamanan Pipeline CI/CD" sebagai respons terhadap serangan pada tj-actions dan reviewdog.

GitLab Self-Hosted — Kebangkitan "Pabrik Privat Terbaik"

Di tengah terungkapnya kerentanan struktural GitHub Actions, GitLab versi self-hosted kini semakin mendapat dukungan luas sebagai "pabrik privat terbaik di era vibe coding".

Keunggulan mendasar dari GitLab self-hosted adalah tidak bergantung pada Action marketplace pihak ketiga. Setiap kompromi GitHub Actions bersumber dari runtuhnya model kepercayaan marketplace. GitLab menyediakan SAST, DAST, pemindaian dependensi, pemindaian container, deteksi secret, dan kepatuhan lisensi — semuanya sudah terintegrasi secara bawaan, tanpa bergantung pada plugin eksternal. Runner pun dirancang untuk self-managed, sehingga tidak ada ketergantungan pada infrastruktur bersama.

GitLab Community Edition sepenuhnya gratis dan dapat di-self-host, berjalan baik di atas Kubernetes maupun di Linux bare metal. Berbeda dengan GitHub Enterprise yang mengharuskan paket enterprise untuk self-hosting. Sekitar separuh dari seluruh instans GitLab dioperasikan secara self-hosted, mencerminkan tingginya permintaan akan manajemen on-premise.

Era Vibe Coding dan Kedaulatan Data——Mengapa GitLab Sekarang?

Pada awal 2026, 92% pengembang di Amerika Serikat telah mengadopsi vibe coding (pengembangan berbasis AI). Pasar alat coding berbantuan AI diperkirakan mencapai 8,5 miliar dolar pada 2026. Namun, kenyataannya sekitar 24,7% kode yang dihasilkan AI mengandung kelemahan keamanan, dan sekitar 45% memiliki celah kerentanan. Pada awal 2026, sebuah aplikasi yang dikembangkan dengan vibe coding mengalami pelanggaran data besar-besaran yang mengekspos 1,5 juta API key.

GitLab Duo Self-Hosted (GA Februari 2025, v17.9) adalah jawaban struktural atas risiko ini. LLM di-deploy di dalam infrastruktur pelanggan, sehingga data inferensi tidak pernah meninggalkan jaringan pelanggan. Mendukung model Mistral (di atas vLLM), Claude 3.5 Sonnet (di atas AWS Bedrock), dan model OpenAI (di atas Azure OpenAI). Pada v18.4, tersedia fitur Model Selection (administrator memilih vendor model yang digunakan dalam alur kerja AI), Context Exclusion (mengecualikan file/direktori sensitif dari konteks AI), dan Knowledge Graph (fondasi untuk integrasi RAG yang lebih dalam dan kecerdasan kode) dalam status GA/Beta.

Keuangan, layanan kesehatan, pemerintahan, pertahanan — bagi industri yang diatur ketat, jaminan bahwa kode proprietari tidak dikirimkan ke penyedia AI eksternal dan tidak digunakan sebagai data pelatihan AI bukanlah sekadar persyaratan keamanan, melainkan persyaratan bisnis.

Adopsi di Pemerintahan, Pertahanan, dan Industri yang Diregulasi

GitLab self-hosted diadopsi di lingkungan dengan persyaratan keamanan paling ketat.

GitLab Dedicated for Government telah memperoleh sertifikasi FedRAMP Moderate dan TX-RAMP. Image yang telah di-hardening diintegrasikan ke dalam Iron Bank Departemen Pertahanan, dan dapat di-deploy di seluruh Departemen Pertahanan untuk semua tingkat klasifikasi. GitLab Duo Self-Hosted beroperasi di lingkungan air-gap——fasilitas terklasifikasi, private cloud yang aman, dan pusat data yang diregulasi. Dukungan untuk pemerintah AS ditangani secara eksklusif oleh warga negara Amerika Serikat.

Perusahaan-perusahaan besar seperti Airbus, NVIDIA, Siemens, dan Goldman Sachs telah mengadopsinya, dan untuk lingkungan layanan kesehatan yang memenuhi kepatuhan HIPAA, lebih dari 50 kontrol kepatuhan tersedia sebagai bawaan standar. Data residency, isolasi, dan private networking disediakan di wilayah yang dipilih oleh pelanggan.

Kinerja Keuangan GitLab——Angka-Angka Pertumbuhan yang Pesat

GitLab Inc. (NASDAQ: GTLB) mencatat kinerja yang mencerminkan lonjakan permintaan self-hosted yang pesat.

Pendapatan FY2026 (periode Januari 2026) mencapai 955 juta dolar (sekitar 143,25 miliar yen), meningkat 25,8% dibandingkan tahun sebelumnya. Pada Q2 FY2026, pendapatan tercatat sebesar 236 juta dolar (naik 29%). Net Dollar Retention Rate berada di angka 121%. Pelanggan dengan ARR lebih dari 100.000 dolar mencapai 1.344 perusahaan (naik 25%), sementara pelanggan dengan ARR lebih dari 5.000 dolar berjumlah 10.338 perusahaan (naik 11%). Pengguna terdaftar mencapai lebih dari 30 juta orang. Remaining Performance Obligations (RPO) tercatat sebesar 988 juta dolar (naik 32%).

Konsensus analis terhadap harga saham adalah Strong Buy (24 Buy, 5 Hold, 0 Sell). Target harga median berada di 56,50 dolar, dengan target harga tertinggi sebesar 75,00 dolar (Macquarie Steve Koenig).

Pasar DevSecOps — Keamanan Rantai Pasokan Tumbuh Paling Cepat

Rantai kompromi GitHub Actions mendorong pertumbuhan pasar DevSecOps secara keseluruhan.

Pasar DevSecOps diperkirakan akan berkembang dari sekitar 10 miliar dolar (sekitar 1,5 triliun yen) pada 2025 dan sekitar 11,4 miliar dolar pada 2026, menjadi 26 hingga 37 miliar dolar (sekitar 3,9 triliun hingga 5,55 triliun yen) pada 2032–2035 (CAGR 14,6–17,8%). Segmen keamanan rantai pasokan tumbuh dengan CAGR tercepat——tepat di bidang yang kerentanan GitHub Actions telah terungkap.

Investasi VC juga terkonsentrasi di bidang DevSecOps. Opsera (DevOps bertenaga AI, Seri B 20 juta dolar), Pixee (perbaikan kode otomatis, seed 15 juta dolar), Boost Security (otomatisasi DevSecOps, seed 12 juta dolar). Sebanyak 70% dana mengalir ke startup Amerika Utara, dengan Decibel Partners, Shield Capital, dan Paladin Capital sebagai pemimpin investasi.

Prospek ke Depan——Dua Jalan yang Bercabang

GitHub Actions dan GitLab self-hosted mewujudkan dua filosofi yang secara fundamental berbeda dalam masa depan infrastruktur pengembangan.

GitHub mengandalkan skalabilitas melalui lebih dari 10.000 Actions di marketplace dan efek jaringan dari lebih dari 100 juta pengembang. 90% dari Fortune 100 menggunakan GitHub. Namun kelemahan struktural yang diakui dalam peta jalan keamanan 2026——"dependensi yang diselesaikan saat runtime", "kontrol yang minimal", dan "konfigurasi yang mudah salah dikonfigurasi"——adalah masalah di tingkat arsitektur yang tidak dapat diselesaikan dengan patch.

GitLab self-hosted menganut filosofi "membangun semuanya secara internal, mengendalikan semuanya". Pendekatan ini sepenuhnya menghilangkan model kepercayaan marketplace dan menyediakan SAST/DAST/deteksi rahasia secara bawaan. Kedaulatan data AI di era vibe coding, penerapan di lingkungan air-gap, kepatuhan regulasi untuk pemerintah, keuangan, dan layanan kesehatan——GitLab self-hosted semakin cepat memantapkan posisinya sebagai "pabrik privat terbaik" yang memenuhi berbagai persyaratan ini.

Poisoned Pipeline Execution (CICD-SEC-04) dari OWASP mendasari seluruh insiden besar pada GitHub Actions. Selama vektor serangan ini ada, keamanan GitHub Actions tetap tidak stabil secara struktural. Arsitektur terintegrasi dan mandiri milik GitLab mengeliminasi risiko ini pada tingkat desain.

Dampak pada Industri

Pertama, rangkaian kompromi GitHub Actions pada 2025–2026 menunjukkan bahwa keamanan rantai pasokan CI/CD telah meningkat dari "bagus untuk dimiliki" menjadi "masalah yang menentukan kelangsungan bisnis." tj-actions (23.000 repositori), Shai-Hulud (14.000 rahasia dari 487 organisasi), UNC6395 (700 perusahaan), Trivy (CVSS 9,3)——dampak kumulatif dari insiden-insiden ini dapat menyebabkan hilangnya kepercayaan mendasar terhadap model marketplace GitHub Actions.

Kedua, pengakuan GitHub sendiri bahwa "visibilitas terbatas" dan "kontrol minimal" secara resmi mengonfirmasi adanya masalah struktural. Ini adalah masalah yang memerlukan desain ulang di tingkat arsitektur, bukan sekadar patch, sehingga solusi jangka pendek sulit dilakukan.

Ketiga, di balik kemunculan GitLab self-hosted sebagai "pabrik privat terbaik" terdapat motivasi kompleks: kedaulatan data AI di era vibe coding, persyaratan air gap pemerintah dan pertahanan, kepatuhan regulasi keuangan dan kesehatan, serta pemutusan struktural dari risiko rantai pasokan GitHub Actions. Angka pendapatan FY2026 sebesar 955 juta dolar (naik 25,8%), dengan 1.344 pelanggan ARR di atas 100.000 dolar (naik 25%), mengonfirmasi kuatnya permintaan ini.

Keempat, segmen keamanan rantai pasokan di pasar DevSecOps yang tumbuh paling cepat berarti bahwa kerentanan GitHub Actions sedang mengubah struktur pasar. GitLab berpotensi menjadi penerima manfaat terbesar dari gelombang ini.

Referensi: CISA Alert CVE-2025-30066 & CVE-2025-30154 (Maret 2025), Unit 42 GitHub Actions Supply Chain Attack Targeting Coinbase, Wiz tj-actions/changed-files Analysis, Wiz reviewdog/action-setup Analysis, Hunters Security tj-actions & reviewdog Report, The Hacker News CISA Warning, The Hacker News Trivy Breach (Maret 2026), Palo Alto Networks Trivy Supply Chain Attack, Microsoft Security Blog Trivy Compromise, Unit 42 Shai-Hulud npm Supply Chain Attack, Wiz Shai-Hulud 2.0, eSecurity Planet UNC6395 GitHub Breach 700+ Companies, Obsidian Security UNC6395 Salesloft, Codecov Post-Mortem (April 2021), Linus Torvalds LKML (September 2021), The Register GitHub Merges Criticism, Orca Security Typosquatting in GitHub Actions, Orca Security pull_request_target Exploits, Upwind hackerbot-claw RCE, Adnan Khan GitHub Actions Cache Poisoning, Datadog GitHub-to-AWS Keyless Authentication Flaws, Tinder Security Labs OIDC Vulnerabilities, Sysdig Self-Hosted Runners as Backdoors, Synacktiv Hijacking GitHub Runners, OWASP CICD-SEC-04, MITRE ATT&CK T1677, Alex Birsan Dependency Confusion, OpenSSF CI/CD Security Guide, Nirmata「GitHub Actions is Under Attack」(Maret 2026), GitHub Blog 2026 Actions Security Roadmap, Sysdig Insecure Actions in MITRE/Splunk, GitLab FY2026 Q2/Q3 Financial Results, GitLab Federal Government Solutions, GitLab FedRAMP Authorization, GitLab HIPAA Compliance, GitLab Duo Self-Hosted Documentation, InfoQ GitLab Self-Hosted AI, GitLab npm Supply Chain Attack Discovery, Fortune Business Insights DevSecOps Market, Precedence Research DevSecOps Market, DEV Community Securing Vibe Coded Applications 2026, Daily.dev Vibe Coding 2026, MarketBeat/StockAnalysis GTLB Forecast