Pencerobohan GitHub Actions berturut-turut. GitLab self-hosted yang disebut sebagai kilang peribadi terbaik berkembang pesat

Antara tahun 2025 hingga 2026, serangan rantaian bekalan yang mensasarkan GitHub Actions telah berlaku dalam skala yang sangat dahsyat dan berturutan. Pencerobohan tj-actions/changed-files pada Mac 2025 (CVE-2025-30066, memberi kesan kepada lebih 23,000 repositori), cacing Shai-Hulud pada November 2025 (mencipta 27,000 repositori berniat jahat dan mendedahkan 14,000 rahsia daripada 487 organisasi), serta pencerobohan Trivy-action pada Mac 2026 (CVE-2025-61671, CVSS 9.3) — ini bukan insiden terpencil, melainkan akibat kelemahan struktur yang sedia ada dalam seni bina GitHub Actions itu sendiri. GitHub sendiri telah mengakui dalam peta jalan keselamatan 2026 bahawa "kebergantungan Action diselesaikan semasa runtime dan tidak deterministik", "keterlihatan adalah terhad", dan "kawalan adalah minimum". Linus Torvalds, pencipta Git sekaligus pencipta Linux, menyatakan dengan tegas bahawa "GitHub menghasilkan gabungan yang sama sekali tidak berguna" dan "permintaan tarik GitHub dan pengeditan komit dalam talian adalah sampah semata-mata". Di tengah kekacauan ini, GitLab versi self-hosted semakin mendapat sokongan pesat sebagai "kilang peribadi muktamad di era vibe coding". Pada awal 2026, ketika 92% pembangun Amerika Syarikat mengamalkan pengekodan berbantuan AI (vibe coding), terdapat kenyataan bahawa kira-kira 24.7% kod yang dijana AI mengandungi kelemahan keselamatan. GitLab Duo Self-Hosted (GA pada Februari 2025) mengerahkan LLM dalam infrastruktur pelanggan sendiri, memastikan data inferens tidak meninggalkan rangkaian pelanggan. Ia telah mendapat pensijilan FedRAMP Moderate, diintegrasikan ke dalam Iron Bank Jabatan Pertahanan Amerika Syarikat, dan menyokong penempatan air-gap dalam persekitaran sulit kewangan, perubatan, dan kerajaan. Hasil kewangan FY2026 GitLab Inc. (GTLB) mencapai USD 955 juta (kira-kira 143.25 bilion yen, meningkat 25.8% berbanding tahun sebelumnya), pelanggan dengan ARR melebihi USD 100,000 berjumlah 1,344 syarikat (meningkat 25%), dan 24 daripada 29 penganalisis mengesyorkan "Strong Buy". Pasaran DevSecOps dijangka berkembang daripada kira-kira USD 10 bilion (kira-kira 1.5 trilion yen) pada 2025 kepada USD 26 hingga 37 bilion (kira-kira 3.9 trilion hingga 5.55 trilion yen) menjelang 2032 hingga 2035. Makalah ini secara menyeluruh mengkaji gambaran penuh kelemahan struktur GitHub Actions, kelebihan self-hosted GitLab, serta kepentingan persekitaran pembangunan peribadi di era vibe coding.

Penghukuman Linus Torvalds——"GitHub adalah sampah semata-mata"

Sebelum membincangkan tentang kompromi GitHub Actions, kita perlu menjelaskan hubungan antara Git itu sendiri dengan GitHub.

Git adalah sistem kawalan versi teragih yang dibangunkan oleh Linus Torvalds——pencipta kernel Linux——pada tahun 2005. Namun Torvalds telah berulang kali mengkritik GitHub yang dibina di atas Git ciptaannya sendiri, tanpa sebarang belas kasihan.

Pada September 2021, berkaitan dengan permintaan tarik (pull request) pemacu NTFS untuk Linux 5.15, Torvalds menyatakan perkara berikut dalam senarai mel kernel:

"GitHub menghasilkan cantuman (merge) yang benar-benar tidak berguna dan sampah. Jangan sekali-kali mencantum melalui antara muka GitHub"

"Git dilengkapi dengan modul penjanaan permintaan tarik yang betul, tetapi GitHub memutuskan untuk menggantikannya dengan versi proprietary mereka yang jauh lebih rendah mutunya"

"Permintaan tarik GitHub dan pengeditan komit dalam talian adalah sampah tulen"

Apa yang Torvalds persoalkan ialah mesej komit cantuman GitHub yang menghasilkan rentetan tanpa maklumat seperti "Merge branch 'torvalds:master' into master"——yang sepenuhnya memusnahkan konteks tentang apa yang dicantum dan mengapa ia dicantum. Bagi projek kritikal misi seperti pembangunan kernel, ini bukan sekadar isu estetika, malah merupakan kerosakan mendasar terhadap kebolehkesanan kod dan jaminan kualiti.

Kritikan Torvalds bukanlah penafian terhadap nilai GitHub sebagai hos kod (beliau turut menyatakan "ia bagus sebagai pengehosan"). Namun, pencipta Git sendiri telah memberi amaran awal bahawa aliran kerja GitHub——permintaan tarik, cantuman, dan GitHub Actions yang dibina di atasnya——mengandungi kelemahan reka bentuk yang serius.

Rantaian Kompromi GitHub Actions — Rekod Dahsyat 2025~2026

Dari 2025 hingga 2026, serangan rantaian bekalan yang menyasarkan GitHub Actions berlaku secara berantai dalam skala yang belum pernah berlaku sebelumnya.

Mac 2025: Pencerobohan tj-actions/changed-files. CVE-2025-30066 (CVSS 8.6). Penyerang membina rantaian serangan bermula daripada PAT (Personal Access Token) yang bocor melalui kerentanan pull_request_target dalam SpotBugs, kemudian menuju ke reviewdog/action-setup → tj-actions/changed-files → Coinbase agentikit. Muatan berkod Base64 membuang memori pelari CI/CD, mendedahkan semua pemboleh ubah persekitaran dan rahsia ke dalam log aliran kerja. Lebih 23,000 repositori terjejas, dengan kelayakan DockerHub, npm, dan AWS terdedah dalam 218 repositori. CISA menambahkannya ke dalam katalog Known Exploited Vulnerabilities (KEV) pada 18 Mac dan mengeluarkan amaran rasmi. Sasaran utama ialah projek agentkit Coinbase, dengan pencurian mata wang kripto dipercayai sebagai tujuannya.

November 2025: Cacing Shai-Hulud. Ditemui oleh penyelidik Unit 42 dari Palo Alto Networks. Ia menjadikan lebih 700 pakej npm sebagai Trojan, mencipta 27,000 repositori GitHub berniat jahat, dan mendedahkan 14,000 rahsia daripada 487 organisasi dalam masa beberapa jam. Ia membina rangkaian seperti botnet yang mereplikasi diri sendiri, di mana sistem yang terjejas berkongsi token akses. Zapier, ENS Domains, PostHog, dan Postman turut dijadikan Trojan buat sementara waktu.

2025: UNC6395 / Pencerobohan Salesloft. Digelar "Kempen pencerobohan SaaS terbesar tahun ini", ia menjejaskan lebih 700 syarikat. Penyerang mendapat akses kepada akaun GitHub Salesloft, memuat turun kod, menambah akaun tetamu, dan mengkonfigurasi aliran kerja yang tidak dibenarkan. Dengan token OAuth yang dicuri, mereka mengakses ratusan persekitaran Salesforce. Syarikat yang terjejas termasuk Cloudflare, SentinelOne, Zscaler, Palo Alto Networks, Google, PagerDuty, dan Proofpoint.

Mac 2026: Pencerobohan Trivy-action. Bot autonomi bernama "hackerbot-claw" milik pelaku ancaman "TeamPCP" mengeksploitasi aliran kerja pull_request_target untuk mencuri PAT, kemudian menimpa 76 daripada 77 tag aquasecurity/trivy-action menggunakan force push. Ia mengekstrak kunci SSH, kelayakan pembekal awan, kelayakan pangkalan data, token Kubernetes, dan dompet mata wang kripto. CVE-2025-61671 (CVSS 9.3, Kritikal) telah ditetapkan, dan Microsoft menerbitkan panduan keselamatan berkenaan perkara ini.

Gambaran Penuh Vektor Serangan——Pembedahan Kerentanan Struktural

Pencerobohan GitHub Actions berpunca daripada kelemahan struktur yang wujud dalam seni bina itu sendiri, bukan daripada kesilapan konfigurasi yang berasingan.

Pengambilalihan keistimewaan melalui penggunaan pull_request_target yang tidak sesuai. Pencetus pull_request biasa dilaksanakan dalam konteks sumber fork dan hanya mempunyai hak akses baca sahaja. Namun pull_request_target dilaksanakan dalam konteks cawangan sasaran (main) dan memiliki akses penuh kepada rahsia serta GITHUB_TOKEN yang boleh dibaca dan ditulis. Penyerang hanya perlu menghantar PR dari fork untuk mengakses semua rahsia repositori sasaran. OWASP mengklasifikasikan ini sebagai CICD-SEC-04 (Poisoned Pipeline Execution), dan MITRE ATT&CK mendaftarkannya sebagai T1677. Pada Februari 2026, bot autonomi "hackerbot-claw" mengeksploitasi kelemahan ini pada sekurang-kurangnya 6 repositori terkemuka.

Serangan "typosquatting" di GitHub Marketplace. Dalam eksperimen bukti konsep (PoC) oleh Orca Security, 14 organisasi palsu telah dicipta (contoh: "circelci", "actons", "docker-action"), dan organisasi "actons" dirujuk oleh 12 repositori dalam masa 2 bulan tanpa sebarang promosi. GitHub tidak mempunyai mekanisme untuk mengesahkan keaslian Action, dan sesiapa sahaja boleh menerbitkan Actions dengan nama yang menyerupai Action popular. Ini merupakan serangan rantaian bekalan kos rendah dengan impak tinggi.

Penyalahgunaan hubungan kepercayaan OIDC (OpenID Connect). Pengesahan tanpa kunci ke AWS/GCP/Azure menggunakan token OIDC GitHub Actions boleh membenarkan akses kepada sumber awan dari mana-mana aliran kerja GitHub Actions sekiranya dasar kepercayaan peranan IAM dikonfigurasi dengan tidak betul. Tinder Security Labs dan Datadog Security Labs telah menerbitkan penyelidikan terperinci mengenai perkara ini, dan AWS mengambil langkah untuk menyekat penciptaan peranan baharu yang terdedah pada Jun 2025.

Rampasan persekitaran pelaksanaan (Runners) dan perlombongan mata wang kripto. Dalam kempen Shai-Hulud, pelari yang tidak dibenarkan dipasang pada mesin yang telah dicerobohi, dan aliran kerja yang sengaja dibuat terdedah digunakan sebagai saluran C2. Penyelidik NVIDIA berjaya mendapatkan shell terbalik daripada pelari contoh g5g.metal yang dihoskan sendiri. Praetorian Research menyimpulkan bahawa "pelari GitHub yang dihoskan sendiri adalah pintu belakang" dan memberi amaran bahawa pelari bukan efemeral boleh menjadi tapak serangan yang berterusan.

Pengakuan GitHub Sendiri——"Keterlihatan Terhad, Kawalan Minimum"

Yang paling mengejutkan ialah GitHub sendiri telah mengakui kelemahan struktural dalam Pelan Hala Tuju Keselamatan Actions 2026 mereka.

GitHub secara rasmi mengakui perkara berikut: "Kebergantungan Action diselesaikan pada masa jalan dan tidak bersifat deterministik", "Keterlihatan adalah terhad", "Kawalan adalah minimum", "aliran kerja yang diberi kebenaran berlebihan", "sempadan kepercayaan yang tidak jelas", "konfigurasi yang mudah tersalah tetapkan" — kesemua ini adalah punca utama yang membolehkan serangan yang disebutkan sebelumnya berlaku.

Nirmata pada Mac 2026 telah menerbitkan sebuah artikel bertajuk "GitHub Actions is Under Attack" yang merumuskan ancaman yang semakin meningkat. Penyelidikan Sysdig mendapati bahawa walaupun repositori sumber terbuka yang memberi tumpuan kepada keselamatan seperti MITRE dan Splunk turut menggunakan GitHub Actions yang tidak selamat. OpenSSF (Open Source Security Foundation) telah menerbitkan "Panduan Keselamatan Saluran Paip CI/CD" sebagai respons terhadap serangan ke atas tj-actions dan reviewdog.

GitLab Self-Hosted — Kebangkitan "Kilang Peribadi Mutlak"

Apabila kelemahan struktur GitHub Actions terdedah, GitLab edisi self-hosted semakin mendapat sokongan pesat sebagai "kilang peribadi terbaik di era vibe coding".

Kelebihan asas GitLab self-hosted terletak pada ketidakbergantungan kepada Actions pihak ketiga daripada marketplace. Setiap kompromi GitHub Actions berpunca daripada keruntuhan model kepercayaan marketplace. GitLab menyediakan SAST, DAST, pengimbasan kebergantungan, pengimbasan kontena, pengesanan rahsia, dan pematuhan lesen — semuanya terbina dalam, tanpa bergantung pada pemalam luaran. Runner juga direka bentuk sebagai self-managed, tanpa kebergantungan pada infrastruktur dikongsi.

GitLab Community Edition adalah percuma sepenuhnya dan boleh di-self-host, sama ada di atas Kubernetes mahupun Linux bare metal. Ini berbeza dengan GitHub Enterprise yang memerlukan pelan enterprise untuk self-hosting. Kira-kira separuh daripada instans GitLab dikendalikan secara self-hosted, menunjukkan permintaan yang sangat tinggi terhadap pengurusan on-premises.

Era Vibe Coding dan Kedaulatan Data——Mengapa GitLab Sekarang

Pada awal tahun 2026, 92% pembangun perisian di Amerika Syarikat telah mengamalkan vibe coding (pembangunan berbantuan AI). Pasaran alat pengkodan berbantuan AI dijangka mencecah USD 8.5 bilion pada tahun 2026. Namun, realiti yang ada ialah kira-kira 24.7% kod yang dijana oleh AI mengandungi kelemahan keselamatan, dan sekitar 45% mempunyai kerentanan. Pada awal tahun 2026, sebuah aplikasi yang dibangunkan melalui vibe coding mengalami pelanggaran data besar-besaran, mendedahkan 1.5 juta kunci API.

GitLab Duo Self-Hosted (GA Februari 2025, v17.9) merupakan jawapan berstruktur terhadap risiko ini. LLM digunakan terus dalam infrastruktur pelanggan, memastikan data inferens tidak meninggalkan rangkaian pelanggan. Ia menyokong model Mistral (atas vLLM), Claude 3.5 Sonnet (atas AWS Bedrock), dan model OpenAI (atas Azure OpenAI). Dalam v18.4, ciri-ciri seperti Model Selection (pentadbir memilih vendor model yang digunakan dalam aliran kerja AI), Context Exclusion (mengecualikan fail/direktori sensitif daripada konteks AI), dan Knowledge Graph (asas untuk integrasi RAG yang lebih mendalam dan kecerdasan kod) tersedia dalam GA/beta.

Kewangan, perubatan, kerajaan, pertahanan — bagi industri yang dikawal selia secara ketat, jaminan bahawa kod proprietari tidak dihantar kepada pembekal AI luaran dan tidak digunakan sebagai data latihan AI bukanlah sekadar keperluan keselamatan, malah ia adalah keperluan perniagaan.

Pengambilan dalam Kerajaan, Pertahanan & Industri Terkawal

GitLab self-hosted diterima pakai dalam persekitaran yang mempunyai keperluan keselamatan paling ketat.

GitLab Dedicated for Government telah mendapat pensijilan FedRAMP Moderate dan TX-RAMP. Imej yang diperkukuh (hardened) telah diintegrasikan ke dalam Iron Bank Jabatan Pertahanan, dan boleh digunakan di seluruh Jabatan Pertahanan pada semua peringkat kerahsiaan. GitLab Duo Self-Hosted beroperasi dalam persekitaran air-gap — kemudahan terperingkat, awan swasta selamat, dan pusat data terkawal. Sokongan kerajaan AS dikendalikan secara eksklusif oleh warganegara AS.

Syarikat-syarikat besar seperti Airbus, NVIDIA, Siemens, dan Goldman Sachs telah menggunakannya, dan persekitaran penjagaan kesihatan yang mematuhi HIPAA dilengkapi dengan lebih daripada 50 kawalan pematuhan sebagai standard. Kediaman data, pengasingan, dan rangkaian peribadi disediakan di rantau yang dipilih oleh pelanggan.

Prestasi Kewangan GitLab — Angka Pertumbuhan Pesat

GitLab Inc. (NASDAQ: GTLB) mencatatkan prestasi yang mencerminkan lonjakan pesat permintaan pengehosan sendiri (self-hosted).

Hasil untuk FY2026 (berakhir Januari 2026) adalah USD 955 juta (kira-kira ¥143.25 bilion), meningkat 25.8% berbanding tahun sebelumnya. Bagi Q2 FY2026, hasil mencecah USD 236 juta (naik 29%). Kadar pengekalan bersih berasaskan dolar (Dollar-Based Net Retention Rate) ialah 121%. Pelanggan dengan ARR melebihi USD 100,000 berjumlah 1,344 syarikat (naik 25%), manakala pelanggan dengan ARR melebihi USD 5,000 berjumlah 10,338 syarikat (naik 11%). Pengguna berdaftar melebihi 30 juta orang. Obligasi prestasi berbaki (Remaining Performance Obligations / RPO) adalah USD 988 juta (naik 32%).

Konsensus analis bagi harga saham adalah Strong Buy (24 Beli, 5 Tahan, 0 Jual). Sasaran harga median ialah USD 56.50, manakala sasaran harga tertinggi ialah USD 75.00 (Macquarie, Steve Koenig).

Pasaran DevSecOps — Keselamatan Rantaian Bekalan Mencatatkan Pertumbuhan Terpantas

Rantaian kompromi GitHub Actions sedang memacu pertumbuhan seluruh pasaran DevSecOps.

Pasaran DevSecOps dijangka berkembang daripada kira-kira 10 bilion dolar (sekitar 1.5 trilion yen) pada 2025 dan kira-kira 11.4 bilion dolar pada 2026, kepada 26 hingga 37 bilion dolar (sekitar 3.9 trilion hingga 5.55 trilion yen) menjelang 2032–2035 (CAGR 14.6–17.8%). Segmen keselamatan rantaian bekalan mencatat CAGR pertumbuhan paling pesat — tepat pada domain yang terdedah melalui kelemahan GitHub Actions.

Pelaburan modal teroka (VC) turut tertumpu pada bidang DevSecOps. Opsera (DevOps berkuasa AI, Siri B 20 juta dolar), Pixee (pembetulan kod automatik, Seed 15 juta dolar), Boost Security (automasi DevSecOps, Seed 12 juta dolar). Sebanyak 70% dana mengalir ke syarikat permulaan Amerika Utara, dengan Decibel Partners, Shield Capital, dan Paladin Capital sebagai pelabur utama.

Prospek Masa Depan——Dua Jalan yang Bercabang

GitHub Actions dan GitLab Self-Hosted mewakili dua falsafah yang berbeza secara asas dalam masa depan infrastruktur pembangunan.

GitHub mengandalkan kebolehskalaan melalui lebih 10,000 Action di Marketplace, serta kesan rangkaian daripada lebih 100 juta pembangun. 90% daripada Fortune 100 menggunakan GitHub. Namun, kelemahan struktur yang diakui sendiri dalam peta jalan keselamatan 2026 — "kebergantungan yang diselesaikan pada masa jalan", "kawalan yang minimum", dan "konfigurasi yang mudah tersalah tetap" — merupakan masalah pada peringkat seni bina yang tidak dapat diselesaikan melalui tampalan semata-mata.

GitLab Self-Hosted berlandaskan falsafah "bina sendiri semua, kawal sendiri semua." Ia menghapuskan sepenuhnya model kepercayaan Marketplace, dan menyediakan SAST/DAST/pengesanan rahsia secara terbina dalam. Kedaulatan data AI dalam era vibe coding, penggunaan dalam persekitaran air-gap, serta pematuhan regulasi kerajaan, kewangan, dan perubatan — GitLab Self-Hosted sedang mengukuhkan kedudukannya dengan pantas sebagai "kilang peribadi terhebat" yang memenuhi keperluan-keperluan ini.

Poisoned Pipeline Execution (CICD-SEC-04) dari OWASP menjadi punca kepada semua insiden utama yang melibatkan GitHub Actions. Selagi vektor serangan ini wujud, keselamatan GitHub Actions kekal tidak stabil secara struktur. Seni bina GitLab yang bersepadu dan berdikari menghapuskan risiko ini pada peringkat reka bentuk.

Kesan Terhadap Industri

Pertama, rangkaian kompromi GitHub Actions pada tahun 2025–2026 menunjukkan bahawa keselamatan rantaian bekalan CI/CD telah meningkat daripada "baik untuk dimiliki" kepada "penentu kelangsungan perniagaan." tj-actions (23,000 repositori), Shai-Hulud (14,000 rahsia daripada 487 organisasi), UNC6395 (700 syarikat), Trivy (CVSS 9.3) — kesan kumulatif insiden-insiden ini berisiko mencetuskan kehilangan kepercayaan mendasar terhadap model marketplace GitHub Actions.

Kedua, pengakuan GitHub sendiri bahawa "keterlihatan adalah terhad" dan "kawalan adalah minimum" merupakan pengesahan rasmi kewujudan masalah struktur. Ini bukan isu yang boleh diselesaikan dengan tampalan, tetapi memerlukan reka bentuk semula pada peringkat seni bina, menjadikan penyelesaian jangka pendek amat sukar.

Ketiga, kebangkitan GitLab self-hosted sebagai "kilang persendirian muktamad" didorong oleh gabungan motivasi: kedaulatan data AI di era vibe coding, keperluan air-gap kerajaan dan pertahanan, pematuhan regulasi kewangan dan perubatan, serta pengunduran struktur daripada risiko rantaian bekalan GitHub Actions. Angka FY2026 hasil $955 juta (naik 25.8%) dan 1,344 pelanggan ARR melebihi $100,000 (naik 25%) membuktikan kukuhnya permintaan ini.

Keempat, segmen keselamatan rantaian bekalan dalam pasaran DevSecOps yang berkembang paling pesat bermakna kelemahan GitHub Actions sedang mengubah struktur pasaran. GitLab berpotensi menjadi penerima manfaat terbesar daripada gelombang ini.

Rujukan: CISA Alert CVE-2025-30066 & CVE-2025-30154 (Mac 2025), Unit 42 GitHub Actions Supply Chain Attack Targeting Coinbase, Wiz tj-actions/changed-files Analysis, Wiz reviewdog/action-setup Analysis, Hunters Security tj-actions & reviewdog Report, The Hacker News CISA Warning, The Hacker News Trivy Breach (Mac 2026), Palo Alto Networks Trivy Supply Chain Attack, Microsoft Security Blog Trivy Compromise, Unit 42 Shai-Hulud npm Supply Chain Attack, Wiz Shai-Hulud 2.0, eSecurity Planet UNC6395 GitHub Breach 700+ Companies, Obsidian Security UNC6395 Salesloft, Codecov Post-Mortem (April 2021), Linus Torvalds LKML (September 2021), The Register GitHub Merges Criticism, Orca Security Typosquatting in GitHub Actions, Orca Security pull_request_target Exploits, Upwind hackerbot-claw RCE, Adnan Khan GitHub Actions Cache Poisoning, Datadog GitHub-to-AWS Keyless Authentication Flaws, Tinder Security Labs OIDC Vulnerabilities, Sysdig Self-Hosted Runners as Backdoors, Synacktiv Hijacking GitHub Runners, OWASP CICD-SEC-04, MITRE ATT&CK T1677, Alex Birsan Dependency Confusion, OpenSSF CI/CD Security Guide, Nirmata「GitHub Actions is Under Attack」(Mac 2026), GitHub Blog 2026 Actions Security Roadmap, Sysdig Insecure Actions in MITRE/Splunk, GitLab FY2026 Q2/Q3 Financial Results, GitLab Federal Government Solutions, GitLab FedRAMP Authorization, GitLab HIPAA Compliance, GitLab Duo Self-Hosted Documentation, InfoQ GitLab Self-Hosted AI, GitLab npm Supply Chain Attack Discovery, Fortune Business Insights DevSecOps Market, Precedence Research DevSecOps Market, DEV Community Securing Vibe Coded Applications 2026, Daily.dev Vibe Coding 2026, MarketBeat/StockAnalysis GTLB Forecast