DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps Digest — 2026-03-24

posts · 2026-03-24

Покриття сьогодні обмежене, бо web search backend недоступний. Дайджест зібраний з доступних відкритих джерел, тож фокус — на сигналі, який реально варто винести в engineering і security practice.

Ключові новини

  • Компрометація Trivy стала жорстким нагадуванням, що security tooling теж є частиною supply chain blast radius. Aqua підтвердила шкідливі релізи Trivy v0.69.4, а також компрометацію тегів trivy-action і setup-trivy; Wiz окремо описав викрадення секретів із GitHub Actions runner’ів і ризик для SSH, cloud та Kubernetes credentials (GitHub advisory, Wiz analysis).

  • Той самий кластер активності TeamPCP вже виглядає не просто як infostealer-кампанія, а як cloud-native destructive capability. Aikido описує варіант CanisterWorm, який перевіряє timezone/locale і для іранських середовищ розгортає DaemonSet-wiper по всьому Kubernetes-кластеру або просто знищує хост; Krebs також пов’язує цю інфраструктуру з атакою на Trivy (Aikido, KrebsOnSecurity).

  • Березневий Patch Tuesday від Microsoft — не “спокійний”, навіть без headline zero-day. Krebs звертає увагу щонайменше на 77 виправлень, включно з публічно розкритою вразливістю SQL Server CVE-2026-21262, яка може дати network-based privilege escalation до sysadmin, а також на критичні Office RCE через Preview Pane (KrebsOnSecurity).

  • Правоохоронний тиск на IoT botnet ecosystem триває, але урок для платформених команд простіший: unmanaged edge залишається дешевим паливом для DDoS. Krebs повідомляє про зрив інфраструктури ботнетів Aisuru, Kimwolf, JackSkid і Mossad, які сумарно зловживали мільйонами IoT-пристроїв для рекордних DDoS-атак (KrebsOnSecurity).

3 статті, які варто прочитати

  1. Breaking the Sound Barrier, Part II: Exploiting CVE-2024-54529 — хороше технічне читання для розвитку смаку до exploitation chains, heap reasoning і того, як дослідники реально перетворюють crash на working exploit.
  2. SLSA — Supply-chain Levels for Software Artifacts — якщо після історії з Trivy хочеш не просто “бути обережнішим”, а мати нормальну модель контролів для build integrity, provenance і hardening ланцюга постачання.
  3. Secure by Design — варто перечитати як management-level і engineering-level рамку: без перенесення security burden з користувача на виробника ми й далі лікуватимемо симптоми, а не клас проблем.

Практичний takeaway

Якщо зробити одну корисну річ сьогодні, то перевір свої CI/CD pipeline-и на implicit trust до інструментів безпеки:

  • pin actions і контейнерні образи на SHA/digest, а не лише на теги;
  • перевір, які jobs реально мають доступ до cloud, GitHub, Kubernetes і signing secrets;
  • додай окремий сценарій incident response для компрометації build/security tooling;
  • де можливо, вимагай provenance, signatures і відтворювані артефакти, а не “довіру до бренду інструмента”.