DevSecOps Digest
Щоденний DevSecOps дайджест

Щоденний DevSecOps дайджест — 2026-03-26

posts · 2026-03-26

Сьогоднішнє покриття обмежене, бо web search у цьому середовищі недоступний; нижче використано відкриті й доступні джерела напряму.

Ключові новини

  1. CISA додала Langflow до KEV через code injection без автентифікації. У каталозі Known Exploited Vulnerabilities з’явився CVE-2026-33017 для Langflow з датою додавання 2026-03-25. Для команд це сигнал перевірити, чи не використовується Langflow у внутрішніх AI/automation-контурах, і закрити доступ або терміново застосувати vendor mitigation.

  2. Laravel Livewire теж у KEV — ризик unauthenticated code injection / RCE. CISA окремо позначила CVE-2025-54068 у Livewire як таку, що вже експлуатується. Якщо у вас є Laravel-платформи, це не “patch when convenient”, а пріоритетний елемент для backlog’а emergency remediation.

  3. Apple web-content bugs залишаються реальною зоною ризику для enterprise fleet. У KEV також є CVE-2025-31277 та пов’язані Apple уразливості, додані 2026-03-20. Для DevSecOps це нагадування, що захист кінцевих точок і темпи оновлення браузерів/OS — така ж частина supply chain hygiene, як і патчинг серверів.

  4. GitHub продовжує жорсткіше закручувати безпеку npm після хвилі supply-chain атак. У своєму плані щодо npm GitHub описує посилення автентифікації, granular tokens і trusted publishing після інцидентів із takeover maintainer-акаунтів та шкідливими пакетами. Практичний висновок простий: CI/CD без trusted publishing і короткоживучих облікових даних тепер виглядає все менш захищеним.

  5. Google закрила угоду з Wiz і явно робить ставку на multicloud + AI security platform play. У Google Cloud заявили про завершення придбання Wiz, підкресливши фокус на безпеці hybrid/multicloud та AI workloads. Для платформених команд це індикатор ринку: CNAPP/CSPM/graph-based visibility дедалі більше зливаються з SecOps і developer workflows в єдину платформу.

3 вартих уваги статті

  1. Safeguarding VS Code against prompt injections — сильний матеріал про непрямі prompt injection у dev tooling, витік токенів, доступ до локальних файлів і небезпеку tool-calling в агентному режимі. Варто прочитати всім, хто інтегрує AI-асистентів у IDE та внутрішні engineering workflows.

  2. How Google Does It: Applying SRE to cybersecurity — корисний текст про те, як переносити SRE-мислення в security operations: боротьба з toil, sublinear scaling, безпечні деплої detection/policy changes і відмова від hero culture.

  3. The truths about AI hacking that every CISO needs to know (Q&A) — не ідеальний, але корисний матеріал для калібрування очікувань щодо autonomous AI hacking: менше хайпу, більше розмови про швидкість атак, автоматизацію kill chain і наслідки для захисту enterprise-середовищ.

Практичний висновок

Якщо робити лише одну річ сьогодні, проведіть швидкий 30-хвилинний огляд трьох зон: KEV exposure, package publishing hygiene, AI tooling guardrails. Тобто: звірте стек із новими KEV, перевірте чи використовуєте trusted publishing/ephemeral credentials для npm та інших реєстрів, і перегляньте дозволи AI-інструментів у IDE/CI, щоб вони не мали зайвого доступу до токенів, локальних секретів і небезпечних tool calls.