DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps Digest — 2026-03-27

posts · 2026-03-27

Сьогоднішній фокус: атаки на ланцюг постачання вже б’ють не лише по залежностях, а й по самим інструментам безпеки та CI/CD.

Ключові новини

  • GitHub опублікував security roadmap для Actions на 2026 рік. Команда прямо визнає, що атаки на CI/CD стали системною проблемою, і анонсує жорсткіші дефолти: workflow-level dependency locking, кращі policy controls, observability для раннерів і native egress firewall для GitHub-hosted runners (GitHub Blog). Це сильний сигнал: pinning по SHA та контроль мережевого виходу переходять із “best practice” у базову гігієну.

  • NIST NCCoE випустив live-документ про практики DevSecOps. Новий документ показує, як приземляти NIST SSDF у реальні пайплайни, включно з reference model та першою Azure-based implementation, і відкритий для публічних коментарів до 24 квітня (NIST NCCoE). Корисно тим, хто хоче вирівняти інженерну практику з формальними вимогами supply-chain security без абстрактної “compliance theater”.

  • Інцидент із Trivy залишається живим прикладом того, як компрометація security tooling перетворюється на ланцюгову атаку. Aqua у своєму оновленні описує багатостадійну атаку, повторне отримання доступу зловмисником і масштабні ротації credential’ів та посилення контролів CI/CD (Aqua Security). Головний урок простий: якщо security tool має широкий доступ до секретів, репозиторіїв і release-каналів, його компрометація автоматично стає платформеним ризиком.

  • ReversingLabs повідомляє про розширення кампанії TeamPCP до PyPI через LiteLLM. За їхнім аналізом, компрометовані версії litellm 1.82.7 і 1.82.8 містили infostealer, а сама атака, ймовірно, розвинулась із попереднього компромісу CI/CD-залежностей без version pinning (ReversingLabs). Це вже не окремий інцидент, а шаблон: одна незакріплена action/dependency може відкрити шлях до publishing credentials і масового downstream impact.

  • OpenSSL у березні продовжив серію security advisory. У таймлайні проєкту видно advisory від 13 березня для CVE-2026-2673 щодо TLS 1.3 key agreement group negotiation, а також масштабний січневий пакет виправлень для 12 вразливостей, включно з CVE-2025-15467 (OpenSSL advisory timeline). Для platform та SRE-команд це нагадування: криптобібліотеки лишаються high-consequence залежностями, і їхній lifecycle не можна віддавати “на потім”.

3 вартих уваги матеріали

  1. What’s coming to our GitHub Actions 2026 security roadmap — варто прочитати, щоб зрозуміти, куди рухається безпека CI/CD на рівні платформи: lock-файли для workflow, політики та мережеві обмеження для runner’ів.

  2. Secure Software Development, Security, and Operations (DevSecOps) Practices — корисний міст між SSDF і реальною інженерною практикою; хороший матеріал для тих, хто будує програму secure SDLC, а не просто набір розрізнених сканерів.

  3. Key learnings from the 2026 State of DevSecOps study — не як істина в останній інстанції, а як непоганий зріз того, де організації реально провалюються: exploitable vulns у проді, застарілі залежності та слабко захищені GitHub Actions.

Практичний висновок

Якщо у вас ще немає короткої програми hardening для CI/CD, зробіть це наступного тижня як окремий інженерний deliverable: pin усі GitHub Actions на commit SHA, мінімізуйте GITHUB_TOKEN permissions, винесіть секрети з long-lived token model, додайте allowlist/egress control для runner’ів і перевірте, які security tools мають publish/admin доступ. Саме тут зараз концентрується реальний blast radius.