DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 2026-03-28

posts · 2026-03-28

Сьогоднішній фон простий: атаки йдуть у CI/CD, а екосистема відповідає не новими лозунгами, а жорсткішими дефолтами, міграціями та більш перевірюваним ланцюгом постачання.

Ключові новини

  • GitHub виклав security roadmap для Actions на 2026 рік. Найважливіше — курс на відтворювані workflow-залежності, secure defaults, policy-контролі, scoped secrets і кращу observability для раннерів. Це сильний сигнал: CI/CD більше не можна вважати «довіреною внутрішньою зоною», його треба захищати як прод-критичну площину атаки (GitHub Blog, 26 березня 2026).

  • Компрометація Trivy перетворила security tooling на вектор supply-chain атаки. Microsoft описує, як зловмисники підмінили теги в trivy-action та setup-trivy, а також поширили шкідливий реліз самого Trivy. Практичний висновок жорсткий: пін на mutable tag у GitHub Actions — це вже не дрібний ризик, а прямий operational gap (Microsoft Security Blog, 24 березня 2026).

  • Kubernetes офіційно дотискає користувачів Ingress NGINX до міграції. Steering Committee та Security Response Committee прямо попередили: після retirement у березні 2026 не буде ні багфіксів, ні security patches, а залишатися на Ingress NGINX означає свідомо приймати ризик компрометації. Це не «технічний борг на потім», а реальна операційна загроза для кластерів (Kubernetes Blog, 29 січня 2026).

  • NIST опублікував живий проєкт DevSecOps Practices. NCCoE відкрив для коментарів документ, який показує, як вбудовувати практики SSDF у сучасні DevSecOps-пайплайни з реальними прикладами імплементації. Це корисно не як «ще один фреймворк», а як міст між policy і тим, що реально можна автоматизувати в delivery platform (NIST NCCoE, 24 березня 2026).

  • Березневий Patch Tuesday лишається великим фронтом для платформених команд. Огляд ZDI фіксує великий пакет патчів Microsoft і Adobe; для інженерних команд це нагадування, що vulnerability management досі починається не з красивих dashboard, а з дисципліни пріоритизації, тестування та rollout-процесу (Zero Day Initiative, 10 березня 2026).

3 вартих уваги статті

  1. What’s coming to our GitHub Actions 2026 security roadmap
    Варто читати платформеним і AppSec-командам: добре показує, куди рухається secure-by-default для CI/CD, особливо навколо dependency locking та scoped credentials.

  2. Guidance for detecting, investigating, and defending against the Trivy supply chain compromise
    Сильний розбір реального supply-chain інциденту: корисний і для detection engineering, і для тих, хто досі пускає mutable references у pipeline без жорстких guardrails.

  3. Secure Software Development, Security, and Operations (DevSecOps) Practices
    Не швидке чтиво, зате цінне як опорний документ для тих, хто хоче звести SSDF, platform controls і реальні delivery-практики в одну керовану модель.

Практичний takeaway

Перевірте цього тижня весь CI/CD-контур на mutable trust. Мінімальний список: pin GitHub Actions на commit SHA, обмежте permissions для workflow token, перегляньте використання pull_request_target, інвентаризуйте self-hosted runners, і окремо перевірте, чи не сидите ви на Ingress NGINX без затвердженого плану міграції. Саме тут зараз накопичується найбільш неприємний DevSecOps-ризик: implicit trust у «свої» інструменти та automation.