DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps Digest — 2026-03-29

posts · 2026-03-29

Сьогоднішній фокус простий: головний ризик знову не в «ще одному CVE», а в довірених ланцюгах постачання, CI/CD та інструментах, які ми звикли вважати захисними.

Ключові новини

  • NIST виніс у публічний коментар практичний DevSecOps-проєкт на базі SSDF. NCCoE опублікував живий документ з референсною моделлю, прикладом Azure-реалізації та практиками інтеграції безпеки в сучасні пайплайни. Це корисно не як «ще один фреймворк», а як матеріал для приземлення SSDF у реальну інженерію: NIST NCCoE DevSecOps Practices.

  • CISA додала компрометацію Trivy до KEV. CVE-2026-33634 офіційно потрапив до Known Exploited Vulnerabilities Catalog, а CISA прямо радить усім організаціям пріоритезувати усунення цієї проблеми: повідомлення CISA. Для DevSecOps-команд це сильний сигнал: компрометація security tooling тепер уже не теоретичний сценарій.

  • Aqua продовжує розслідування атаки на Trivy та підтверджує багатостадійну компрометацію. В оновленнях вендор описує повторне використання доступу, перевипуск артефактів, ротацію credentials та посилення контролів навколо open-source середовища: Aqua Security advisory. Практичний висновок очевидний: навіть security-інструмент без жорсткого контролю релізного ланцюга сам стає каналом атаки.

  • Node.js випустив березневі security releases для 20.x/22.x/24.x/25.x. Серед важливого — high-severity DoS через TLS callback handling та обробку __proto__ у HTTP headers, а також bypass permission model для UDS в окремих сценаріях: Node.js March 2026 security releases. Якщо у вас внутрішні платформи, CI runners або automation services на Node.js, це не косметичне оновлення.

3 вартих уваги матеріали

  1. Secure Software Development, Security, and Operations (DevSecOps) Practices — NIST
    Варто читати тим, хто хоче перевести розмови про SSDF у реальні control points, reference model та pipeline design.

  2. Key learnings from the 2026 State of DevSecOps study — Datadog
    Корисний матеріал про те, де саме команди реально програють: експлуатовані вразливості в проді, повільне оновлення бібліотек і слабкий захист GitHub Actions.

  3. Guidance for detecting, investigating, and defending against the Trivy supply chain compromise — Microsoft
    Хороший практичний розбір того, як атака зловживає mutable tags, trusted release channels і CI/CD довірою, плюс що саме варто перевіряти в detection/response.

Практичний висновок

Цього тижня найкраща інвестиція — аудит довіри в CI/CD: перевірити, чи pinned third-party GitHub Actions на commit SHA, чи є ротація secrets після використання Trivy/пов’язаних action, чи розділені build-signing-release контури, і чи вмієте ви швидко зупинити компрометований security tool без зупинки всієї інженерної організації.