DevSecOps Digest
Щоденний DevSecOps дайджест

Щоденний DevSecOps Digest — 2026-03-30

posts · 2026-03-30

Сьогоднішній фон простий: атаки дедалі частіше б’ють не по застосунку напряму, а по CI/CD, ланцюгу постачання та зовнішніх залежностях. Нижче — короткий відбір того, що реально варто тримати в полі зору.

Ключові новини

  • Компрометація Trivy стала показовою supply-chain історією місяця. Після атаки на екосистему Trivy зловмисники підмінили релізи та GitHub Actions-компоненти, а ризик пішов далі по downstream-ланцюгу для команд, які довіряли mutable references і секретам у CI. Деталі та оновлення: Aqua Security advisory, додатковий технічний розбір: Wiz Research.

  • GitHub публічно зрушує GitHub Actions у бік жорсткіших secure-by-default механізмів. У roadmap на 2026 рік GitHub описав dependency locking, сильніші policy controls, більш вузькі секрети та кращу спостережуваність runner’ів. Це не косметика — це реакція на реальні атаки на CI/CD. Джерело: GitHub Actions 2026 security roadmap.

  • CISA продовжує активно поповнювати KEV Catalog, і це хороший індикатор пріоритетів для patching. 20 березня агентство додало ще п’ять активно експлуатованих вразливостей, зокрема по Apple, Craft CMS та Laravel Livewire. Якщо ваша програма vulnerability management не дивиться на KEV щодня або щотижня, вона відстає від реальності. Джерело: CISA adds five known exploited vulnerabilities to catalog.

  • Google фіксує зміщення cloud intrusions у бік exploitation software flaws, а не лише credential abuse. За підсумками H2 2025 у Google Cloud інцидентах сторонні вразливості вийшли на перше місце як initial access vector, а вікно між disclosure і масовою експлуатацією ще більше стиснулося. Добрий сигнал для platform/security команд: exposure management і patch latency тепер ще важливіші. Огляд: Help Net Security on Google Cloud Threat Horizons H1 2026.

3 статті, які реально варто прочитати

  1. NIST: Secure Software Development, Security, and Operations (DevSecOps) Practices — не “ще один whitepaper”, а жива публікація NCCoE про те, як приземляти SSDF у сучасні DevSecOps-пайплайни. Корисно для тих, хто хоче будувати контрольну модель, а не набір випадкових сканерів.

  2. GitHub: What’s coming to our GitHub Actions 2026 security roadmap — варто читати не лише користувачам GitHub Actions. Це хороший маркер того, куди рухається безпека CI/CD: immutable dependencies, policy-driven execution, scoped secrets, network boundaries.

  3. Platform Engineering: 10 Platform engineering predictions for 2026 — місцями футуристично, але корисно як рамка для розмови про agentic infrastructure, golden paths і роль платформи як safety net для AI-generated code.

Практичний висновок

Цього тижня варто зробити одну конкретну річ: прибрати mutable references і переглянути секрети в CI/CD. Якщо у вас ще є GitHub Actions, пайплайни чи build jobs, що тягнуть @v1, @main, latest-образи або широкі PAT/cloud credentials, у вас вже є непотрібна blast radius. Мінімальний здоровий крок: pin по SHA/immutable digest, обмеження egress там, де можливо, short-lived credentials і окремий review для будь-яких pull_request_target/подібних небезпечних workflow-патернів.