DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps Digest — 2026-03-31

posts · 2026-03-31

Сьогоднішній сигнал для DevSecOps-команд: атаки дедалі частіше б’ють не по застосунку напряму, а по CI/CD, ідентичностях машин і довірених security-інструментах. Менше шуму, більше контролю над ланцюгом постачання.

Ключові новини

  • GitHub окреслив security roadmap для Actions на 2026 рік. Основний вектор — зробити безпечну поведінку дефолтною: lock-файли для workflow-залежностей, жорсткіші policy controls, краща спостережуваність CI/CD та мережеві обмеження для hosted runners. Це важливо, бо атаки на tj-actions, Nx і trivy-action показали, що компрометація automation-шару масштабується дуже швидко (GitHub Blog).

  • Кампанія TeamPCP перейшла від supply chain-компрометацій до монетизації через ransomware. За даними Help Net Security, після серії компрометацій Trivy, LiteLLM, Checkmarx і Telnyx група вже пов’язана з першим підтвердженим ransomware-deployment на базі викрадених облікових даних. Для платформених команд це ще один доказ, що витік CI/CD-секретів майже завжди має другий акт (Help Net Security).

  • Розбір атаки на Trivy підтвердив, наскільки небезпечними є mutable tags у GitHub Actions. Palo Alto Networks описує ланцюг атаки, де компрометація PAT, отруєння тегів trivy-action, ексфільтрація секретів і подальше поширення через npm перетворили trusted scanner на зброю. Практичний висновок очевидний: @v1 і @latest у CI — це вже не просто smell, а реальна supply-chain surface area (Palo Alto Networks).

  • Kubernetes ingress-nginx закрив критичну проблему ін’єкції конфігурації. Advisory AV26-260 нагадує оновити ingress-nginx до версій, які містять виправлення для CVE-2026-4342; уражені гілки — все, що нижче 1.13.9, 1.14.5 та 1.15.1. Якщо у вас ingress — частина shared platform, це той клас вразливостей, який варто закривати централізовано, а не залишати на кожну команду окремо (Canadian Centre for Cyber Security).

  • NIST виклав живий документ про DevSecOps-практики на базі SSDF. Це не просто черговий whitepaper: NCCoE показує reference model і приклад Azure-реалізації, як інтегрувати secure software development у сучасні пайплайни. Корисно тим, хто будує platform guardrails і хоче спертися не лише на vendor best practices, а й на більш стійку рамку (NIST NCCoE).

3 статті, які варто прочитати

  1. Key learnings from the 2026 State of DevSecOps study — хороше дослідження про реальний стан CI/CD і AppSec: експлуатовані вразливості, проблеми з оновленнями залежностей, слабкі місця GitHub Actions і чому контекст важливіший за вал сирих findings.

  2. Secure Software Development, Security, and Operations (DevSecOps) Practices — варто читати архітекторам і platform/security leads, бо це практичний міст між SSDF і реальною побудовою пайплайнів, а не абстрактна методологія.

  3. The State of Cloud and AI Security in 2026 — сильний матеріал про non-human identities, ephemeral credentials і те, чому AI-агенти та «vibe coded» компоненти треба трактувати як нову зону ризику, а не як зручний аксесуар.

Практичний takeaway

Цього тижня проведіть один короткий аудит CI/CD trust boundaries: забороніть mutable action tags, перевірте pull_request_target, скоротіть lifetime для cloud/API credentials у runners і переконайтеся, що компрометація одного security tool або GitHub token не дає автоматичний доступ до всіх середовищ. Саме тут зараз найвищий leverage.