DevSecOps Digest
Щоденний DevSecOps дайджест

Щоденний DevSecOps дайджест — 2026-04-02

posts · 2026-04-02

Сьогоднішній фокус простий: найбільший ризик знову не в «новому zero-day заради хайпу», а в ланцюгу постачання, CI/CD і швидкості, з якою команди автоматизують довіру.

Ключові новини

  • CISA додала нові записи до KEV, і серед них є речі, які напряму б’ють по інфраструктурі та пайплайнах. У каталозі вже є, зокрема, Citrix NetScaler CVE-2026-3055 з дедлайном remediation 2026-04-02, Google Dawn CVE-2026-5281 для Chromium-based продуктів, а також Trivy CVE-2026-33634, де наслідки прямо описані як можливий доступ до токенів, SSH-ключів, cloud credentials і конфігів у CI/CD середовищі. Джерело: CISA KEV Catalog.

  • Компрометація Axios показала, наскільки крихким лишається npm supply chain навіть для топових пакетів. За даними Trend Micro, зловмисник захопив maintainer-акаунт і опублікував шкідливі версії axios 1.14.1 та 0.30.4, які тягнули phantom dependency з postinstall RAT для macOS, Windows і Linux. Ключовий момент: шкідлива публікація обійшла захисти через ручний publish зі вкраденим npm token, а не через штатний OIDC pipeline. Джерело: Trend Micro: Axios NPM Package Compromised.

  • GitHub публічно визнав, що CI/CD тепер є основною поверхнею атаки, і заклав це в roadmap для GitHub Actions. У фокусі на 2026 рік: workflow-level dependency locking, безпечніші publishing-механізми, жорсткіші policy controls, scoped credentials і краща observability/network isolation для runner’ів. Це важливо не як «майбутня фіча», а як сигнал ринку: pinning, auditability і runner isolation стають базовою гігієною. Джерело: GitHub Blog: GitHub Actions 2026 security roadmap.

  • Docker випустив security update для Docker Desktop 4.67.0. Виправлено CVE-2026-33990 — SSRF у Docker Model Runner OCI Registry Client. Для команд, які швидко підтягують AI/OCI-інтеграції в локальні дев-середовища, це ще одне нагадування: нові «зручні» runtime-компоненти часто відкривають новий клас атак на developer workstation. Джерело: Docker security announcements.

  • Google оновив GKE security bulletins щодо Linux kernel privilege escalation на вузлах. Для частини релізів GKE Standard і деяких конфігурацій Autopilot рекомендовано оновлення node pools до патчених версій; окремо підкреслюється вплив на Container-Optimized OS та Ubuntu pools. Якщо у вас є multi-tenant або shared clusters, це історія не «на потім». Джерело: GKE security bulletins.

3 статті, які реально варто прочитати

  1. Datadog — State of DevSecOps Report 2026
    Варто читати за цифри, а не за бренд: 87% організацій мають щонайменше одну відому exploitable vulnerability у production, 42% сервісів залежать від бібліотек без активної підтримки, і лише 4% організацій pin-ять усі public GitHub Actions до commit hash. Це хороший матеріал, щоб підкріпити внутрішню розмову про supply-chain control і risk-based prioritization.

  2. GitHub Blog — What’s coming to our GitHub Actions 2026 security roadmap
    Корисно прочитати напряму, бо тут видно, як сама платформа формулює проблему: mutable dependencies, слабка відтворюваність workflow execution і недостатній контроль над runner environment. Хороший орієнтир для design review власного CI/CD.

  3. Trend Micro — Axios NPM Package Compromised
    Це не просто новина про інцидент, а детальний розбір supply-chain атаки з таймлайном, anti-forensics і способом обходу Trusted Publisher/OIDC-моделі. Читати варто всім, хто досі вважає, що «якщо publish іде з GitHub Actions, то ми майже в безпеці».

Практичний висновок

Зробіть цього тижня один конкретний крок: проведіть короткий CI/CD hardening review. Мінімальний чекліст: pin усіх external GitHub Actions до commit SHA, перевірка хто має право publish у package registries, ротація/скорочення довгоживучих токенів, allowlist egress для runner’ів там, де це можливо, і окремий fast-path для патчів на KEV/actively exploited issues. Якщо цього немає, ваш supply chain захищений гірше, ніж вам здається.