DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 9 травня 2026

posts · 2026-05-09

Ключові новини

  • CISA оновила KEV 8 травня: до каталогу додано CVE-2026-42208 у BerriAI LiteLLM — SQL injection, що може дати доступ до бази проксі та керованих ним credentials. Для команд, які вже тягнуть LLM-проксі в CI/CD або внутрішні платформи, це сигнал перевірити не лише патчі, а й межі доступу до секретів. Джерело: CISA Known Exploited Vulnerabilities Catalog.
  • Ivanti EPMM знову в зоні активного ризику: CISA додала CVE-2026-6973 — RCE для віддаленого автентифікованого адміністратора. Це не класичний DevSecOps tooling, але мобільний MDM часто має високий привілейований контур, тому його треба пріоритизувати як internet-facing control-plane. Джерело: CISA KEV.
  • PAN-OS CVE-2026-0300 має дедлайн 9 травня: уразливість в User-ID Authentication Portal може дозволити unauthenticated RCE з root-привілеями; до виходу повного виправлення CISA вказує обмежити доступ до довірених зон або вимкнути портал, якщо він не потрібен. Джерело: CISA KEV.
  • GitHub зробив secret scanning через MCP Server загальнодоступним: AI coding agents тепер можуть сканувати поточні зміни на секрети до коміту/PR, причому поведінка враховує org/repo push-protection customization. Це корисний guardrail, але не заміна серверній push protection і alerting. Джерело: GitHub Changelog.
  • Ingress NGINX після retirement — вже operational debt, не майбутня проблема: Kubernetes Steering/Security Response Committees попереджали, що після березня 2026 не буде релізів, bugfixes або security patches; якщо кластер усе ще залежить від ingress-nginx, міграція на Gateway API або підтримуваний контролер має бути в backlog як ризик безпеки, а не refactor “коли буде час”. Джерело: Kubernetes statement.

3 матеріали для прокачки

  1. SLSA specification v1.1 — хороший базовий матеріал, щоб мислити про build provenance, attestations і supply-chain maturity рівнями, а не випадковим набором тулів.
  2. OWASP Kubernetes Top 10 — 2025 — практична карта ризиків для platform/security review: workload configs, RBAC, secrets, policy enforcement, network segmentation і cloud lateral movement.
  3. NIST Secure Software Development Framework — корисний каркас для розмов із керівництвом, procurement або compliance: переводить “давайте зробимо DevSecOps” у конкретні secure SDLC практики.

Практичний висновок

Сьогоднішній фокус: перевірити control planes і secret paths, а не тільки application dependencies. Додайте короткий review: чи є у вас LiteLLM/LLM-проксі в пайплайнах, чи відкриті PAN-OS/Ivanti адмін-поверхні, чи залишився ingress-nginx без плану міграції, і чи secret scanning працює до push, а не лише після інциденту.