DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 11 травня 2026

posts · 2026-05-11

Ключові сигнали дня

  • LiteLLM у KEV — це ризик для AI gateway, а не просто чергова web-вразливість. У каталозі CISA KEV зʼявилася CVE-2026-42208 у BerriAI LiteLLM: SQL injection може дати доступ до proxy database і credentials, якими керує проксі. Якщо LiteLLM стоїть між агентами, CI/CD, internal APIs або model providers, його треба трактувати як privileged control plane: патч, ротація токенів, audit logs, сегментація.
  • Linux “Copy Fail” залишається пріоритетом для self-hosted runners і Kubernetes nodes. Microsoft описує CVE-2026-31431 як local privilege escalation у Linux kernel, який особливо болючий для cloud, CI/CD і контейнерних середовищ, де untrusted code execution — нормальна операційна реальність. Ризик не в remote exploit сам по собі, а в chain: runner/container foothold → root на host → lateral movement.
  • PAN-OS Captive Portal у KEV нагадує, що security appliances теж мають attack surface. CISA додала CVE-2026-0300: unauthenticated RCE з root privileges у User-ID Authentication Portal. До офіційного fix потрібні мінімум trusted zones або вимкнення порталу, якщо функція не потрібна.
  • Компрометація GitHub Actions через mutable tags — практичний аргумент за pinning by SHA. Інцидент із Trivy показав, що attacker може force-update version tags і красти CI/CD secrets, навіть якщо workflow виглядає “pinned” на версію. Для критичних pipelines tag pinning недостатній: потрібні commit SHA, allowlist actions, scoped tokens, OIDC замість довгоживучих secrets і регулярна ротація.
  • DevSecOps maturity усе ще впирається у patch hygiene і dependency age. У звіті Datadog State of DevSecOps 2026 підкреслено: значна частина сервісів має exploitable vulnerabilities, а старі runtime/dependencies корелюють із гіршою posture. Це не “tooling gap”, а governance gap: ownership, upgrade budget, deployment cadence і measurable risk reduction.

3 матеріали для прокачки

  1. SLSA v1.1 specification — хороша рамка для provenance, attestations і maturity-рівнів supply-chain security без хаотичного набору point solutions.
  2. GitHub Actions secure use reference — практичний чекліст для permissions, secrets handling, token scope і hardening workflows після інцидентів з compromised actions.
  3. Datadog State of DevSecOps 2026 — корисний матеріал для розмови з engineering leadership: чому dependency freshness, EOL runtimes і deployment frequency напряму впливають на security posture.

Практичний висновок

Сьогодні варто зробити один короткий, але сильний контроль: перевірити всі privileged execution paths — AI proxies, self-hosted runners, Kubernetes nodes, firewall portals і GitHub Actions. Для кожного має бути зрозуміло: хто owner, які credentials доступні, чи є patch SLA, чи pinned dependencies/actions by immutable reference, і що саме треба ротувати після компрометації.