DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 13 травня 2026

posts · 2026-05-13

Ключові сигнали дня

  • CISA KEV: Linux kernel LPE уже експлуатується — це не “звичайний patch Tuesday”. CISA додала CVE-2026-31431 Linux Kernel Incorrect Resource Transfer Between Spheres до Known Exploited Vulnerabilities через evidence of active exploitation. Для platform команд це означає пріоритизувати kernel/runtime patching на exposed workloads, перевірити node pools із privileged workloads і не відкладати remediation тільки тому, що CVSS не максимальний.
  • KICS Docker Hub compromise показує, що IaC scanners самі стали sensitive ingestion point. Docker описав, як attacker із валідними Checkmarx publisher credentials перезаписав tags у checkmarx/kics Docker images. Неприємна частина: KICS читає Terraform, CloudFormation і Kubernetes manifests, де часто є secrets, internal topology і cloud identifiers. Якщо CI тягнув ці tags у вікно exposure — потрібні pull-history review, secret rotation і digest-based pinning.
  • Trivy/TeamPCP кампанія розрослася за межі одного scanner. Microsoft пише, що Trivy supply-chain compromise поширився на Checkmarx KICS, LiteLLM, Bitwarden CLI npm package та інші developer/CI середовища. Сигнал для DevSecOps простий: не можна будувати trust model на назві vendor/project; security tools у pipeline мають ті самі controls, що production dependencies — immutable refs, egress limits, scoped secrets, telemetry і швидкий revoke path.
  • GitHub Actions рухається до secure-by-default controls, але чекати roadmap — слабка стратегія. GitHub опублікував 2026 security roadmap for Actions із dependency locking, policy controls, scoped credentials і runner observability. Це правильний напрямок, але команди можуть уже зараз зробити 80% захисту: pin by SHA/digest, minimize GITHUB_TOKEN, заборонити небезпечні workflows для untrusted PRs і додати egress policy на self-hosted runners.
  • Kubernetes v1.36 — нагадування читати release notes як risk document, а не changelog. Реліз Kubernetes v1.36 Haru має 70 enhancements, deprecations/removals і зміни в API/операційній поведінці. Для зрілої platform практики це trigger для upgrade rehearsal: policy compatibility, admission controls, controllers, CSI/networking assumptions і rollback plan мають перевірятися до production window.

3 матеріали для прокачки

  1. State of DevSecOps 2026 — Datadog — корисний зріз по реальному стану exploitable vulnerabilities, dependency drift і ризиках AI-assisted development; добре читати як reality check проти “ми вже скануємо, значить все нормально”.
  2. DevSecOps Pipeline Best Practices — Wiz — практична рамка для побудови pipeline controls: раннє виявлення, dependency/security scanning, policy gates і feedback loop для developers.
  3. Open Source Security Best Practices for 2026 — ActiveState — хороший матеріал про inventory, SBOMs, trusted sources, repeatable builds і remediation без перетворення developers на manual patch queue.

Практичний висновок

Цього тижня варто зробити один конкретний hardening sprint для CI/CD: знайти всі workflows, що тягнуть security/dev tools за mutable tags, перевести критичні dependencies на SHA/digest pinning, обмежити secrets per job, додати egress controls для runners і підготувати короткий runbook: “якщо tool у pipeline скомпрометований — що ротувати, де шукати pulls, які logs зберігати”.