DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 14 травня 2026

posts · 2026-05-14

Ключові сигнали дня

  • CISA KEV знову підсвічує ризик AI/dev tooling як сховища секретів. У каталозі Known Exploited Vulnerabilities з’явився CVE-2026-42208 у BerriAI LiteLLM: SQL injection може дати доступ до бази proxy та credentials, якими він керує. Для команд, що швидко впроваджують AI gateways, це практичний сигнал: такі сервіси треба трактувати як privileged control plane, а не як “developer convenience”.
  • Kubernetes CVE feed варто читати як operational backlog, не як довідник. Офіційний список Kubernetes, оновлений 14 травня, містить свіжі проблеми на кшталт CVE-2026-4342 ingress-nginx configuration injection і path traversal у CSI drivers для SMB/NFS. Якщо у вас ingress-nginx або external storage drivers у production, пріоритет — версії контролерів, admission policy, test cases на небезпечні annotations/paths і rollback план.
  • Docker AuthZ bypass показує слабкість “контролю на останній милі”. Docker Engine CVE-2026-34040 дозволяє обійти authorization plugins у певних сценаріях через incomplete fix попередньої критичної вразливості. Для platform engineering це не лише patch item: якщо Docker API доступний із CI або automation-середовищ, треба перевірити network exposure, audit logs і припущення про те, що AuthZ plugin бачить повний request context.
  • CISA weekly bulletin підкреслює стару, але болючу CI/CD помилку — pwn request. У зведенні за тиждень 4 травня CISA описує CVE-2026-42298 у Postiz GitHub Actions workflow, де PR із fork міг виконати код під час Docker build і забрати high-privilege GITHUB_TOKEN. Це класична причина заборонити privileged workflows на untrusted PRs, урізати token permissions і запускати збірку неперевіреного коду без секретів.
  • GitHub Actions рухається до dependency locking і runner controls, але чекати GA не треба. У security roadmap for GitHub Actions 2026 GitHub описує workflow-level dependency locking, scoped credentials, policy controls і observability для CI/CD. Напрям правильний, але mature команди вже зараз мають pin by SHA, Dependabot для Actions, мінімальні permissions per job і egress control для self-hosted runners.

3 матеріали для прокачки

  1. Securing the open source supply chain across GitHub — сильний короткий матеріал про реальний патерн атак: compromise workflows → exfiltrate secrets → publish malicious packages. Добре використовувати як checklist для переходу від довгоживучих secrets до OIDC/trusted publishing.
  2. How to scan GitHub Actions workflows for security issues — практичне пояснення, як CodeQL знаходить вразливості у workflows, включно з taint tracking і небезпечними джерелами untrusted input; корисно для рев’ю CI як коду, а не як YAML-магії.
  3. What’s coming to GitHub Actions 2026 security roadmap — варто прочитати не як product announcement, а як карту того, які controls стануть очікуваним baseline: deterministic dependencies, enforceable policies, scoped credentials і runner observability.

Практичний висновок

Сьогоднішній hardening крок: зробіть короткий inventory privileged CI/CD workflows — де є secrets, write-scoped tokens, Docker/socket access або self-hosted runners — і для кожного зафіксуйте owner, trigger model, token permissions, third-party Actions pinning та egress policy. Без цього supply-chain інцидент швидко перетвориться з “скомпрометований dependency” на “скомпрометований deployment plane”.