DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 15 травня 2026

posts · 2026-05-15

Ключові новини

  • CISA додала PAN-OS CVE-2026-0300 до KEV. Йдеться про actively exploited out-of-bounds write / buffer overflow у Palo Alto Networks PAN-OS User-ID Authentication Portal; для DevSecOps-команд це сигнал перевірити exposure perimeter-сервісів, а не просто чекати чергового патч-вікна (CISA, Palo Alto Networks).
  • Linux “Copy Fail” CVE-2026-31431 підсвітив ризик shared cloud/Kubernetes workloads. Microsoft описує локальну ескалацію до root у Linux kernel crypto subsystem, з потенційним впливом на Kubernetes, CI/CD runners і multi-tenant середовища (Microsoft Security).
  • OpenSSF випустила перший Secure Coding Guide for Python. Це корисно для platform/security teams, які хочуть не “ще один scanner”, а baseline для безпечного Python-коду в web, data, AI/ML і cloud automation проектах (OpenSSF).
  • Docker продовжує закривати security debt у Desktop/Model Runner. Офіційний список security announcements містить нещодавній фікс CVE-2026-33990 — SSRF у Docker Model Runner OCI Registry Client; це нагадування, що developer tooling теж є частиною attack surface (Docker).
  • GitHub посилює безпеку npm supply chain. Після хвилі registry/account takeover атак GitHub робить акцент на сильнішій автентифікації, granular tokens і trusted publishing — саме ті control-и, які мають бути стандартом для пакетів з production blast radius (GitHub Blog).

3 матеріали, які варто прочитати

  1. Defending Continuous Integration/Continuous Delivery (CI/CD) Environments — NSA/CISA добре формулюють, чому pipeline треба захищати як production system: identity, access control, artifact integrity, build isolation.
  2. Secure Coding Guide for Python (pyscg) First Release — хороший ресурс для створення внутрішнього Python secure-coding baseline без прив’язки до конкретного framework.
  3. DevSecOps Pipeline — Security Automation in CI/CD 2026 — практичний огляд шарів SAST/SCA/container/IaC/DAST у pipeline; корисно як чеклист, але цифри vendor-style варто перевіряти у власному середовищі.

Практичний висновок

Сьогоднішній фокус: перевірити, де CI/CD runners, developer tools і edge-портали мають зайві права або публічний exposure. Патчі потрібні, але сильніший Staff-level рух — зменшити blast radius: мінімальні runner permissions, ізольовані build environments, короткоживучі tokens, trusted publishing і inventory internet-facing сервісів.