DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 16 травня 2026

posts · 2026-05-16

Ключові новини

  • CISA додала Cisco Catalyst SD-WAN Controller CVE-2026-20182 до KEV. Це actively exploited authentication bypass; CISA окремо посилається на emergency directive та hardening guidance для Cisco SD-WAN. Для platform/security команд це не “звичайний CVE”, а привід швидко перевірити exposure, control-plane доступ і telemetry по адмінських діях (CISA).
  • Mini Shai-Hulud вдарив по TanStack npm-пакетах через легітимний release pipeline. Snyk описує 84 malicious artifacts у 42 @tanstack/* пакетах, опублікованих 11 травня через trusted OIDC identity; важливий урок — provenance підтверджує шлях збірки, але не гарантує, що runner не був захоплений під час workflow (Snyk).
  • GitHub Actions security roadmap рухається в бік locked dependencies, policy controls і observability для CI/CD. GitHub прямо називає mutable refs, over-permissioned credentials і слабкі network boundaries основними причинами supply-chain blast radius; це правильний напрям, але командам не варто чекати roadmap — SHA pinning, least privilege і egress controls потрібні вже зараз (GitHub Blog).
  • Kubernetes v1.36 формально deprecates .spec.externalIPs у Service. Причина проста: поле історично було insecure-by-default і пов’язане з CVE-2020-8554; навіть якщо ви його не використовуєте, варто ввімкнути DenyServiceExternalIPs, щоб це не з’явилося пізніше через випадковий manifest або Helm chart (Kubernetes Blog).
  • TeamPCP/Trivy кейс продовжує бути найкращим практичним попередженням для CI/CD security. Microsoft описує force-pushed tags, malicious Trivy binary, компрометацію GitHub Actions і credential harvesting у cloud/Kubernetes середовищах; Cloud Security Alliance додатково підкреслює проблему неповної credential rotation після попереднього інциденту (Microsoft Security, Cloud Security Alliance).

3 матеріали, які варто прочитати

  1. TanStack npm packages compromised: inside the Mini Shai-Hulud supply chain attack — сильний розбір того, як атака може пройти через легітимний CI/CD pipeline і все одно отримати “valid” provenance.
  2. Key learnings from the 2026 State of DevSecOps study — корисний матеріал про пріоритизацію vulnerability management, GitHub Actions hardening і чому не кожна вразливість має будити on-call.
  3. Kubernetes v1.36: Deprecation and removal of Service ExternalIPs — коротко й практично пояснює, як Kubernetes прибирає insecure-by-default мережеву поведінку та які migration options є для non-cloud кластерів.

Практичний висновок

Сьогодні варто зробити один конкретний security sweep по CI/CD і Kubernetes: знайти workflows з mutable refs, перевірити GITHUB_TOKEN/OIDC permissions, обмежити runner egress, увімкнути DenyServiceExternalIPs і переконатися, що після будь-якого supply-chain інциденту ротується не “очевидний токен”, а весь credential graph, який міг бачити runner.