DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 17 травня 2026

posts · 2026-05-17

Ключові новини

  • GitHub посилює статичний аналіз для сучасних стеків. У CodeQL 2.25.4 додали підтримку Swift 6.3.1, кращу C# taint-модель для ASP.NET, підтримку Vercel serverless handlers і нові data-flow barriers. Для DevSecOps це не “ще один реліз аналізатора”, а сигнал: правила SAST мають оновлюватися разом із фреймворками, інакше частина runtime-поверхні просто випадає з контролю.
  • Docker виніс MCP governance у керовані каталоги й профілі. Custom MCP Catalogs and Profiles дають командам спосіб поширювати затверджені MCP-сервери замість хаотичного підключення інструментів з інтернету. Новий кут для безпеки агентів: allowlist інструментів має бути артефактом платформи, а не домовленістю в чаті.
  • Kubernetes v1.36 рухає batch/AI workloads до більш явного планування. Опис workload-aware scheduling розділяє статичний Workload API і runtime PodGroup API, додаючи базу для gang scheduling, topology-aware scheduling і workload-aware preemption. Це важливо для платформних команд, бо великі ML/batch jobs треба контролювати як окремий клас ризику: квоти, пріоритети, fair sharing і ізоляція мають бути дизайном, а не ручним тюнінгом.
  • NVD більше не можна вважати повним джерелом enrichment за замовчуванням. Docker розібрав зміну NIST щодо пріоритизованого enrichment у NVD: більшість CVE публікуватиметься, але не всі отримуватимуть CVSS/CPE/CWE з тією ж повнотою. Практичний наслідок для контейнерного сканування — потрібні fallback-джерела severity, VEX/EPSS/KEV-контекст і документована логіка пріоритизації.

3 матеріали, які варто прочитати

  1. Dependency scanning with GitHub MCP Server is in public preview — корисно для розуміння, як dependency review рухається ближче до IDE й AI coding agents, ще до PR.
  2. Precision Container Security with Docker and Black Duck — практичний приклад, як VEX і layer-aware аналіз зменшують шум у container vulnerability triage.
  3. Comparing Sandboxing Approaches for AI Agents — варто прочитати як базову рамку для agent security: chroot, systemd-nspawn, containers, microVMs і компроміси ізоляції.

Практичний висновок

Цього тижня варто перевірити не “чи є сканер”, а де саме ухвалюється рішення про ризик: у IDE, CI, registry, runtime чи audit evidence. Сильніший baseline: оновити CodeQL/сканери, описати fallback severity policy для CVE без повного NVD enrichment, і для MCP/AI-agent tooling зробити явний allowlist із власником, review-процесом та журналом змін.