DevSecOps Digest
Щоденний DevSecOps дайджест

Щоденний DevSecOps дайджест — 18 травня 2026

posts · 2026-05-18

Ключові новини

  1. Microsoft Exchange знову в зоні активної експлуатації. CISA додала CVE-2026-42897 до KEV; це XSS у Exchange Server / Outlook Web Access, який може виконувати JavaScript у браузерному контексті за певних умов взаємодії. Для платформних команд важливий не сам XSS, а операційний висновок: Exchange, SSO, пошта й identity-adjacent сервіси мають бути в окремому patch-lane з жорсткими дедлайнами, а не в загальній черзі “колись оновимо”. Джерело: Microsoft MSRC — CVE-2026-42897.

  2. Cisco Catalyst SD-WAN має критичний сигнал для network/platform teams. CVE-2026-20182 описує authentication bypass у Cisco Catalyst SD-WAN Controller / Manager, який може дати unauthenticated remote attacker адміністративні привілеї. Якщо SD-WAN або edge-controller стоїть поруч із production connectivity, це не “network-only” issue — це ризик для всього delivery path. Джерело: Cisco Security Advisory — Catalyst SD-WAN Controller Authentication Bypass.

  3. Kubernetes 1.36 додає кращу операційну видимість для Cloud Controller Manager. Новий alpha metric route_controller_route_sync_total допомагає порівнювати fixed-interval reconciliation і watch-based route reconciliation. Практично це корисно для platform teams, які хочуть зменшити зайві cloud API calls, rate-limit noise і сліпі місця під час node/network changes. Джерело: Kubernetes Blog — New Metric for Route Sync in the Cloud Controller Manager.

  4. GitHub робить GPT-5.3-Codex базовою LTS-моделлю для Copilot Business / Enterprise. Для DevSecOps це governance-сигнал: AI coding у компаніях переходить від “яку модель сьогодні вибрав розробник” до контрольованого model lifecycle, review windows і internal approval. Командам варто оновити AI usage policy: які моделі дозволені, які дані можна надсилати, як рев’ювати agent-generated changes. Джерело: GitHub Changelog — GPT-5.3-Codex as base model.

3 матеріали, які варто прочитати

  1. CRA Compliance: A Wake-up Call for Open Source — сильний матеріал OpenSSF про те, що EU CRA перестає бути “майбутньою регуляцією” і стає практичним тиском на SBOM, vulnerability reporting, upstream contribution і supply-chain ownership.

  2. Kubernetes v1.36: Mixed Version Proxy Graduates to Beta — корисно для тих, хто відповідає за безпечні Kubernetes upgrades: feature зменшує ризик некоректних 404 під час mixed-version control plane і робить discovery більш цілісним.

  3. GitHub App installation tokens: Per-request override header — практичний reminder для app/platform teams: не робіть припущень про довжину, формат і “opaque” природу tokens. Перевірте regex, storage columns, logs і secret scanners до rollout, а не після падіння інтеграції.

Практичний висновок

Цього тижня варто зробити один короткий security hygiene sprint: перевірити, чи є у вас власники для Exchange / SD-WAN / Kubernetes control plane / GitHub Apps, чи прив’язані вони до конкретних patch deadlines, і чи не захардкоджені у внутрішніх інтеграціях припущення про формат токенів. Найслабше місце зараз — не відсутність тулів, а ownership gaps між platform, network, security і developer productivity.