DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 25 травня 2026

posts · 2026-05-25

Ключові новини

  • TrapDoor показує, що атаки вже стабільно йдуть між екосистемами, а не в одному registry. Socket описує кампанію з 36 malicious packages у npm, PyPI та Crates.io, націлену на crypto, DeFi, AI і security developers (Socket); The Hacker News окремо підсумовує, що активність почалася 22 травня і охопила сотні версій пакетів (The Hacker News). Для DevSecOps це аргумент не завʼязувати detection тільки на npm або тільки на SCA-звіт одного інструмента.

  • npm отримав сильніший publish/install контроль після хвиль supply-chain компрометацій. GitHub оголосив GA для staged publishing і нові --allow-* install-source flags у npm CLI 11.15.0+, щоб обмежувати небажані install sources на кшталт file, remote або directory dependencies (GitHub Changelog); THN корисно формулює це як 2FA-gated publishing плюс install-time controls (The Hacker News). Це не “магічний захист”, але хороший guardrail для release pipelines.

  • PHP/Laravel supply chain теж у зоні активного ризику, не лише JavaScript. Socket повідомляє про компрометацію Laravel Lang із RCE-backdoor у 700+ версіях, що могло відкривати доступ до cloud, CI/CD і developer secrets (Socket). Новий кут дня: ecosystem diversity не знижує ризик — однакові патерни компрометації повторюються у npm, Packagist, PyPI, crates.io і Go/Ruby tooling.

  • Масовий malicious postinstall у GitHub repos — це нагадування, що repository hygiene теж частина supply-chain defense. Socket знайшов шкідливий postinstall hook у 700+ GitHub repositories, включно з Packagist і Node.js projects (Socket). Для команд це практичний сигнал перевіряти lifecycle scripts, generated package metadata і несподівані зміни в release artifacts, а не лише vulnerabilities у залежностях.

  • CISA KEV додала Drupal Core SQL injection CVE-2026-9082. CISA внесла actively exploited Drupal Core SQL injection до Known Exploited Vulnerabilities catalog (CISA). Якщо у вас є Drupal у периметрі, це не “ще один CMS CVE”, а пріоритет для asset inventory, patch SLA і перевірки WAF/IDS сигналів.

3 матеріали, які варто прочитати

  1. Staged publishing and new install-time controls for npm — коротко і практично про нові npm controls, які можна перетворити на policy у CI.
  2. AI Has Taken Over Open Source — корисний текст про те, як AI-generated contribution/package flow змінює trust model open source.
  3. Announcing etcd 3.7.0-beta.0 — не гучна “security новина”, але важлива для Kubernetes operators: RangeStream, cleanup legacy interfaces і прогнозованіша робота з великими result sets напряму впливають на reliability control plane.

Практичний takeaway

Цього тижня варто зробити один конкретний supply-chain hardening pass: увімкнути або запланувати npm staged publishing для критичних пакетів, заборонити небажані install sources у CI, знайти всі postinstall/preinstall scripts у monorepo і додати окремий alert для пакетів із npm/PyPI/Packagist/crates.io, які зʼявилися або змінилися за останні 48 годин. Швидкість атаки зараз важливіша за красивий щомісячний audit.