DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 26 травня 2026

posts · 2026-05-26

Ключові новини

  • Компрометація GitHub через Nx Console показала слабке місце developer-tool marketplaces. GitHub підтвердив, що доступ до внутрішніх репозиторіїв став наслідком зараження employee device через троянізоване оновлення Nx Console VS Code extension; The Hacker News пише про приблизно 3 800 exfiltrated internal repositories і коротке 18-хвилинне вікно публікації malicious extension (The Hacker News). Новий кут дня: auto-update IDE extensions треба розглядати як privileged supply-chain channel, а не як “дрібний developer convenience”.

  • Edge appliances знову працюють як міст у внутрішню identity-площину. Microsoft описала multi-stage Linux intrusion, де internet-facing F5 BIG-IP став початковою точкою, далі attacker рухався через Linux host, внутрішній Confluence і credentials до Active Directory relay-style атак (Microsoft Security). Для DevSecOps це не тільки network hardening: треба інвентаризувати EOL edge images, service accounts, secrets у внутрішніх apps і cross-domain authentication paths.

  • AI vulnerability discovery переходить із демонстрацій у patch-capacity проблему. Anthropic повідомляє, що Project Glasswing і приблизно 50 партнерів знайшли понад 10 000 high/critical vulnerabilities, а для open-source scan уже триває незалежна валідація тисяч findings (Anthropic). Сильний висновок: bottleneck зміщується з “знайти баг” у “перевірити, disclosure, виправити й не втопити maintainers у шумі”.

  • Agent safety починає ставати CI-дисципліною, а не одноразовим red-team exercise. Microsoft open-sourceʼить RAMPART для повторюваних adversarial/benign tests агентів у CI та Clarity для фіксації problem framing, failure analysis і рішень у repo як markdown-артефактів (Microsoft Security). Це практичний напрям для команд, які вже дають агентам email, CRM, code execution або deployment tools.

  • Cisco Secure Workload отримав CVSS 10.0 API-вразливість — ще один reminder про security tooling як критичну площину атаки. Cisco advisory описує unauthenticated access до internal REST APIs із привілеями Site Admin через недостатню validation/authentication на API endpoints (Cisco); THN окремо підсумовує ризик sensitive-data access і tenant-boundary configuration changes (The Hacker News). Якщо інструмент бачить workloads, topology і policy, його patch SLA має бути ближче до production control plane, ніж до звичайного SaaS backlog.

3 матеріали, які варто прочитати

  1. Project Glasswing: An initial update — важливо не як AI-hype, а як ранній сигнал про майбутній тиск на triage, coordinated disclosure, patch governance і maintainer capacity.
  2. From edge appliance to enterprise compromise — сильний incident-style розбір про те, як F5, Linux, Confluence і AD складаються в один attack path.
  3. Introducing RAMPART and Clarity — корисно для engineering teams, які хочуть перевести agent security з ручних перевірок у repeatable tests і reviewed design artifacts.

Практичний takeaway

Зробіть один короткий “developer control-plane” review: перелік IDE extensions із auto-update, AI/agent tools, локальних secrets, cloud profiles і доступів до repos; для кожного — owner, update policy, можливість allowlist/pinning, telemetry і план credential rotation після compromised developer device. Сьогодні workstation і editor extension уже мають blast radius production-системи.