DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 28 травня 2026

posts · 2026-05-28

Ключові новини

  • CISA додала до KEV одразу кілька сигналів про компрометацію developer tooling і supply chain. У каталозі зʼявилися CVE-2026-8398 для Daemon Tools Lite, CVE-2026-45321 для TanStack і CVE-2026-48027 для Nx Console — усі з evidence of active exploitation (CISA). Новий кут дня: KEV уже не лише про perimeter appliances чи класичні web-CVE; у пріоритет remediation потрапляють інструменти, які живуть поруч із кодом, IDE, CI/CD і developer workflow.

  • Langflow у KEV — ще один сигнал, що AI/workflow tooling стає production attack surface. CISA додала CVE-2025-34291 Langflow Origin Validation Error і CVE-2026-34926 Trend Micro Apex One Directory Traversal як actively exploited vulnerabilities (CISA). Практично: low-code/AI orchestration сервіси, які швидко підняли “для експерименту”, треба інвентаризувати як нормальні production-системи — з auth boundary, exposure review, patch SLA і логами доступу.

  • Kubernetes уточнює старі CVE як unfixed architectural risks. Kubernetes Security Response Committee повідомив, що 1 червня виправить записи для CVE-2020-8561, CVE-2020-8562 і CVE-2021-25740: вони роками мали некоректні fixed-version поля, хоча повністю не виправлені через архітектурні tradeoff-и (Kubernetes). Це важливіше за “старі CVE”: після оновлення сканери можуть почати показувати нові findings, і сильна команда має відрізнити реальний ризик від шуму, задокументувати compensating controls і не закривати alerts фразою “scanner зламався”.

  • Mini Shai-Hulud по @antv показав, що npm-worms тепер цілеспрямовано полюють на CI/CD secrets. Snyk описує хвилю з понад 300 compromised packages, preinstall payload, credential harvesting, persistence і self-propagation через stolen npm tokens (Snyk). Важливий новий акцент — не “ще один npm incident”, а масштабування через популярні UI/data-viz залежності, які часто встановлюються в CI без ручного перегляду.

3 матеріали, які варто прочитати

  1. Reconciling the Past: Correcting Records for Unfixed Kubernetes CVEs — хороший приклад чесної security-комунікації: не кожен CVE має чистий patch path, іноді потрібні RBAC-аудит, API server hardening, DNS controls і ризик-рішення власника платформи.

  2. Mini Shai Hulud: Compromised @antv npm packages enable CI/CD credential theft — технічний розбір payload capabilities: GitHub Actions runner memory scraping, AWS/Vault/Kubernetes/npm harvesting, SLSA provenance forgery і environment gating. Читати варто не заради IOC, а щоб оновити threat model для CI runners.

  3. CI/CD Malware Spreading Across GitHub Repositories — короткий, але корисний розбір Megalodon-кампанії: fake automated commits, infected workflow YAML і credential theft із CI/CD середовища. Читати варто як чеклист того, що має ловити review для .github/workflows/, CODEOWNERS і secret-rotation runbook.

Практичний takeaway

Зробіть сьогодні одну маленьку, але дорослу перевірку CI/CD: виберіть 3 найважливіші репозиторії й перевірте, чи є там immutable pinning для Actions/dependencies, мінімальні GITHUB_TOKEN permissions, заборона secrets для untrusted PR, egress controls або хоча б alerting для runner network activity, і документована процедура повної ротації secrets після supply-chain incident. Якщо цього немає — це вже platform risk, не backlog cosmetic.