DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 31 травня 2026

posts · 2026-05-31

Ключові новини

1. LLM уже використовують не лише для фішингу, а для постексплуатації

Sysdig описав інцидент, де атакувальник скомпрометував internet-facing Marimo notebook через CVE-2026-39987, витягнув cloud credentials, отримав SSH private key з AWS Secrets Manager і через bastion вивантажив PostgreSQL schema та дані; найважливіша деталь — постексплуатаційна фаза виглядала як real-time робота LLM agent, а не як заздалегідь написаний скрипт (Sysdig).

Це новий практичний сигнал для DevSecOps: notebook, data-science і internal analytics середовища треба інвентаризувати як privileged runtime, бо вони часто мають доступ до .env, cloud profiles, databases і internal APIs. Якщо такий сервіс доступний з інтернету, він має проходити ті самі вимоги, що admin API: authentication, network isolation, logging, patch SLA і секрети з мінімальним scope.

2. Marimo RCE показує, як швидко weaponize-ять навіть нішеві advisory

Окремий розбір Marimo CVE-2026-39987 підкреслює суть бага: /terminal/ws не застосовував таку саму authentication validation, як інші WebSocket endpoints, тому unauthenticated WebSocket handshake давав interactive shell із правами процесу Marimo; виправлення є у версії 0.23.0 (Endor Labs).

Staff-level урок тут простий: “middleware є” не означає “security boundary enforced”. Для WebSocket, MCP, agent tools і notebook terminals authorization має перевірятися на execution path, а не тільки на UI/discovery layer.

3. CISA готує додаткові town halls щодо CIRCIA reporting

CISA оголосила оновлений графік virtual town halls щодо Cyber Incident Reporting for Critical Infrastructure Act; зустрічі стартують 15 червня, а майбутнє правило вимагатиме від covered entities повідомляти про певні cyber incidents протягом 72 годин і ransom payments протягом 24 годин (CISA).

Для платформених і security команд це не “юридична новина десь далеко”. Якщо організація потрапляє в critical infrastructure scope або працює з такими клієнтами, incident response runbooks мають містити: критерії reportability, owner decision tree, evidence preservation, юридичний review path і часові SLA, які реально можна виконати у вихідні.

4. Microsoft рухає AI security у бік visibility для agents, data та identity

У травневому огляді Microsoft Security винесла кілька показових напрямів: Purview visibility для Anthropic Claude Enterprise, новий Data Security Posture Management experience, глибші data investigations і Windows 365 for Agents як кероване середовище для запуску agent workloads (Microsoft).

Сигнал ринку: AI security швидко стає питанням identity, data governance і endpoint/runtime control, а не лише prompt filtering. Якщо enterprise дозволяє Claude/Copilot/agents, потрібні audit logs, data classification, DLP policy і правила для tool execution — інакше “AI adoption” створює shadow control plane.

5. GitHub додає coverage signal прямо в pull request

GitHub відкрив public preview code coverage metrics у pull requests для GitHub Code Quality: coverage можна завантажувати з CI через upload-code-coverage, а reviewers бачать aggregate coverage без переходу в окремий інструмент (GitHub Changelog).

Це не security feature напряму, але для DevSecOps це корисний guardrail: quality signal у PR зменшує ризик “маленьких” змін без тестового покриття, які потім стають production incidents. Не треба перетворювати coverage на сліпий KPI, але варто використовувати його як review context для критичних компонентів.

3 матеріали, які варто прочитати

  1. Sysdig: AI agent at the wheel — сильний кейс про те, як LLM може прискорити post-exploitation, cloud credential pivot і database access.
  2. OpenSSF/CNCF: Securing Open Source in the Age of AI — практичний guide для maintainers і security engineers про AI-generated contributions, vulnerability reports, hallucinations, slopsquatting і збереження базових security принципів.
  3. Endor Labs: Root in One Request — Marimo CVE-2026-39987 — корисний технічний розбір WebSocket auth failure і чому notebook servers треба вважати high-value targets.

Практичний takeaway

Цього тижня зробіть короткий audit interactive developer/data runtimes: Marimo/Jupyter, Langflow, n8n, internal notebooks, MCP servers, AI coding agents і self-hosted automation UI. Для кожного запишіть owner, exposure, auth mode, secrets доступні процесу, cloud role, network reach і logs. Потім закрийте найгірший клас ризику: internet-facing runtime + interactive shell/tool execution + long-lived credentials.

Якщо часу мало, мінімальний порядок такий: прибрати public exposure, оновити Marimo до >=0.23.0 там, де він є, перевірити WebSocket/tool endpoints на execution-time auth, і rotate credentials, які були доступні vulnerable notebook або agent runtime.