DevSecOps дайджест — 1 червня 2026

Коротка примітка: web search сьогодні працював нестабільно, тому покриття обмежене доступними відкритими стрічками та першоджерелами, які вдалося напряму відкрити.

Ключові новини

1. PAN-OS GlobalProtect auth bypass уже в KEV-рівні терміновості

CISA додала CVE-2026-0257 для Palo Alto Networks PAN-OS до Known Exploited Vulnerabilities з дуже коротким due date — 1 червня; vulnerability дозволяє обійти authentication і встановити неавторизоване VPN-зʼєднання, а Palo Alto публікує mitigation/patch guidance у власному advisory (Palo Alto Networks). BleepingComputer також пише, що експлуатація GlobalProtect auth bypass уже спостерігається в атаках (BleepingComputer).

Для DevSecOps це не просто “ще один perimeter CVE”. VPN — це identity-adjacent control plane. Якщо PAN-OS є в периметрі, потрібні не лише патчі, а й перевірка suspicious VPN sessions, нових tunnel events, unusual geo/device fingerprints і downstream lateral movement.

2. WordPress plugin bug використовується для створення rogue admin accounts

BleepingComputer повідомляє про атаки на WP Maps Pro: vulnerable versions дозволяють без authentication створювати administrator accounts на WordPress-сайтах (BleepingComputer).

Це хороший reminder для platform teams, які вважають CMS “маркетинговою дрібницею”. WordPress часто має production DNS, cookies, analytics tags, payment/lead forms і доступ до brand trust. Мінімальний guardrail: inventory plugins, auto-update policy для non-critical plugins, WAF rule visibility, і alert на creation of admin users поза approved path.

3. Famous Chollima знову бʼє по developer supply chain, цього разу через Packagist

Socket описує кампанію, де North Korea-linked Famous Chollima таргетить PHP developers через compromised Packagist-listed package і GitHub branch, які підтягують remote code у стилі Contagious Interview lure (Socket).

Практичний сигнал: supply chain атаки дедалі частіше йдуть не тільки через npm/PyPI. Composer/Packagist, NuGet, Go modules і IDE extensions мають отримати той самий контроль: dependency provenance, lockfile review, egress limits у CI, token scoping і detection для postinstall/download-execute поведінки.

4. GitHub додав hard budget limits для GitHub Advanced Security

GitHub тепер дозволяє enterprise admins і billing managers ставити enforceable hard budget limits для GHAS SKUs: коли ліміт досягнуто, нові license assignments блокуються, а GHAS не вмикається на нових repositories, доки бюджет не збільшать або не звільнять licenses (GitHub Changelog).

Це операційно важливо: security tooling без budget guardrails часто або розповзається неконтрольовано, або його потім різко ріжуть фінанси. Краще мати явну модель allocation by cost center і policy: які repos must-have GHAS, які onboard later, і хто approve-ить exceptions.

5. OpenSSF підштовхує due diligence до machine-readable signals

OpenSSF опублікував матеріал про machine-readable signals як основу для supply chain due diligence: ручні questionnaire/paper-based процеси вже не масштабуються для сучасної кількості dependencies і regulatory expectations (OpenSSF).

Новий кут для команд: compliance треба проєктувати як data pipeline, а не як сезонний Excel. SBOM, provenance, vulnerability status, maintainer/project health і policy decisions мають бути машинно перевірні, інакше CRA/enterprise due diligence перетвориться на ручний bottleneck.

3 матеріали, які варто прочитати

1. OpenSSF: Aligning on Machine-Readable Signals as the Foundation for Due Diligence — корисний framing для переходу від ручних compliance-перевірок до автоматизованих supply chain signals.
2. Socket: Rust Moves to Restrict LLM Use in Contributions — важливий приклад того, як mature open source projects починають формалізувати політики щодо AI-generated contributions, maintainer load і review quality.
3. Docker: Mitigating CVE-2026-31431 “Copy Fail” in Docker Engine — практичний розбір defense-in-depth для container runtime через seccomp, AppArmor і SELinux, корисний для платформених команд із Linux/kernel exposure.

Практичний takeaway

Сьогодні варто зробити один короткий контрольний список для developer control planes: VPN, Git hosting, package managers, CI runners, CMS plugins і AI/LLM contribution paths. Для кожного зафіксуйте owner, patch SLA, privileged tokens, egress policy, audit logs і “kill switch”. Якщо ресурсу вистачає лише на один крок — почніть з perimeter/VPN CVEs і CI/package-manager egress, бо саме там compromise найшвидше перетворюється на credential theft і lateral movement.