DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 2 червня 2026

posts · 2026-06-02

Сьогодні головний сигнал не в «ще одному CVE», а в повторюваному патерні: атакують довірені шляхи доставки — npm-namespace, GitHub Actions, cloud identity та старі edge/server компоненти, які досі мають забагато доступу.

Ключові новини

  • CISA додала Oracle WebLogic CVE-2024-21182 до KEV. Агентство 1 червня внесло в каталог активно експлуатовану вразливість Oracle WebLogic Server і прямо радить усім організаціям пріоритизувати KEV як вхід для vulnerability management, не лише федеральним структурам США (CISA). Для платформених команд це сигнал перевірити не тільки патч, а й exposure T3/IIOP, сегментацію і реальні власники legacy WebLogic.

  • Miasma вдарила по @redhat-cloud-services npm-пакетах. Wiz описує компрометацію пакетів у легітимному Red Hat namespace: preinstall-скрипти, обфускація, cloud identity collectors для GCP/Azure і унікально зашифровані payload-и на інфекцію (Wiz Research). Це не typosquatting; це зловживання довірою до реального namespace, тому простий allowlist за брендом більше не достатній.

  • Socket підтвердив Mini Shai-Hulud-подібну кампанію проти Red Hat Cloud Services пакетів. Їхній розбір фокусується на install-time execution, крадіжці developer/CI/CD secrets і downstream propagation (Socket). Практичний висновок: пакет, який запускає lifecycle hook, має проходити окрему політику ризику, навіть якщо він з «правильного» namespace.

  • Хмарна безпека впирається в людську пропускну здатність. Sysdig у підсумках 2026 Cloud-Native Security and Usage Report пише, що remediation усе ще занадто ручний процес, тоді як kill chains скорочуються; водночас кількість running images із known exploits впала майже на 75% рік до року (Sysdig). Сильний кут тут — не «сканувати більше», а автоматизувати рішення, які вже мають достатній контекст.

3 матеріали, які варто прочитати

  1. JFrog — технічний розбір Miasma/Shai-Hulud проти Red Hat npm. Корисний для AppSec і platform engineering: показує, як виглядає delivery chain через preinstall, тимчасові файли, Bun bootstrap і GitHub dead-drop механіку (JFrog Security Research).

  2. Sysdig — ключові висновки з 2026 Cloud-Native Security and Usage Report. Добрий матеріал для калібрування backlog-а: де automation справді потрібна, а де команда просто тоне в ручному vulnerability management (Sysdig).

  3. Stingrai — GitHub Actions Security Checklist 2026. Практичний список із 25 controls: pin actions до SHA, обмеження permissions, OIDC замість довгоживучих secrets, runner isolation і захист workflow-коду як production attack surface (Stingrai).

Практичний takeaway

Зробіть один короткий контроль сьогодні: знайдіть у CI/CD всі npm-пакети з lifecycle hooks і всі GitHub Actions, які не pinned до commit SHA. Це невеликий audit, але він бʼє точно в новий кут атаки: довірена автоматизація, яка має доступ до secrets, cloud identities і release-процесу.