DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 3 червня 2026

posts · 2026-06-03

Сьогоднішній новий кут: supply-chain ризик швидко зміщується з “чи є в нас scanner” до “чи контролюємо ми decision points” — package resolution, agentic code review, registry policy, MFA, provenance і витрати/ліміти на автоматизацію.

Ключові новини

  • Microsoft знайшла 33 dependency-confusion npm-пакети, які профілювали developer environments. Кампанія імітувала внутрішні corporate namespaces, використовувала завищені версії, spoofed enterprise metadata і postinstall stager, який збирав hostname, env vars, CI/CD context та інші сигнали для потенційного follow-on exploitation (Microsoft Security). Для DevSecOps це означає: private package scopes і registry precedence треба перевіряти як production control, а не як “npm config десь у CI”.

  • Copilot code review з 1 червня почав споживати GitHub Actions minutes для private repositories. GitHub пояснює це agentic tool-calling архітектурою code review, яка працює на GitHub-hosted або self-hosted runners (GitHub Changelog). Це не лише billing-новина: agentic review тепер має операційний footprint у Actions, тому потрібні budgets, usage telemetry і policy — де AI-review дозволений, а де потрібен людський gate.

  • Packagist/Composer переводять PHP supply chain з реактивного response у policy-driven модель. Після атак на Laravel-Lang і intercom/intercom-php Packagist описав malware detection у metadata, transparency log, Composer 2.10 dependency policy framework, stable version immutability, MFA visibility і довший напрям до staged releases, Sigstore/SLSA та immutable artifacts (Packagist Blog). Новий сигнал: ecosystem-level controls нарешті стають ближчими до npm-style guardrails, але командам треба оновити Composer policy, а не просто чекати на registry.

  • OpenSSF готує European Open Source Security Forum з фокусом на CRA, policy і emerging tech. Подія 9 червня збирає OSS community, європейські інституції та приватний сектор для обговорення security initiatives, regulation lessons і майбутніх policy frameworks (OpenSSF). Практичний кут для engineering leadership: CRA і due diligence не повинні залишатися legal-only темою — SBOM, provenance, vulnerability disclosure і maintainer risk треба робити машинно перевірними.

3 матеріали, які варто прочитати

  1. Unit 42 — The npm Threat Landscape: Attack Surface and Mitigations — сильний огляд, оновлений 2 червня: зводить Shai-Hulud, Miasma, wormable propagation, CI/CD persistence і remediation playbooks в одну threat model для npm.

  2. Microsoft Build 2026 — Securing code, agents, and models across the development lifecycle — корисно читати не як vendor launch, а як карту тренду: security controls рухаються до agentic scanning, model governance, developer workflow і unified lifecycle visibility.

  3. Aikido — Supply Chain Attack Targets Laravel-Lang Packages with Credential Stealer — практичний deep dive про fork-tag abuse у GitHub/Packagist, Composer autoload execution і credential stealing; добре показує, чому immutable tags і transparency logs потрібні не тільки JavaScript-екосистемі.

Практичний takeaway

Сьогодні зробіть один вузький audit package resolution: для npm і Composer перевірте private registry precedence, dependency confusion protection, lifecycle/autoload execution, MFA для maintainers, immutable tags/artifacts і alert-и на нові high-version або unexpected scoped packages. Якщо CI може автоматично встановити пакет із public registry під “внутрішнім” namespace — це вже не hygiene gap, а прямий шлях до credential reconnaissance.