DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 4 червня 2026

posts · 2026-06-04

Ключові новини

  • Miasma отримала детальний forensic-розбір від Microsoft. Новий матеріал показує, що компрометація @redhat-cloud-services не була “просто ще одним malicious npm”: атакувальники зайшли через upstream CI/CD, використали легітимний GitHub Actions OIDC publishing flow, отримали пакети з автентичним provenance і запускали preinstall-ланцюг для крадіжки GitHub, npm, AWS, Azure, GCP, Vault, Kubernetes і developer credentials (Microsoft Threat Intelligence). Новий кут тут — provenance без execution-path контролю не рятує, якщо сам publish pipeline уже зламаний.

  • CISA додала до KEV Magento/e-commerce вразливість Mirasvit Full Page Cache Warmer. CVE-2026-45247 — deserialization of untrusted data у Magento extension, який вже має ознаки активної експлуатації. Для DevSecOps це не “CMS-шум”, а нагадування: плагіни, performance extensions і marketplace-модулі мають входити в той самий SBOM/vulnerability-management контур, що й application dependencies.

  • GitHub Actions security gap отримав конкретну метрику: 38% організацій мають workflow-ризики рівня script injection або unsafe triggers. Datadog Security Labs виніс окремо те, що не потрапило в головний звіт: дві з трьох організацій мають хоча б одну вразливість у workflows або actions, а pull_request_target / untrusted input залишаються реально exploitable класом проблем (Datadog Security Labs). Це треба читати як сигнал для platform-команд: CI/CD — privileged runtime, не YAML-додаток до репозиторію.

  • Red Hat описує cloud-native security як проблему зрілості, а не нестачі інструментів. У підсумку State of Cloud-Native Security 2026 97% організацій мали cloud-native security incident за рік, 78% назвали misconfiguration серед головних причин, а лише 39% мають зрілу cloud-native security strategy. Висновок простий: без policy, automation і ownership сканери лише швидше показують хаос.

3 матеріали, які варто прочитати

  1. Microsoft — Preinstall to persistence: Inside the Red Hat npm Miasma credential-stealing campaign — сильний технічний розбір attack chain: OIDC trusted publishing, obfuscated dropper, Bun runtime, CI runner memory scraping, cloud credential theft і worm-like propagation.

  2. Datadog Security Labs — The case for GitHub Actions security after recent supply chain attacks — варто використати як checklist для audit: script injection, unsafe triggers, pull_request_target, untrusted event fields і різниця між action-ризиками та workflow-ризиками.

  3. Red Hat — The state of cloud-native security 2026: Maturity gaps and the automation mandate — хороший матеріал для Staff/Principal-рівня: показує, чому cloud-native security треба будувати як operating model, а не як набір окремих tools.

Практичний takeaway

Цього тижня зроби короткий CI/CD trust-boundary review: знайди workflows з pull_request_target, shell-вставками з PR/title/body, broad GITHUB_TOKEN permissions, npm preinstall/postinstall виконанням і publish jobs через OIDC. Для кожного high-risk workflow зафіксуй owner, потрібні secrets, trigger model, allowed network egress і remediation: pinning, environment protection, least-privilege token, no-install-scripts where possible, або окремий isolated runner.