DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 5 червня 2026

posts · 2026-06-05

Ключові новини

1. npm-worm перейшов від preinstall до binding.gyp

Свіжий інцидент у npm важливий не кількістю пакетів, а технікою: Snyk описує Node-gyp Supply Chain Compromise, де шкідливий код запускається через binding.gyp / node-gyp, а не через звичні preinstall або postinstall. Це бʼє по багатьох allowlist-підходах, які перевіряють лише package lifecycle scripts.

2. Snyk веде окремий tracker для affected packages і remediation

Для команд, які не можуть чекати повного forensic-звіту, корисний практичний артефакт — Snyk advisory page з affected versions та діями: pin known-good versions, npm install --ignore-scripts, rotation доступних credentials, перевірка CI/CD і developer workstations.

3. Magento / Adobe Commerce отримали KEV-рівень терміновості через Mirasvit Cache Warmer

CISA додала CVE-2026-45247 до KEV; The Hacker News підсумував ризик як exploited Magento RCE flaw. Корінь проблеми — PHP object injection у Mirasvit Full Page Cache Warmer, де crafted CacheWarmer cookie може привести до unauthenticated RCE.

4. Kernel privilege escalation знову виглядає як клас вразливостей, а не одиничний CVE

Red Hat описує Dirty Frag / Fragnesia: CVE-2026-43284, CVE-2026-43500 і CVE-2026-46300 у Linux kernel networking subsystems можуть дозволити локальне підвищення привілеїв. Для Kubernetes і container platforms це черговий сигнал: seccomp, node hardening і workload isolation — не “nice to have”, а останній барʼєр, коли kernel bug уже існує.

5. GitHub виніс Advanced Security examples в окрему open-source організацію

GitHub запустив GitHub Advanced Security organization з starter kits, actions, custom CodeQL queries, scripts і прикладами інтеграції GHAS через API/webhooks. Це не emergency-news, але корисний operational signal: security tooling стає більш composable, і командам варто стандартизувати reusable guardrails замість ручних one-off перевірок.

3 матеріали, які варто прочитати

  1. Node-gyp Supply Chain Compromise: A Self-Propagating npm Worm That Hides in binding.gyp — хороший technical read про новий install-time execution path, який обходить частину звичних npm controls.
  2. Critical vulnerability in Mirasvit Cache Warmer for Magento — чіткий розбір PHP object injection без auth/admin session; варто прочитати всім, хто підтримує Magento/Adobe Commerce або схожі PHP extension ecosystems.
  3. Fragnesia and friends: When page cache vulnerabilities keep coming back — сильний архітектурний погляд на kernel CVEs як повторюваний pattern, а не нескінченний список “ще одного патча”.

Практичний takeaway

Сьогоднішній фокус — не просто “оновити залежності”. Додайте в CI/CD окрему перевірку install-time execution paths: preinstall/postinstall, binding.gyp, generated GitHub Actions workflows, нові package manager hooks, і будь-які зміни в publish provenance. Якщо package міг виконатись на developer machine або runner — ротуйте credentials як після реального compromise, а не як після теоретичного scanner finding.