DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 7 червня 2026

posts · 2026-06-07

Ключові новини

  1. SolarWinds Serv-U знову в режимі термінового patch-management. CISA додала CVE-2026-28318 SolarWinds Serv-U до KEV через активну експлуатацію. Це не RCE, а DoS через unauthenticated Content-Encoding: deflate, але operational impact для file-transfer сервісів достатній, щоб не відкладати. SolarWinds окремо радить оновитись до 15.5.4 HF1 або блокувати відповідні POST-запити на WAF.

  2. Agentic coding отримує не фічу, а execution boundary. GitHub відкрив public preview cloud і local sandboxes для GitHub Copilot: агент може виконувати команди й працювати з файлами у політично обмеженому середовищі. Це правильний напрям: coding agent без sandbox, filesystem/network policy і audit trail — це не productivity tool, а невизначений runner із людським токеном.

  3. Open-source CI/CD hardening стає практичнішим. CNCF/Cilium почали серію про контроль того, хто запускає CI і який код workflow має право виконувати. Цінність матеріалу в тому, що він не продає “ще один scanner”, а розбирає blast radius GitHub Actions: approvals, fork PRs, privileged workflows, trusted maintainers і release path.

  4. Контейнери знову нагадують: isolation — не security boundary за замовчуванням. Cyber Security News підсумовує, як атакувальники використовують Docker/Kubernetes misconfigurations для host compromise: poisoned images, Kubernetes secrets theft, API abuse, privileged containers і escape attempts. Новий кут тут не “Kubernetes небезпечний”, а те, що supply chain, runtime config і identity тепер треба threat-modelити разом.

3 матеріали, які варто прочитати

  1. Securing CI/CD for an open source project: Controlling who runs what — CNCF — хороший operational blueprint для GitHub Actions: почати з trigger model і permissions, а не з красивої security dashboard.

  2. Dirty Frag in Kubernetes: EKS and GKE Exposed With Unset Seccomp — Juliet — практичний лабораторний розбір, чому RuntimeDefault seccomp, Pod Security Standards і node-level controls мають значення ще до vendor patch window.

  3. Containers on fire: from container escapes to supply chain attacks — Securelist — корисний огляд контейнерного attack surface: від poisoned Docker Hub images і secrets theft до runtime escape paths.

Практичний takeaway

Цього тижня варто зробити один маленький, але сильний control review: випишіть усі місця, де автоматизація або агент може виконувати код з доступом до секретів — GitHub Actions, self-hosted runners, Copilot/Claude/Codex sessions, Kubernetes jobs, release scripts. Для кожного пункту зафіксуйте три речі: хто може trigger-нути execution, які secrets/network/file permissions доступні, і який sandbox або isolation реально стоїть між untrusted input та production credentials.