DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 8 червня 2026

posts · 2026-06-08

Примітка: web search сьогодні був нестабільний, тому покриття обмежене відкритими джерелами, які вдалося напряму перевірити через RSS або сторінки постачальників. Я свідомо не повторюю URL і теми з попередніх щоденних постів; новий кут дня — операційна безпека AI-агентів та OT/ICS-систем як частина DevSecOps governance, а не ще один переказ npm-worm.

Ключові новини

  1. CISA винесла automatic tank gauge systems у фокус критичної інфраструктури. CISA разом із FBI, NSA, DOE, EPA, TSA, DOT і USDA опублікували рекомендації для ATG-систем: прибрати їх з інтернету, посилити паролі, аудитити й моніторити логи (CISA). Для DevSecOps це нагадування: “інфраструктура” — це не лише Kubernetes і хмари; exposed OT/edge-системи теж мають входити в asset inventory, exposure management і incident playbooks.

  2. GitHub дав enterprise-адмінам preview для керованих Copilot CLI plugins у VS Code. Enterprise-managed plugins дозволяють централізовано конфігурувати й поширювати плагіни для Copilot CLI користувачів (GitHub Changelog). Це правильний напрям: AI tooling має бути не “кожен девелопер сам підключив що захотів”, а керований каталог дозволених capabilities із власником, версіями та audit trail.

  3. GitHub відкрив REST API для Copilot agent tasks у Pro/Pro+/Max. Тепер agent tasks можна програмно запускати й відстежувати через API (GitHub Changelog). Це підсилює автоматизацію, але водночас створює нову control-plane поверхню: потрібні rate limits, scoped tokens, approvals для risky дій і логування “хто запустив агента, з яким контекстом, на якому репозиторії”.

  4. Snyk описав protestware у jqwik 1.10.0 як prompt-injection ризик для агентного coding workflow. За описом Snyk, пакет містив приховану prompt injection, націлену на AI coding agents, з використанням terminal escape codes для приховування інструкцій від людей, але не від логів і tooling (Snyk). Це не просто “ще один malicious package”; це показує, що agent-readable контекст стає частиною attack surface.

  5. Sysdig зафіксував agent-driven container escape і replay Kubernetes service-account token. У новому кейсі атакувальний LLM-harness, за спостереженнями Sysdig TRT, пішов не лише в application pivot, а в orchestration plane: Docker socket, privileged containers, host secrets і Kubernetes Secret store (Sysdig). Це сильний сигнал для платформених команд: admission control, service-account minimization, Docker socket заборони й runtime detection мають бути baseline, а не “hardening після інциденту”.

3 матеріали, які варто прочитати

  1. So You Have an AI Security Budget. Now what? — корисна рамка для security leadership: бюджет на AI security має покривати не тільки discovery dashboards, а governance, enforcement, adversarial testing, runtime protection і evidence.

  2. Type Level Security: The future of secure AI code generation? — сильний інженерний матеріал про те, як типи й secure-by-design wrappers можуть робити цілі класи вразливостей некомпільованими, особливо коли код швидко генерується LLM.

  3. The “Skyway” to OSS Security: OpenSSF Community Day North America 2026 Recap — не просто recap конференції: там видно, куди рухається OpenSSF — AI security transition, software transparency, dependency selection і machine-readable supply-chain signals.

Практичний takeaway

Зроби один короткий контроль цього тижня: склади allowlist/denylist для agentic tooling у dev environments. Мінімум: які MCP servers/plugins/CLI agents дозволені, хто їх власник, які токени вони можуть бачити, чи є audit logs, і які дії потребують human approval. Якщо цього списку немає, у тебе не “AI enablement”, а некерований shadow control plane.