DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 9 червня 2026

posts · 2026-06-09

Покриття сьогодні обмежене: вебпошук тимчасово недоступний, тому дайджест зібрано з напряму доступних відкритих джерел і перевірено проти попередніх постів, щоб не повторювати URL, заголовки та теми без нового розвитку.

Ключові новини

  • GitHub додає регулярне сканування неактивних репозиторіїв. Code scanning тепер може автоматично запускатися кожні 30 днів для репозиторіїв без push/PR активності понад шість місяців, якщо вони використовують default setup; це корисно для закинутих, але все ще production-relevant кодових баз (GitHub Changelog).
  • CISA додала два активно експлуатовані CVE до KEV. У каталозі зʼявилися CVE-2026-42271 для BerriAI LiteLLM command injection і CVE-2026-50751 для Check Point Security Gateway improper authentication; для DevSecOps це прямий сигнал перевірити AI gateway/control-plane компоненти та edge security appliances у пріоритеті (CISA).
  • Нова хвиля Miasma/Hades бʼє по PyPI. Socket описує 37 шкідливих wheel-артефактів у 19 пакетах, які використовують *.pth startup hooks, завантажують Bun і запускають обфускований JS credential stealer; це ще один доказ, що install-time execution треба контролювати як production attack surface (Socket).
  • AI-агенти як service accounts, а не “користувачі з магією”. Starburst описує підхід до MCP/federated query security: короткоживучі credentials, власники, scope, RBAC/ABAC на query layer і аудит natural-language prompt → generated SQL → execution result (Help Net Security).

3 матеріали, які варто прочитати

  1. 5 Software Supply Chain Security Best Practices for Development Teams — корисний чеклист для команд, які хочуть перейти від “ми скануємо образи” до контрольованої supply-chain програми: trusted base images, dependency hygiene, SBOM/signing і policy gates.
  2. Treating AI agents like service accounts for federated query security — сильний практичний фрейм для агентів, які ходять до даних: не персоніфікувати модель, а виділяти scoped identity, короткий TTL, явного owner і повний audit trail.
  3. The architecture of subtraction: Why it’s time to erase the roads, not just map the traffic — не приймати все як patch backlog; хороший матеріал про зменшення attack paths через архітектурні constraints: egress control, блокування child processes, заборона запуску з user-writable директорій.

Практичний висновок

Цього тижня варто зробити маленький, але жорсткий контроль: увімкнути/перевірити scheduled scanning для inactive repos, додати KEV/LiteLLM/Check Point перевірку в vulnerability triage, і заблокувати неконтрольоване install-time execution у Python CI. Це не “ще один сканер”; це закриття сліпих зон, де код давно не рухається, але все ще може бути шляхом до production.