DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 10 червня 2026

posts · 2026-06-10

Ключові новини

  • npm v12 готує безпечніші defaults для npm install. У липні npm планує вимкнути автоматичне виконання dependency lifecycle scripts за замовчуванням: preinstall, install, postinstall, implicit node-gyp rebuild, а також git/remote dependencies без явного allow. Це сильний supply-chain сигнал після хвиль package compromise: команди вже можуть тестувати попередження в npm 11.16+ і готувати allowlist через npm approve-scripts / npm deny-scripts (GitHub Changelog).

  • GitHub увімкнув security validation для сторонніх coding agents. Код, створений Claude, OpenAI Codex та іншими third-party agents у репозиторіях GitHub, тепер автоматично проходить CodeQL, dependency checks проти GitHub Advisory Database і secret scanning; якщо знаходяться проблеми, агент має спробувати виправити їх до фіналізації PR. Важливий кут: це не замінює review, але пересуває guardrails ближче до agent-generated changes (GitHub Changelog).

  • CISA додала нові actively exploited CVE до KEV: Chromium V8, Arista EOS і Cisco Catalyst SD-WAN Manager. У каталозі від 9 червня зʼявилися CVE-2026-11645 для Chromium V8, CVE-2026-7473 для Arista EOS і CVE-2026-20245 для Cisco Catalyst SD-WAN Manager; remediation deadline для federal agencies — 23 червня. Для platform teams це не “прочитати CVE”, а швидко зіставити browser fleet, network OS і SD-WAN control plane з inventory (CISA KEV catalog).

  • npm registry metadata теж є частиною supply chain. Socket описав помилку npm tooling, через яку низка one-character packages тимчасово отримали security-holder версії 0.0.1-security / 0.0.1-security.0, а latest dist-tag змістився на placeholder. Компрометації пакетів публічно не видно, але командам варто перевірити lockfiles, якщо інстали припали на affected window (Socket).

  • Dependabot додав version updates для Deno ecosystem. Це поки не security updates, але для команд із Deno-проєктами це ще один спосіб прибрати ручну підтримку dependency freshness у репозиторіях, які раніше випадали з GitHub-native dependency automation (GitHub Changelog).

3 матеріали, які варто прочитати

  1. Snyk — The New Security Risks of the Agentic Development Lifecycle — хороша рамка для Staff-рівня: ризик входить не тільки в код, а в те, що агент використовує, що робить і що генерує. Корисно для threat model coding agents, MCP servers, skills і локальних toolchains.

  2. Help Net Security — Attackers already know the secrets are on your developers’ machines. Do you? — практичний матеріал про developer endpoints як privileged supply-chain nodes: local CLIs, IDE plugins, agent histories і секрети на laptop-ах мають входити в secrets program, а не жити в blind spot між AppSec, endpoint security та identity.

  3. Docker — Hardened Images Explained: Fewer CVEs, Smaller Attack Surface — корисний refresher для container baseline: менше пакетів, менше CVE noise, менший attack surface і простіший patching backlog. Добре використовувати як аргумент за стандартизовані base images замість хаотичних application-owned Dockerfiles.

Практичний висновок

Цьогоднішній новий кут — supply-chain controls рухаються від реактивного сканування до default-deny execution. Перевірте один реальний проєкт: які dependency scripts, git/remote packages, coding-agent PR checks, Deno/npm updates і developer-machine secrets зараз не мають явного owner-а. Якщо owner-а немає, це не “дрібна технічна деталь”, а майбутній incident path.