La lección de Miasma: la provenance SLSA es necesaria pero NO suficiente
El análisis de Snyk sobre Miasma (1 de junio) deja la moraleja de arquitectura del año: el trusted publishing de npm tenía un gap estructural que permitió mintear un evento de publish con provenance válida usando solo una rama temporal en los repos de Red Hat. Cuando el atacante controla la identidad de publicación, la firma deja de detectar código malicioso y pasa a legitimarlo. Mitigaciones concretas para tu pipeline: forzá review en branches protegidas para que los orphan commits no puedan publicar, scopeá el trust OIDC a branches y workflows específicos (no a todo el repo), exigí 2FA con publish protection en npm, y combiná la verificación de provenance con checks de comportamiento en vez de confiar solo en las attestations. Verificar la firma sin verificar quién la emitió es teatro de seguridad.
GitHub Copilot ahora corre en sandboxes aislados, locales y en la nube (public preview)
GitHub anunció el 2 de junio que Copilot puede ejecutar sus tools dentro de sandboxes aislados: local en tu máquina o cloud sandboxes totalmente aislados y hosteados por GitHub. La ejecución de comandos de shell que dispara el agente corre con acceso restringido a filesystem, red y capabilities del sistema. Es la respuesta directa al riesgo de los workflows agénticos: experimentás con agentes sin darle al modelo barra libre sobre tu disco. Buen patrón para copiar en tus propios runners de CI agéntico. La misma tanda sumó budget controls duros para GHAS y el skill /security-review.
Copilot SDK llega a GA: embebé el motor agéntico de Copilot en tus apps
GitHub llevó a GA el Copilot SDK el 2 de junio: una API estable para embeber el motor agéntico de Copilot —planning, invocación de tools, edición de archivos, streaming y sesiones multi-turn— en tus propias apps y herramientas de dev sin armar tu capa de orquestación. Cubre Node.js/TypeScript, Python, Go, .NET y suma Rust y Java en GA. Trae registro de tools custom, integración con servidores MCP, tracing con OpenTelemetry, sesiones cloud-backed y hooks para interceptar el comportamiento del agente. Disponible para todos los suscriptores (incluido free) y para no-Copilot vía BYOK. Si construís CI/CD assistants o features de IA in-product, esto te ahorra reinventar el orquestador.
Tendencias Destacadas
Tercera semana seguida con un worm npm que publica vía OIDC/trusted publishing: el vector ya no es robar tokens, es secuestrar la identidad de CI. Provenance válida ≠ código confiable.
Adversarios asistidos por IA están comprimiendo el timeline entre disclosure y explotación masiva (Netlogon pasó de «poco probable» a in-the-wild en ~3 semanas). El parcheo ya no tolera ventanas largas.
El tooling agéntico se mueve hacia el aislamiento por defecto: GitHub mete a Copilot en sandboxes y expone su motor como SDK con tracing OpenTelemetry. La observabilidad del agente se vuelve requisito, no lujo.
The Miasma lesson: SLSA provenance is necessary but NOT sufficient
Snyk's Miasma write-up (June 1) delivers the architecture takeaway of the year: npm's trusted publishing had a structural gap that let attackers mint a valid, provenance-attested publish event using only a temporary branch on Red Hat's own repos. When the attacker controls the publishing identity, the signature stops detecting malicious code and starts legitimizing it. Concrete mitigations for your pipeline: enforce review on protected branches so orphan commits can't publish, scope OIDC trust to specific branches and workflows (not whole repos), require 2FA with publish protection on npm, and pair provenance verification with behavioral checks instead of trusting attestations alone. Verifying the signature without verifying who issued it is security theater.
GitHub Copilot now runs in isolated local + cloud sandboxes (public preview)
GitHub announced on June 2 that Copilot can run its tools inside isolated sandboxes: locally on your machine or fully isolated cloud sandboxes hosted by GitHub. Shell command execution initiated by the agent runs with restricted access to filesystem, network and system capabilities. It's a direct answer to agentic-workflow risk: you experiment with agents without handing the model free rein over your disk. A good pattern to copy in your own agentic-CI runners. The same batch added hard budget controls for GHAS and a /security-review skill.
Copilot SDK reaches GA: embed Copilot's agentic engine in your apps
GitHub moved the Copilot SDK to GA on June 2: a stable API to embed Copilot's agentic engine —planning, tool invocation, file editing, streaming and multi-turn sessions— into your own apps and dev tools without building an orchestration layer. It covers Node.js/TypeScript, Python, Go, .NET and adds Rust and Java at GA. It ships custom tool registration, MCP server integration, OpenTelemetry tracing, cloud-backed sessions and hooks to intercept agent behavior. Available to all subscribers (free included) and to non-Copilot users via BYOK. If you build CI/CD assistants or in-product AI features, this saves reinventing the orchestrator.
Notable Trends
Third straight week of an npm worm publishing via OIDC/trusted publishing: the vector is no longer stealing tokens, it's hijacking the CI identity. Valid provenance ≠ trustworthy code.
AI-assisted adversaries are compressing the disclosure-to-mass-exploitation timeline (Netlogon went from «less likely» to in-the-wild in ~3 weeks). Patching no longer tolerates long windows.
Agentic tooling is moving toward isolation by default: GitHub puts Copilot in sandboxes and exposes its engine as an SDK with OpenTelemetry tracing. Agent observability becomes a requirement, not a luxury.
La leçon Miasma : la provenance SLSA est nécessaire mais PAS suffisante
L'analyse Miasma de Snyk (1er juin) livre l'enseignement d'architecture de l'année : le trusted publishing de npm avait un défaut structurel permettant de forger un événement de publish attesté par provenance valide via une simple branche temporaire sur les repos de Red Hat. Quand l'attaquant contrôle l'identité de publication, la signature cesse de détecter le code malveillant et le légitime. Mitigations concrètes : imposez la review sur les branches protégées, limitez le trust OIDC à des branches et workflows précis, exigez la 2FA avec publish protection sur npm, et combinez la vérification de provenance avec des contrôles comportementaux.
GitHub Copilot s'exécute désormais en sandboxes isolées, locales et cloud (public preview)
GitHub a annoncé le 2 juin que Copilot peut exécuter ses tools dans des sandboxes isolées : en local sur votre machine ou en cloud sandboxes entièrement isolées hébergées par GitHub. L'exécution de commandes shell lancée par l'agent tourne avec un accès restreint au filesystem, au réseau et aux capabilities système. Une réponse directe au risque des workflows agentiques. Le même lot a ajouté des budget controls stricts pour GHAS et un skill /security-review.
Le Copilot SDK passe en GA : intégrez le moteur agentique de Copilot
GitHub a fait passer le Copilot SDK en GA le 2 juin : une API stable pour intégrer le moteur agentique de Copilot —planning, invocation de tools, édition de fichiers, streaming et sessions multi-turn— dans vos apps et outils dev sans couche d'orchestration. Il couvre Node.js/TypeScript, Python, Go, .NET et ajoute Rust et Java en GA. Avec enregistrement de tools custom, intégration de serveurs MCP, tracing OpenTelemetry, sessions cloud-backed et hooks. Disponible pour tous les abonnés (free inclus) et en BYOK.
Tendances Notables
Troisième semaine d'affilée avec un worm npm publiant via OIDC/trusted publishing : le vecteur n'est plus le vol de tokens mais le détournement de l'identité CI. Provenance valide ≠ code fiable.
Les adversaires assistés par IA compriment le délai entre divulgation et exploitation massive (Netlogon est passé de « peu probable » à in-the-wild en ~3 semaines). Le patching ne tolère plus de longues fenêtres.
L'outillage agentique évolue vers l'isolation par défaut : GitHub place Copilot en sandboxes et expose son moteur en SDK avec tracing OpenTelemetry. L'observabilité de l'agent devient une exigence.