Các vụ xâm phạm GitHub Actions liên tiếp. GitLab self-hosted đang mở rộng nhanh chóng được gọi là nhà máy riêng tư tối thượng

Từ năm 2025 đến 2026, các cuộc tấn công chuỗi cung ứng nhắm vào GitHub Actions đang diễn ra theo chuỗi với quy mô tàn khốc. Vụ xâm phạm tj-actions/changed-files vào tháng 3 năm 2025 (CVE-2025-30066, ảnh hưởng đến hơn 23.000 repository), sâu máy tính Shai-Hulud vào tháng 11 năm 2025 (tạo ra 27.000 repository độc hại, phơi lộ 14.000 secret của 487 tổ chức), và vụ xâm phạm Trivy-action vào tháng 3 năm 2026 (CVE-2025-61671, CVSS 9.3) — đây không phải những sự cố đơn lẻ, mà là hệ quả của các lỗ hổng cấu trúc vốn có trong chính kiến trúc của GitHub Actions. Bản thân GitHub đã thừa nhận trong lộ trình bảo mật năm 2026 rằng "các dependency của Action được giải quyết tại runtime và không mang tính xác định", "khả năng hiển thị còn hạn chế" và "kiểm soát ở mức tối thiểu". Linus Torvalds — cha đẻ của Git lẫn Linux — đã thẳng thắn tuyên bố rằng "GitHub tạo ra các merge hoàn toàn vô dụng và rác rưởi" và "pull request cùng tính năng chỉnh sửa commit trực tuyến của GitHub là rác thuần túy". Giữa sự hỗn loạn này, GitLab phiên bản self-hosted đang nhanh chóng giành được sự ủng hộ với tư cách là "nhà máy riêng tư tối thượng trong kỷ nguyên vibe coding". Vào đầu năm 2026, trong bối cảnh 92% lập trình viên Mỹ áp dụng lập trình hỗ trợ AI (vibe coding), có một thực tế đáng lo ngại là khoảng 24,7% code do AI tạo ra chứa các lỗ hổng bảo mật. GitLab Duo Self-Hosted (GA vào tháng 2 năm 2025) triển khai LLM trong hạ tầng của khách hàng, đảm bảo dữ liệu suy luận không bao giờ rời khỏi mạng nội bộ của khách hàng. Giải pháp này đã đạt chứng nhận FedRAMP Moderate, được tích hợp vào Iron Bank của Bộ Quốc phòng Mỹ, và hỗ trợ triển khai air-gap trong các môi trường bảo mật cao thuộc lĩnh vực tài chính, y tế và chính phủ. Doanh thu FY2026 của GitLab Inc. (GTLB) đạt 955 triệu USD (khoảng 143,25 tỷ yên, tăng 25,8% so với năm trước), số khách hàng có ARR trên 100.000 USD đạt 1.344 công ty (tăng 25%), và 24 trong số 29 nhà phân tích khuyến nghị "Strong Buy". Thị trường DevSecOps dự kiến sẽ mở rộng từ khoảng 10 tỷ USD (khoảng 1,5 nghìn tỷ yên) năm 2025 lên 26–37 tỷ USD (khoảng 3,9–5,55 nghìn tỷ yên) vào giai đoạn 2032–2035. Bài viết này sẽ kiểm chứng một cách toàn diện toàn bộ bức tranh về lỗ hổng cấu trúc của GitHub Actions, những ưu thế của GitLab self-hosted, và ý nghĩa của môi trường phát triển riêng tư trong kỷ nguyên vibe coding.

Linus Torvalds kết tội——"GitHub hoàn toàn là rác"

Trước khi nói về sự xâm phạm GitHub Actions, cần làm rõ mối quan hệ giữa bản thân Git và GitHub.

Git là hệ thống quản lý phiên bản phân tán được Linus Torvalds — cha đẻ của nhân Linux — phát triển vào năm 2005. Tuy nhiên, Torvalds đã liên tục chỉ trích gay gắt GitHub — nền tảng được xây dựng trên chính Git mà ông tạo ra.

Vào tháng 9 năm 2021, liên quan đến pull request về driver NTFS trong Linux 5.15, Torvalds đã phát biểu trên mailing list của kernel như sau:

"GitHub tạo ra các merge hoàn toàn vô dụng và tệ hại. Tuyệt đối không được merge thông qua giao diện của GitHub"

"Git đi kèm với module tạo pull request đàng hoàng, nhưng GitHub đã quyết định thay thế nó bằng một phiên bản độc quyền kém cỏi hơn hoàn toàn"

"Pull request và chỉnh sửa commit trực tuyến của GitHub là rác thuần túy"

Điều Torvalds phản đối là commit message merge của GitHub trở thành những chuỗi không có thông tin như "Merge branch 'torvalds:master' into master" — phá hủy hoàn toàn ngữ cảnh về những gì đã được merge và tại sao lại merge. Đối với các dự án quan trọng như phát triển kernel, đây không chỉ là vấn đề thẩm mỹ, mà là sự xói mòn căn bản về khả năng truy vết code và đảm bảo chất lượng.

Sự chỉ trích của Torvalds không phủ nhận giá trị của GitHub như một nền tảng lưu trữ code (ông cũng từng nói "dùng để host thì ổn"). Tuy nhiên, chính bản thân người tạo ra Git đã sớm cảnh báo rằng workflow của GitHub — pull request, merge, và GitHub Actions được xây dựng trên chúng — mang những khiếm khuyết thiết kế nghiêm trọng.

Chuỗi xâm phạm GitHub Actions——Hồ sơ thảm khốc giai đoạn 2025〜2026

Từ năm 2025 đến 2026, các cuộc tấn công chuỗi cung ứng nhắm vào GitHub Actions đã xảy ra liên tiếp với quy mô chưa từng có.

Tháng 3/2025: Xâm phạm tj-actions/changed-files. CVE-2025-30066 (CVSS 8.6). Kẻ tấn công đã xây dựng chuỗi tấn công từ PAT (Personal Access Token) bị rò rỉ qua lỗ hổng pull_request_target của SpotBugs, theo trình tự: reviewdog/action-setup → tj-actions/changed-files → Coinbase agentikit. Payload được mã hóa Base64 dump bộ nhớ của CI/CD runner, phơi bày toàn bộ biến môi trường và secret trong log workflow. Hơn 23.000 repository bị ảnh hưởng, trong đó 218 repository bị lộ thông tin xác thực của DockerHub, npm và AWS. CISA đã thêm vào danh mục Known Exploited Vulnerabilities (KEV) vào ngày 18/3 và phát hành cảnh báo chính thức. Mục tiêu chính là dự án agentikit của Coinbase, với mục đích được cho là đánh cắp tiền điện tử.

Tháng 11/2025: Sâu Shai-Hulud. Được phát hiện bởi các nhà nghiên cứu Unit 42 của Palo Alto Networks. Trojan hóa hơn 700 package npm, tạo ra 27.000 repository GitHub độc hại, phơi bày 14.000 secret của 487 tổ chức chỉ trong vài giờ. Xây dựng mạng botnet tự nhân bản, trong đó các hệ thống bị xâm phạm chia sẻ access token. Zapier, ENS Domains, PostHog và Postman đã tạm thời bị trojan hóa.

2025: UNC6395 / Xâm phạm Salesloft. Được gọi là "chiến dịch xâm phạm SaaS lớn nhất trong năm", ảnh hưởng đến hơn 700 doanh nghiệp. Kẻ tấn công truy cập vào tài khoản GitHub của Salesloft, tải xuống mã nguồn, thêm tài khoản khách và cấu hình workflow trái phép. Sử dụng OAuth token đánh cắp để truy cập hàng trăm môi trường Salesforce. Các doanh nghiệp bị ảnh hưởng bao gồm Cloudflare, SentinelOne, Zscaler, Palo Alto Networks, Google, PagerDuty và Proofpoint.

Tháng 3/2026: Xâm phạm Trivy-action. Bot tự động "hackerbot-claw" của tác nhân đe dọa "TeamPCP" khai thác workflow pull_request_target để đánh cắp PAT, sau đó dùng force push để ghi đè 76 trong số 77 tag của aquasecurity/trivy-action. Đã trích xuất SSH key, thông tin xác thực nhà cung cấp đám mây, thông tin xác thực cơ sở dữ liệu, token Kubernetes và ví tiền điện tử. CVE-2025-61671 (CVSS 9.3, Critical) được gán và Microsoft đã công bố hướng dẫn bảo mật.

Toàn cảnh vector tấn công — Giải phẫu các lỗ hổng cấu trúc

Việc xâm phạm GitHub Actions xuất phát từ các lỗ hổng cấu trúc vốn có trong kiến trúc, chứ không phải từ các lỗi cấu hình riêng lẻ.

Chiếm quyền truy cập do sử dụng pull_request_target không đúng cách. Trigger pull_request thông thường chạy trong ngữ cảnh của fork gốc và chỉ có quyền truy cập chỉ đọc. Tuy nhiên, pull_request_target chạy trong ngữ cảnh của nhánh đích (main) và có quyền truy cập đầy đủ vào secrets cũng như GITHUB_TOKEN có thể đọc/ghi. Kẻ tấn công chỉ cần gửi PR từ fork là có thể truy cập toàn bộ secrets của repository đích. OWASP phân loại đây là CICD-SEC-04 (Poisoned Pipeline Execution), còn MITRE ATT&CK đăng ký là T1677. Vào tháng 2 năm 2026, bot tự động "hackerbot-claw" đã khai thác lỗ hổng này trên ít nhất 6 repository nổi tiếng.

Tấn công "typosquatting" trên GitHub Marketplace. Trong thí nghiệm thực chứng (PoC) của Orca Security, họ tạo ra 14 tổ chức giả mạo (ví dụ: "circelci", "actons", "docker-action") và phát hiện rằng tổ chức "actons" đã được 12 repository tham chiếu trong vòng 2 tháng mà không cần bất kỳ hoạt động quảng bá nào. GitHub không có cơ chế xác minh tính xác thực của Actions, và bất kỳ ai cũng có thể công bố Actions với tên tương tự các Actions phổ biến. Đây là cuộc tấn công chuỗi cung ứng chi phí thấp nhưng tác động cao.

Khai thác mối quan hệ tin cậy của OIDC (OpenID Connect). Xác thực không cần khóa vào AWS/GCP/Azure sử dụng token OIDC của GitHub Actions có thể bị khai thác để truy cập tài nguyên đám mây từ bất kỳ workflow GitHub Actions nào, nếu trust policy của IAM role được cấu hình không đúng. Tinder Security Labs và Datadog Security Labs đã công bố các nghiên cứu chi tiết, và AWS đã thực hiện các biện pháp hạn chế tạo role dễ bị tấn công mới vào tháng 6 năm 2025.

Chiếm quyền môi trường thực thi (Runners) và khai thác tiền mã hóa. Chiến dịch Shai-Hulud đã cài đặt runner trái phép lên các máy bị xâm phạm và cố tình sử dụng workflow dễ bị tấn công làm kênh C2. Các nhà nghiên cứu của NVIDIA đã lấy được reverse shell từ runner trên instance g5g.metal tự host. Praetorian Research kết luận rằng "self-hosted GitHub runner là một backdoor" và cảnh báo rằng các runner không phải ephemeral có thể trở thành căn cứ tấn công lâu dài.

Lời thú nhận của chính GitHub — "Khả năng hiển thị có giới hạn, kiểm soát ở mức tối thiểu"

Điều gây chấn động nhất là chính GitHub đã thừa nhận những điểm yếu mang tính cấu trúc trong lộ trình bảo mật Actions năm 2026.

GitHub chính thức thừa nhận: "Các dependency của Action được giải quyết tại runtime và không mang tính xác định", "khả năng hiển thị bị hạn chế", "kiểm soát ở mức tối thiểu", "workflow được cấp quyền quá mức", "ranh giới tin cậy không rõ ràng", "cấu hình dễ bị thiết lập sai" — tất cả đều chính là những nguyên nhân gốc rễ đã tạo điều kiện cho các cuộc tấn công nêu trên.

Nirmata đã công bố một bài viết vào tháng 3 năm 2026 với tiêu đề "GitHub Actions is Under Attack", tổng kết các mối đe dọa ngày càng leo thang. Nghiên cứu của Sysdig phát hiện ra rằng ngay cả các kho mã nguồn mở tập trung vào bảo mật như MITRE, Splunk cũng đang sử dụng GitHub Actions không an toàn. OpenSSF (Open Source Security Foundation) đã công bố "Hướng dẫn bảo mật pipeline CI/CD" sau các cuộc tấn công nhắm vào tj-actions và reviewdog.

GitLab tự lưu trữ — Sự trỗi dậy của "nhà máy riêng tư tối thượng"

Trong bối cảnh các lỗ hổng cấu trúc của GitHub Actions ngày càng bộc lộ rõ, GitLab phiên bản tự lưu trữ (self-hosted) đang nhanh chóng được đón nhận rộng rãi như "nhà máy riêng tư tối thượng trong kỷ nguyên vibe coding".

Ưu thế cốt lõi của GitLab self-hosted nằm ở chỗ không phụ thuộc vào các Action của bên thứ ba trên marketplace. Các sự cố bảo mật của GitHub Actions đều bắt nguồn từ sự sụp đổ của mô hình tin cậy trên marketplace. GitLab cung cấp tích hợp sẵn các tính năng SAST, DAST, quét phụ thuộc, quét container, phát hiện bí mật (secret detection) và tuân thủ giấy phép — hoàn toàn không phụ thuộc vào plugin bên ngoài. Các runner cũng được thiết kế để tự quản lý theo mặc định, không phụ thuộc vào cơ sở hạ tầng dùng chung.

GitLab Community Edition hoàn toàn miễn phí và có thể tự lưu trữ, hoạt động trên cả Kubernetes lẫn Linux bare-metal. Điều này trái ngược với GitHub Enterprise, vốn yêu cầu gói Enterprise bắt buộc để tự lưu trữ. Khoảng một nửa số phiên bản GitLab đang được vận hành dưới dạng self-hosted, cho thấy nhu cầu áp đảo đối với việc quản lý on-premises.

Kỷ nguyên Vibe Coding và Chủ quyền Dữ liệu——Tại sao lại là GitLab ngay lúc này

Đầu năm 2026, 92% lập trình viên tại Mỹ đã áp dụng vibe coding (phát triển phần mềm có sự hỗ trợ của AI). Thị trường công cụ lập trình hỗ trợ AI dự kiến đạt 8,5 tỷ đô la vào năm 2026. Tuy nhiên, thực tế cho thấy khoảng 24,7% mã nguồn do AI tạo ra chứa lỗ hổng bảo mật, và khoảng 45% có chứa điểm yếu dễ bị khai thác. Đầu năm 2026, một ứng dụng được phát triển bằng vibe coding đã gây ra vụ rò rỉ dữ liệu quy mô lớn, làm lộ 1,5 triệu API key.

GitLab Duo Self-Hosted (GA tháng 2/2025, v17.9) là câu trả lời có cấu trúc cho rủi ro này. Giải pháp triển khai LLM ngay trong hạ tầng của khách hàng, đảm bảo dữ liệu suy luận không bao giờ rời khỏi mạng nội bộ của khách hàng. Hỗ trợ mô hình Mistral (trên vLLM), Claude 3.5 Sonnet (trên AWS Bedrock) và các mô hình OpenAI (trên Azure OpenAI). Phiên bản v18.4 cung cấp ở trạng thái GA/Beta các tính năng: Model Selection (quản trị viên chọn nhà cung cấp mô hình cho quy trình AI), Context Exclusion (loại trừ các tệp/thư mục nhạy cảm khỏi ngữ cảnh AI) và Knowledge Graph (nền tảng cho tích hợp RAG chuyên sâu kết hợp với code intelligence).

Đối với các ngành chịu sự quản lý nghiêm ngặt như tài chính, y tế, chính phủ và quốc phòng, việc đảm bảo mã nguồn độc quyền không được gửi đến các nhà cung cấp AI bên ngoài và không được sử dụng làm dữ liệu huấn luyện AI không chỉ là yêu cầu bảo mật — đó là yêu cầu kinh doanh.

Tuyển dụng trong Chính phủ, Quốc phòng và Các ngành được Quản lý

GitLab tự lưu trữ được áp dụng trong các môi trường có yêu cầu bảo mật nghiêm ngặt nhất.

GitLab Dedicated for Government đã đạt chứng nhận FedRAMP Moderate và TX-RAMP. Các image đã được hardening được tích hợp vào Iron Bank của Bộ Quốc phòng, cho phép triển khai trên toàn Bộ Quốc phòng ở mọi cấp độ phân loại. GitLab Duo Self-Hosted hoạt động trong các môi trường air-gap — cơ sở phân loại, đám mây riêng tư bảo mật, trung tâm dữ liệu tuân thủ quy định. Hỗ trợ chính phủ Hoa Kỳ được xử lý độc quyền bởi công dân Hoa Kỳ.

Các tập đoàn lớn như Airbus, NVIDIA, Siemens, Goldman Sachs đã áp dụng, với hơn 50 biện pháp kiểm soát tuân thủ được tích hợp sẵn cho môi trường chăm sóc sức khỏe tuân thủ HIPAA. Cung cấp khả năng lưu trú dữ liệu, phân tách và kết nối mạng riêng tư tại khu vực do khách hàng lựa chọn.

Kết quả tài chính của GitLab — Những con số tăng trưởng vượt bậc

GitLab Inc. (NASDAQ: GTLB) ghi nhận kết quả kinh doanh phản ánh sự tăng trưởng mạnh mẽ của nhu cầu tự lưu trữ (self-hosted).

Doanh thu năm tài chính FY2026 (kết thúc tháng 1/2026) đạt 955 triệu USD (khoảng 143,25 tỷ yên), tăng 25,8% so với năm trước. Quý 2 FY2026 ghi nhận doanh thu 236 triệu USD (tăng 29%). Tỷ lệ giữ chân doanh thu thuần theo đô la (Dollar-Based Net Retention Rate) đạt 121%. Số khách hàng có ARR trên 100.000 USD đạt 1.344 khách hàng (tăng 25%), số khách hàng có ARR trên 5.000 USD đạt 10.338 khách hàng (tăng 11%). Số người dùng đã đăng ký vượt 30 triệu người. Nghĩa vụ thực hiện còn lại (RPO) đạt 988 triệu USD (tăng 32%).

Đồng thuận của các nhà phân tích về cổ phiếu là Strong Buy (24 Buy, 5 Hold, 0 Sell). Giá mục tiêu trung vị là 56,50 USD, giá mục tiêu cao nhất là 75,00 USD (Macquarie, Steve Koenig).

Thị trường DevSecOps — Bảo mật chuỗi cung ứng tăng trưởng nhanh nhất

Chuỗi xâm phạm GitHub Actions đang thúc đẩy toàn bộ thị trường DevSecOps.

Thị trường DevSecOps dự kiến tăng trưởng từ khoảng 10 tỷ USD vào năm 2025 và khoảng 11,4 tỷ USD vào năm 2026, lên 26–37 tỷ USD vào giai đoạn 2032–2035 (CAGR 14,6–17,8%). Phân khúc bảo mật chuỗi cung ứng đang tăng trưởng với tốc độ CAGR nhanh nhất — đúng là lĩnh vực mà các lỗ hổng GitHub Actions đã phơi bày.

Đầu tư VC cũng đang tập trung vào lĩnh vực DevSecOps. Opsera (DevOps hỗ trợ AI, Series B 20 triệu USD), Pixee (tự động sửa lỗi mã nguồn, seed 15 triệu USD), Boost Security (tự động hóa DevSecOps, seed 12 triệu USD). 70% vốn đầu tư đổ vào các startup Bắc Mỹ, với sự dẫn đầu từ Decibel Partners, Shield Capital và Paladin Capital.

Triển vọng tương lai — Hai con đường phân kỳ

GitHub Actions và GitLab tự lưu trữ thể hiện hai triết lý hoàn toàn khác nhau về tương lai của cơ sở hạ tầng phát triển.

GitHub có thế mạnh về khả năng mở rộng với hơn 10.000 Action trên Marketplace và hiệu ứng mạng lưới từ hơn 100 triệu nhà phát triển. 90% trong số Fortune 100 sử dụng GitHub. Tuy nhiên, những điểm yếu mang tính cấu trúc được thừa nhận trong lộ trình bảo mật năm 2026——"các phụ thuộc được giải quyết tại thời điểm chạy", "kiểm soát tối thiểu", "cấu hình dễ thiết lập sai"——là những vấn đề ở cấp độ kiến trúc, không thể giải quyết bằng các bản vá.

GitLab tự lưu trữ theo triết lý "xây dựng mọi thứ nội bộ, kiểm soát mọi thứ". Mô hình này loại bỏ hoàn toàn mô hình tin cậy của Marketplace và cung cấp SAST/DAST/phát hiện bí mật dưới dạng tích hợp sẵn. Chủ quyền dữ liệu AI trong kỷ nguyên vibe coding, triển khai trong môi trường air-gap, tuân thủ quy định của chính phủ, tài chính và y tế——GitLab tự lưu trữ đang nhanh chóng khẳng định vị thế là "nhà máy riêng tư tối thượng" đáp ứng những yêu cầu này.

Poisoned Pipeline Execution (CICD-SEC-04) của OWASP là căn nguyên của tất cả các sự cố lớn liên quan đến GitHub Actions. Chừng nào vector tấn công này còn tồn tại, bảo mật của GitHub Actions sẽ vẫn không ổn định về mặt cấu trúc. Kiến trúc tích hợp và tự chứa của GitLab loại bỏ rủi ro này ngay từ cấp độ thiết kế.

Tác động đến ngành công nghiệp

Thứ nhất, chuỗi sự cố xâm phạm GitHub Actions giai đoạn 2025–2026 cho thấy bảo mật chuỗi cung ứng CI/CD đã leo thang từ vấn đề "nên có" lên mức "sống còn của doanh nghiệp". tj-actions (23.000 repository), Shai-Hulud (14.000 secret của 487 tổ chức), UNC6395 (700 doanh nghiệp), Trivy (CVSS 9.3) — tác động tích lũy của các sự cố này có thể dẫn đến sự mất niềm tin căn bản vào mô hình marketplace của GitHub Actions.

Thứ hai, chính GitHub thừa nhận "khả năng hiển thị còn hạn chế" và "kiểm soát ở mức tối thiểu" — đây là xác nhận chính thức về sự tồn tại của vấn đề mang tính cấu trúc. Đây là vấn đề đòi hỏi tái thiết kế ở cấp độ kiến trúc chứ không phải vá lỗi đơn thuần, và việc giải quyết trong ngắn hạn là rất khó khăn.

Thứ ba, GitLab self-hosted nổi lên như một "nhà máy riêng tư tối thượng" xuất phát từ nhiều động lực phức hợp: chủ quyền dữ liệu AI trong kỷ nguyên vibe coding, yêu cầu air-gap của chính phủ và quốc phòng, tuân thủ quy định trong lĩnh vực tài chính và y tế, cùng với việc thoát khỏi rủi ro chuỗi cung ứng của GitHub Actions về mặt cấu trúc. Các con số doanh thu FY2026 đạt 955 triệu USD (tăng 25,8%), ARR khách hàng vượt 100.000 USD đạt 1.344 công ty (tăng 25%) chứng minh sức mạnh của nhu cầu này.

Thứ tư, phân khúc bảo mật chuỗi cung ứng trong thị trường DevSecOps là phân khúc tăng trưởng nhanh nhất, điều này có nghĩa là các lỗ hổng của GitHub Actions đang tái định hình cấu trúc thị trường. GitLab có thể trở thành người hưởng lợi lớn nhất từ làn sóng này.

Tài liệu tham khảo: CISA Alert CVE-2025-30066 & CVE-2025-30154 (tháng 3/2025), Unit 42 GitHub Actions Supply Chain Attack Targeting Coinbase, Wiz tj-actions/changed-files Analysis, Wiz reviewdog/action-setup Analysis, Hunters Security tj-actions & reviewdog Report, The Hacker News CISA Warning, The Hacker News Trivy Breach (tháng 3/2026), Palo Alto Networks Trivy Supply Chain Attack, Microsoft Security Blog Trivy Compromise, Unit 42 Shai-Hulud npm Supply Chain Attack, Wiz Shai-Hulud 2.0, eSecurity Planet UNC6395 GitHub Breach 700+ Companies, Obsidian Security UNC6395 Salesloft, Codecov Post-Mortem (tháng 4/2021), Linus Torvalds LKML (tháng 9/2021), The Register GitHub Merges Criticism, Orca Security Typosquatting in GitHub Actions, Orca Security pull_request_target Exploits, Upwind hackerbot-claw RCE, Adnan Khan GitHub Actions Cache Poisoning, Datadog GitHub-to-AWS Keyless Authentication Flaws, Tinder Security Labs OIDC Vulnerabilities, Sysdig Self-Hosted Runners as Backdoors, Synacktiv Hijacking GitHub Runners, OWASP CICD-SEC-04, MITRE ATT&CK T1677, Alex Birsan Dependency Confusion, OpenSSF CI/CD Security Guide, Nirmata「GitHub Actions is Under Attack」(tháng 3/2026), GitHub Blog 2026 Actions Security Roadmap, Sysdig Insecure Actions in MITRE/Splunk, GitLab FY2026 Q2/Q3 Financial Results, GitLab Federal Government Solutions, GitLab FedRAMP Authorization, GitLab HIPAA Compliance, GitLab Duo Self-Hosted Documentation, InfoQ GitLab Self-Hosted AI, GitLab npm Supply Chain Attack Discovery, Fortune Business Insights DevSecOps Market, Precedence Research DevSecOps Market, DEV Community Securing Vibe Coded Applications 2026, Daily.dev Vibe Coding 2026, MarketBeat/StockAnalysis GTLB Forecast