Software Supply Chain Security
Michael Lieberman Co-founder and CTO of Kusari
Supply Chain Security: A Sandwich that goes well with GUAC
In this keynote, we will explore the importance of supply chain security, and the suite of tools that make up the solution “sandwich”. We will discuss how supply chain security requires work both from software producers, providing transparency in the security of their software, as well as consumers following the right practices in ingesting software. We will then talk about the cutting edge tools and practices that help producers and consumers secure the software supply chain. Finally we will look at how the GUAC Project helps tie it all together by providing a tool for producers to provide security transparency and help consumers get observability into their software supply chain.
Nota: talk in inglese e pre-registrato
Paolo Mainardi Co-founder and CTO of SparkFabrik
Building a Trusted and Resilient Software Supply Chain
In questo talk verrà presentato lo stato attuale Software Supply Chain, gli eventi significativi a livello globale (SolarWinds, log4shell, codecov, ecc..), lo stato dell'ecosistema Open-Source, le minacce e le mitigazioni che possono essere applicate utilizzando strumenti come Sigstore, Syft e Grype per le firme digitali, la generazione di SBOM e la scansione automatica delle vulnerabilità. Verrà mostrato come utilizzarli per migliorare l'integrità e ottenere livelli di conoscenza senza precedenti dei propri artefatti e delle proprie infrastrutture cloud.
Nota: talk pre-registrato
Andrea Panisson Cloud-Native Engineer in SparkFabrik
Proteggere l'infrastruttura basata su codice Terraform dalle minacce
Terraform è uno strumento di infrastruttura come codice che ci permette di gestire le nostre risorse cloud in modo dichiarativo. Uno dei principali motivi del successo di Terraform è legato alla sua grande estensibilità, raggiunta tramite l'utilizzo di provider e moduli, una caratteristica tuttavia che potrebbe esporre il suo utilizzatore a dei potenziali rischi di sicurezza. Partendo da una breve analisi del funzionamento interno di Terraform, entreremo nel dettaglio di alcuni degli attacchi più comuni e di come questi possano essere realizzati, con esempi e altri aspetti critici di sicurezza che dovrebbero essere considerati quando si lavora con paradigmi di infrastruttura come codice utilizzando Terraform e la sua supply chain.
Giuseppe Arancio Cloud-Native Engineer in SparkFabrik
Unleash Kyverno: Building a Trusted and Resilient Supply Chain on Kubernetes
Kyverno e' un motore di policy open source per Kubernetes che offre un solido framework per l'implementazione della sicurezza e della compliance nei flussi di lavoro della tua supply chain. Inizieremo con l'introdurre il suo ruolo nell'ecosistema Kubernetes, evidenziando la sua flessibilità e facilità d'uso nel definire e applicare le policy. Attraverso esempi pratici, impareremo il processo di scrittura delle policy , a validare le tue OCI images sino a generare una SBOM per sottostare ai requisiti di sicurezza e vulnerbilita' della tua software delivery lifecycle. Vedremo come Kyverno possa anche integrarsi con le proprie pipeline di CI/CD ottenendo un flusso automatizzato. Concluderemo con una breve panoramica di punti di forza e debolezze di Kyverno e di alcune sue alternative, per cercare di fornire un quadro più ampio delle soluzioni disponibili che dipendono, come sempre, dalle proprie esigenze specifiche.
Edoardo Dusi DevRel in SparkFabrik