Software Supply Chain Security

16 Luglio 2024
Evento gratuito online

Software Supply Chain Security

Nel mondo digitale odierno, la sicurezza della supply chain software è diventata una necessità impellente. Con l'intensificarsi delle minacce che prendono di mira le catene di approvvigionamento software, è fondamentale adottare strategie di sicurezza robuste e proattive.

"Talks on my Machine" inaugura la sua serie di eventi con una sessione intensiva dedicata a svelare i rischi, le strategie e le soluzioni più efficaci per proteggere infrastrutture critiche e dati essenziali.

In questo evento, approfondiremo:

  • Le Vulnerabilità Comuni: Identificazione delle aree più a rischio e delle minacce emergenti all'interno della supply chain.
  • Strategie di Mitigazione: Implementazione di controlli di sicurezza efficaci, con un occhio alle tecnologie che possono automatizzare e rafforzare la sicurezza della supply chain.
  • Case Studies e Best Practices: Esempi pratici e consigli direttamente dagli esperti del settore e membri della fondazione OpenSSF, illustrando strategie per affrontare e prevenire attacchi complessi.

Questi eventi rappresentano l'impegno di SparkFabrik a continuare a trasmettere conoscenza e best practice al mercato e all'ecosistema in cui operiamo. Partecipando, acquisirai le competenze per navigare nel complesso panorama della sicurezza delle supply chain software, assicurando così una protezione efficace delle tue risorse digitali contro le minacce sempre più sofisticate.

Rivivi l'evento

Speaker

Michael-Lieberman

Michael Lieberman Co-founder and CTO of Kusari

Supply Chain Security: A Sandwich that goes well with GUAC

In this keynote, we will explore the importance of supply chain security, and the suite of tools that make up the solution “sandwich”. We will discuss how supply chain security requires work both from software producers, providing transparency in the security of their software, as well as consumers following the right practices in ingesting software. We will then talk about the cutting edge tools and practices that help producers and consumers secure the software supply chain. Finally we will look at how the GUAC Project helps tie it all together by providing a tool for producers to provide security transparency and help consumers get observability into their software supply chain.

 

Nota: talk in inglese e pre-registrato

Paolo-Mainardi

Paolo Mainardi Co-founder and CTO of SparkFabrik

Building a Trusted and Resilient Software Supply Chain

In questo talk verrà presentato lo stato attuale Software Supply Chain, gli eventi significativi a livello globale (SolarWinds, log4shell, codecov, ecc..), lo stato dell'ecosistema Open-Source, le minacce e le mitigazioni che possono essere applicate utilizzando strumenti come Sigstore, Syft e Grype per le firme digitali, la generazione di SBOM e la scansione automatica delle vulnerabilità. Verrà mostrato come utilizzarli per migliorare l'integrità e ottenere livelli di conoscenza senza precedenti dei propri artefatti e delle proprie infrastrutture cloud.

 

Nota: talk pre-registrato

Andrea Panisson

Andrea Panisson Cloud-Native Engineer in SparkFabrik

Proteggere l'infrastruttura basata su codice Terraform dalle minacce

Terraform è uno strumento di infrastruttura come codice che ci permette di gestire le nostre risorse cloud in modo dichiarativo. Uno dei principali motivi del successo di Terraform è legato alla sua grande estensibilità, raggiunta tramite l'utilizzo di provider e moduli, una caratteristica tuttavia che potrebbe esporre il suo utilizzatore a dei potenziali rischi di sicurezza. Partendo da una breve analisi del funzionamento interno di Terraform, entreremo nel dettaglio di alcuni degli attacchi più comuni e di come questi possano essere realizzati, con esempi e altri aspetti critici di sicurezza che dovrebbero essere considerati quando si lavora con paradigmi di infrastruttura come codice utilizzando Terraform e la sua supply chain.

Giuseppe Arancio

Giuseppe Arancio Cloud-Native Engineer in SparkFabrik

Unleash Kyverno: Building a Trusted and Resilient Supply Chain on Kubernetes

Kyverno e' un motore di policy open source per Kubernetes che offre un solido framework per l'implementazione della sicurezza e della compliance nei flussi di lavoro della tua supply chain. Inizieremo con l'introdurre il suo ruolo nell'ecosistema Kubernetes, evidenziando la sua flessibilità e facilità d'uso nel definire e applicare le policy. Attraverso esempi pratici, impareremo il processo di scrittura delle policy , a validare le tue OCI images sino a generare una SBOM per sottostare ai requisiti di sicurezza e vulnerbilita' della tua software delivery lifecycle. Vedremo come Kyverno possa anche integrarsi con le proprie pipeline di CI/CD ottenendo un flusso automatizzato. Concluderemo con una breve panoramica di punti di forza e debolezze di Kyverno e di alcune sue alternative, per cercare di fornire un quadro più ampio delle soluzioni disponibili che dipendono, come sempre, dalle proprie esigenze specifiche.

Edoardo Dusi-1

Edoardo Dusi DevRel in SparkFabrik

MC dell'evento

Il programma

Ora Relatore Sessione
 9:30 - 9:45 SparkFabrik Introduzione
 9:45 - 10:30 Michael Lieberman Supply Chain Security: A Sandwich that goes well with GUAC
 10:30 - 11:15 Paolo Mainardi Building a Trusted and Resilient Software Supply Chain
 11:15 - 12:00 Andrea Panisson Proteggere l'infrastruttura basata su codice Terraform dalle minacce e dagli attacchi di sicurezza
 12:00 - 12:45 Giuseppe Arancio Unleash Kyverno: Building a Trusted and Resilient Supply Chain on Kubernetes
 12:45 - 12:55 SparkFabrik Q&A e chiusura