Nel contesto DevOps, però, non basta solo verificare quanto siano sicure le applicazioni prodotte, ma è altrettanto importante garantire che l’intera toolchain non introduca vulnerabilità durante il ciclo di vita del software.
L’obiettivo è coprire l’intero ciclo di vita, per questo SLSA fornisce indicazioni su tutte le sue fasi.
In questa analisi ci siamo concentrati su un aspetto specifico: la provenance, ovvero l’attestazione sicura di come un artefatto è stato costruito, per garantirne l’origine e l’integrità.
Come avviene?
Firmando gli artefatti e validandone la firma prima del deploy.
Nel nostro caso ci siamo focalizzati sulle immagini Docker e il loro utilizzo in Kubernetes, ma lo stesso approccio può essere esteso a qualsiasi tipo di artefatto: librerie Maven, pacchetti npm, container, moduli Python, ecc.
Ho condiviso questa presentazione durante la nostra partecipazione all’edizione di giugno 2025 di HackInBo.
Se non eri presente, qui trovi il link alla registrazione per vederla e approfondire tutti i passaggi che abbiamo mostrato.