Supply chain security: perche fidarsi è bene, ma essere paranoici è meglio?

Operando in ambito bancario, è fondamentale tenere in considerazione gli aspetti legati alla sicurezza.
Nel contesto DevOps, però, non basta solo verificare quanto siano sicure le applicazioni prodotte, ma è altrettanto importante garantire che l’intera toolchain non introduca vulnerabilità durante il ciclo di vita del software.

Per questo si parla di Supply Chain Security, ovvero l’insieme di processi, controlli e tecnologie progettati per proteggere ogni fase dello sviluppo, assicurando che ogni componente sia integro, verificabile e resistente a compromissioni o manomissioni.

Un riferimento importante è il framework SLSA (Supply-chain Levels for Software Artifacts), che definisce livelli di maturità per valutare la sicurezza della propria toolchain DevOps.
L’obiettivo è coprire l’intero ciclo di vita, per questo SLSA fornisce indicazioni su tutte le sue fasi.

In questa analisi ci siamo concentrati su un aspetto specifico: la provenance, ovvero l’attestazione sicura di come un artefatto è stato costruito, per garantirne l’origine e l’integrità.

Come avviene?

Firmando gli artefatti e validandone la firma prima del deploy.

Nel nostro caso ci siamo focalizzati sulle immagini Docker e il loro utilizzo in Kubernetes, ma lo stesso approccio può essere esteso a qualsiasi tipo di artefatto: librerie Maven, pacchetti npm, container, moduli Python, ecc.

Per rendere tutto più concreto, abbiamo anche preparato una demo locale con strumenti open source, disponibile al link https://github.com/imolainformatica/poc-security/tree/main/demo-cosign

Ho condiviso questa presentazione durante la nostra partecipazione all’edizione di giugno 2025 di HackInBo.

Se non eri presente, qui trovi il link alla registrazione per vederla e approfondire tutti i passaggi che abbiamo mostrato.