Pagina 1 di 1
Le pipeline CI/CD sono diventate un vettore di attacco privilegiato: compromettere una GitHub Action condivisa significa compromettere tutti i suoi consumer. Eppure la maggior parte delle aziende che incontro non ha audit pipeline, non firma gli artefatti, non isola le credenziali. La sicurezza arriva alla fine, quando è troppo tardi.
In questa categoria scrivo di CI/CD security applicata: DevSecOps per PMI con dodici sviluppatori (security gate automatici nella pipeline senza frenare il team), audit di pipeline di dieci clienti con scoperta sistematica di supply chain attack vector, isolation delle credenziali, signing degli artefatti.
Se la tua pipeline è il punto cieco della tua security posture, parliamone. Oppure leggi chi sono.
La sicurezza come fase finale prima del rilascio è un fallimento annunciato. Ho aiutato un'azienda software con 12 sviluppatori a integrare sicurezza nel ciclo di sviluppo: security gate automatici in CI, revisione delle dipendenze ad ogni PR, threat modeling trimestrale. La velocità di sviluppo non è calata. Continua a leggere
Le pipeline CI/CD sono diventate un vettore di attacco privilegiato: compromettere un'action GitHub condivisa significa comprometterne tutti i consumer. Ho auditato le pipeline di dieci clienti e trovato action appuntate a tag mutabili, secrets esposti nei log, e workflow con permessi eccessivi. Vi mostro le fix. Continua a leggere
