devsecopsday

Riccardo parla dell'adozione dell'SRE con clienti dal 2019. Spesso, hanno difficoltà nell'applicare la metodologia di Google all'interno della loro azienda. In questo talk, Riccardo farà un'introduzione all'SRE e poi cercherà di spiegare quali modelli di fallimento ha osservato (in parte contenuti nel rapporto 'Enterprise Roadmap to SRE'). Argomenti trattati: * Cos'è l'SRE. Una definizione chiara di Site Reliability Engineering e del suo ruolo nell'assicurare l'affidabilità dei sistemi. * Cosa l'SRE NON è. Sfatare i miti comuni e le idee sbagliate sull'SRE, evidenziando cosa non ci si dovrebbe aspettare da questa disciplina. * Anti-pattern nell'adozione dell'SRE. Identificare i comportamenti e le pratiche che possono portare al fallimento dell'implementazione dell'SRE all'interno di un'azienda. * Come farlo funzionare per la tua azienda. Fornire consigli e strategie concrete su come adattare l'SRE alle esigenze specifiche della propria organizzazione e ottenere risultati positivi. Il tutto sarà corredato da esempi pratici ed esperienze vissute.

L'obiettivo principale di MLSecOps è mitigare i rischi legati alla sicurezza dei modelli di machine learning, compresi attacchi avversari, furti di dati sensibili e violazioni della privacy. Attraverso l'implementazione di processi di monitoraggio continuo, rilevamento delle anomalie e risposta agli incidenti, MLSecOps contribuisce a garantire la sicurezza e l'integrità dei dati e dei modelli durante tutto il ciclo di vita dei sistemi di machine learning, mitigando i rischi di furti, manipolazioni o accessi non autorizzati. Esploreremo i principi del ML responsabile e le vulnerabilità dell'OWASP in chiave MLOps. L’adozione di approcci proattivi per garantire anche la sicurezza dei sistemi che gestiscono dati e modelli di machine learning è la base per sogni tranquilli e weekend rilassanti.

Con il passare del tempo è sempre piu difficile contenere le vulterabilità introdotte non solo dalle applicazioni e dai sistemi operativi, ma anche dai container ed è diventato piu sfidante riuscire ad implementarlo con un approccio automatico. In questo talk andremo a parlare di come affrontare il problema delle immagini base, come gestirle in modo coerente e quanto è complesso usare immagini base di terze parti senza poi introdurre nuove CVEs. Al termine del talk ci sarà una demo con esempi di build distroless e verrà fornito un repository di esempio ai partecipanti.

In questo panel, esploreremo le esperienze del mondo reale di vari/e professionisti/e nel campo del DevSecOps. Grazie a diverse esperienze professionali, i/le panelost condivideranno le loro storie, sfide e successi nell'integrare la sicurezza nel ciclo di vita del DevOps. Lo scopo? Puntiamo a scoprire lezioni preziose e pratiche innovative che possono ispirare altre persone nel loro percorso verso il mondo DevSecOps.

La sicurezza delle tue applicazioni dipende interamente da SAST, DAST, WAF, VA, PT e altri acronimi fantasiosi? Forse non sei così protetto come credi. Grazie all'analisi di un esempio reale, in questa sessione imparerai come integrare dei controlli di sicurezza continui nella pipeline CI/CD e individuare le vulnerabilità nel codice che possono sfuggire ai tradizionali test di sicurezza. Inoltre, scoprirai come proteggere le applicazioni a runtime mentre stai rimediando alle vulnerabilità emerse o ancora sconosciute.

In questo talk presentiamo le soluzioni implementate da Jimdo per servire in modo efficiente, sicuro e veloce oltre 12 milioni di siti web clienti. Utilizzando Amazon Web Services (AWS) e Cloudflare, abbiamo affrontato le sfide legate al caching e alla sicurezza, ottimizzando la nostra infrastruttura. Il talk sarà strutturato in tre sezioni: 1. Obiettivi: esamineremo i requisiti per servire una vasta rete di siti 'Do It Yourself' di utenti non tech-savvy. 2. Soluzioni tecniche e implementazione: una panoramica dettagliata delle tecnologie e strategie che abbiamo adottato, con particolare attenzione all'utilizzo di Cloudflare per implementare una soluzione di caching efficace e rafforzare la sicurezza. 3. Risultati e Best Practices: i risultati ottenuti, quello che abbiamo imparato, e le best practices che possono essere applicate a contesti simili per aumentare scalabilità e sicurezza.

Tag Strategy on Cloud: Come una buona Tag Strategy, può aiutare il monitoraggio applicativo, le strategie di FinOps, il Security Assessment e Risk Assessment. Rilasciare e definire la tag strategy in una infrastruttura cloud e mantenerla attraverso l'automazione e la definizione di owner.

Il talk offrirà un'analisi approfondita e strategica del ciclo di vita della gestione delle vulnerabilità. Affronteremo come gestire efficacemente i findings ritornati dalle pipeline di sicurezza nei moderni approcci DevSecOps, coprendo ogni fase cruciale del ciclo di vita delle vulnerabilità. Discuteremo come mantenere un inventario accurato degli asset e valutare le vulnerabilità per identificare e catalogare le risorse critiche. Esploreremo metodi avanzati di prioritizzazione delle vulnerabilità basati su rischio e impatto, assicurando che le risorse siano allocate in modo ottimale per mitigare le minacce più significative. Approfondiremo le strategie di risoluzione delle vulnerabilità, inclusa l'integrazione delle patch e delle soluzioni nel ciclo di sviluppo senza interrompere i flussi di lavoro. Esamineremo l'importanza della verifica e del monitoraggio continui per rilevare e rispondere tempestivamente a nuove vulnerabilità. Infine, illustreremo come creare report dettagliati e implementare feedback loop per il miglioramento continuo, aiutando le organizzazioni a mantenere una postura di sicurezza proattiva e adattiva.Partecipa a questo talk per ottenere una visione chiara e pratica di come gestire strategicamente tutti i findings delle pipeline di sicurezza, ipotizzando metodi di prioritizzazione, livelli di accettazione del rischio, e tecniche di mitigazione e remediation. Non perdere l'occasione di apprendere come potenziare la sicurezza della tua organizzazione all'interno di un ambiente DevSecOps, mantenendola sempre un passo avanti rispetto alle minacce emergenti.

L'integrazione dell'AI generativa nel platform engineering offre opportunità significative per ottimizzare e automatizzare flussi di lavoro, soprattutto nei contesti di sviluppo di regulated software. Purtroppo inserire un ciclo di continuous generating può tradursi in ore di elaborazione e produzione di materiale, a volte eccessivo, che non produce valore. In questo talk vedremo come adottare un approccio zero-trust per garantire la sicurezza e la conformità, senza intaccare i processi già in essere, e prevenendo la produzione massiva di oggetti superflui. Attraverso strategie pratiche, proporremo come l'AI generativa può essere inserita nel platform engineering in scenari regolamentati lasciando all'utente l'approvazione dell'elaborato senza gravarlo di un carico di lavoro significativamente superiore al normale, evitando la generazione di codice non funzionante da revisionare. Preferendo invece concentrarsi sull'affrontare in modo efficiente le segnalazioni critiche prioritarie e colmare le principali lacune nella copertura dei test.