Zero Trust e Open Source: come proteggere la tua supply chain

Abstract

Oltre il 90% del software moderno è composto da open source: una risorsa preziosa, ma anche una superficie d’attacco enorme. Ogni vulnerabilità (CVE) apre un punto debole nella supply chain: anche quando la patch è disponibile, le immagini container pubbliche restano spesso vulnerabili per settimane o mesi. Questa lentezza, unita alla diffusione capillare dell’open source, rende gli attacchi sempre più appetibili ed efficaci. Episodi come la backdoor in XZ Utils o vulnerabilità critiche come Log4Shell hanno mostrato come una singola libreria compromessa possa propagarsi rapidamente con conseguenze globali.

Durante questo talk esploreremo come applicare il principio Zero Trust alla supply chain software, con spunti ed esperienze raccolti lavorando con grandi aziende nel West degli Stati Uniti, dove i container sono ormai la norma. Attraverso esempi pratici e casi reali vedremo perché i modelli tradizionali non sono più sufficienti e quali approcci stanno emergendo per affrontare rischi e complessità crescenti.