Enforcing Kubernetes Policies Natively with Validating Admission Policies: Patterns and Pitfalls
Enforcing Kubernetes Policies Natively with Validating Admission Policies: Patterns and PitfallsSpeaker:

Paolo Carta
Software and DevOps Engineer
Speaker:

Matteo Bisi
Senior DevSecops Engineer | Team Leader @ SIGHUP
Tematiche:
Il developer è il primo e più vulnerabile anello della software supply chain. Il 2026 ha confermato questa tendenza in modo drammatico: dall’attacco alla supply chain di Trivy fino alle campagne di fake job interview, gli attaccanti hanno scelto il developer come vettore primario di compromissione.
In questo talk analizzeremo i principali attacchi di quest’anno che hanno preso di mira gli sviluppatori, con un focus particolare sulle tecniche di esfiltrazione delle credenziali progettate per mimare comportamenti umani legittimi e aggirare gli EDR tradizionali. Partendo da un diagramma dello Secure Software Development Lifecycle (SSDLC), mostreremo perché proteggere la workstation e il workflow del developer è oggi una priorità strategica.
Nella seconda parte entreremo nel pratico: dalle best practice fondamentali (MFA, gestione consapevole delle credenziali, rotation plan) fino agli strumenti specifici per l’era degli AI coding agent. Vedremo come usare Docker sandbox per isolare tool come Claude Code o Gemini, come applicare policy granulari tramite Cupcake (open source) per limitare ciò che un coding agent può fare sul sistema, e le raccomandazioni di hardening del repository “Traitor of Beats” per Claude Code. Perché il rischio non è solo nel codice che scrivi , è anche nel tool che usi per scriverlo.