talks & speakers
Dove l'SRE può andare storto
Riccardo parla dell'adozione dell'SRE con clienti dal 2019. Spesso, hanno difficoltà nell'applicare la metodologia di Google all'interno della loro azienda. In questo talk, Riccardo farà un'introduzione all'SRE e poi cercherà di spiegare quali modelli di fallimento ha osservato (in parte contenuti nel rapporto 'Enterprise Roadmap to SRE').
Argomenti trattati:
- * Cos'è l'SRE. Una definizione chiara di Site Reliability Engineering e del suo ruolo nell'assicurare l'affidabilità dei sistemi.
- * Cosa l'SRE NON è. Sfatare i miti comuni e le idee sbagliate sull'SRE, evidenziando cosa non ci si dovrebbe aspettare da questa disciplina.
- * Anti-pattern nell'adozione dell'SRE. Identificare i comportamenti e le pratiche che possono portare al fallimento dell'implementazione dell'SRE all'interno di un'azienda.
- * Come farlo funzionare per la tua azienda. Fornire consigli e strategie concrete su come adattare l'SRE alle esigenze specifiche della propria organizzazione e ottenere risultati positivi.
Riccardo Carlesso
Developer Advocate @ Google cloud
Former network administrator, sysadmin, and Ruby on Rails developer, Riccardo has been in operations for 20+ years and still likes to spend time coding (better if Ruby). He loves engaging with customers and help them run their operations reliably and successfully in the cloud.
A gentle introduction to MLSecOps
L'obiettivo principale di MLSecOps è mitigare i rischi legati alla sicurezza dei modelli di machine learning, compresi attacchi avversari, furti di dati sensibili e violazioni della privacy. Attraverso l'implementazione di processi di monitoraggio continuo, rilevamento delle anomalie e risposta agli incidenti, MLSecOps contribuisce a garantire la sicurezza e l'integrità dei dati e dei modelli durante tutto il ciclo di vita dei sistemi di machine learning, mitigando i rischi di furti, manipolazioni o accessi non autorizzati. Esploreremo i principi del ML responsabile e le vulnerabilità dell'OWASP in chiave MLOps. L’adozione di approcci proattivi per garantire anche la sicurezza dei sistemi che gestiscono dati e modelli di machine learning è la base per sogni tranquilli e weekend rilassanti.
Alessandra Bilardi
Data & Automation Specialist @ Corley Cloud
Alessandra è una Cloud Engineer con focus sui dati. In passato, ha lavorato su e-commerce come sviluppatore, dev lead, DBA, .. ma adesso è tornata alle origini (accademiche): soluzioni di dati e ML, dall’ingestion, analisi, trasformazione e predizione, alla visualizzazione dei dati. Ama provare e condividere: è AWS & PyData evangelist e Coderdojo mentor.
A journey to distroless
Con il passare del tempo è sempre piu difficile contenere le vulterabilità introdotte non solo dalle applicazioni e dai sistemi operativi, ma anche dai container ed è diventato piu sfidante riuscire ad implementarlo con un approccio automatico. In questo talk andremo a parlare di come affrontare il problema delle immagini base, come gestirle in modo coerente e quanto è complesso usare immagini base di terze parti senza poi introdurre nuove CVEs. Al termine del talk ci sarà una demo con esempi di build distroless e verrà fornito un repository di esempio ai partecipanti.
Michele Buccarello
Technical Account Manager for Enterprise Account @ SIGHUP
I'm currently the Tecnical Account Manager for Enterprise Account in SIGHUP and I'm passionate about Cloud Native, Cloud Native Security and Containers topics,
Matteo Bisi
Senior DevSecops Engineer | Team Leader @ SIGHUP
Matteo Bisi è un senior DevSecOps Engineer ed in SIGHUP è Team Leader DevSecOps e DevOps. Si occupa della gestione del team, segue e guida la realizzazione dei progetti, d cura i rapporti con clienti e partner. Da sempre appassionato di Community, è un contributor attivo della CNCF, dove è membro del IT glossary team ed editor della Kubeweekly.
Potenzia il tuo PAM con il Platform Engineering
Fra le mansioni principali dei platform teams c'è quella di creare molteplici infrastrutture in modo sicuro e ripetibile. La crescita aziendale è direttamente proporzionale al numero dei team di sviluppo e di supporto che gestiscono l'infrastruttura: per ogni applicazione o servizio, per molteplici ambienti (prod, dev, test, ad esempio) e ovviamente ciascuno con differenti SLA e livelli di segregazione. Questa crescita, che vediamo essere sempre più rapida, crea nuovi requisiti per multi-tenancy, RBAC basato su infrastruttura, crittografia, continua verifica di conformità, imposizione automatizzata di policy e self-service che necessitano soprattutto di automazione e controllo. Consideriamo per un momento un tipico scenario: Fai parte di un team di sviluppo che si occupa di realizzare un'applicazione o un servizio ospitato in un ambiente Kubernetes (magari un servizio gestito) con i vari componenti che possono essere distribuiti in uno o più spazi dei nomi. Come possiamo abilitare l'accesso esterno sicuro al contenuto e ai componenti di questa applicazione per scopi di debug o manutenzione senza compromettere la sicurezza della piattaforma o dell'applicazione? Come possiamo automatizzare l'accesso ai nuovi componenti che verranno sviluppati e rilasciati durante il ciclo di vita dell'applicazione stessa? Scopriamo insieme come la Piattaforma Cloud HashiCorp può potenziare la soluzione di Privileged Access Management introducendo automazione, controllo, sicurezza e dinamicità offrendo una soluzione totalmente integrata alla gestione del ciclo di vita delle infrastrutture e della sicurezza.
Luca Bolli
Staff Solution Engineer @ HashiCorp
Luca Bolli è Staff Solution Engineer in HashiCorp per il territorio italiano. E’ un appassionato di tecnologia, di architetture software, cloud native e di metodologia DevOps . Da sempre sostenitore del concetto "less is more" quando non è incollato allo schermo di un computer si dedica alle sue principali passioni: i suoi due figli, leggere, giocare di ruolo, ascoltare musica e soprattutto incontrare i suoi amici. La prima cosa che configura quando ha davanti un computer? Una bash funzionante, perché senza riga di comando non potrebbe vivere!
(Più di) una vulnerabilità su mille ce la fa
La sicurezza delle tue applicazioni dipende interamente da SAST, DAST, WAF, VA, PT e altri acronimi fantasiosi? Forse non sei così protetto come credi. Grazie all'analisi di un esempio reale, in questa sessione imparerai come integrare dei controlli di sicurezza continui nella pipeline CI/CD e individuare le vulnerabilità nel codice che possono sfuggire ai tradizionali test di sicurezza. Inoltre, scoprirai come proteggere le applicazioni a runtime mentre stai rimediando alle vulnerabilità emerse o ancora sconosciute.
Emilio Tonelli
Lead Security Solutions Engineer @ Dynatrace
Emilio aiuta clienti e partner a rendere le loro applicazioni web e il relativo stack più sicuri e affidabili. Con 23 anni di esperienza nella sicurezza informatica, è stato consulente per importanti operatori e system integrator a livello globale. Prima di Dynatrace ha ricoperto posizioni tecniche di prevendita, seguendo sempre le innovazioni e le tendenze anche nelle operazioni 'red team/blue team'. Con una profonda esperienza sul campo, è un professionista appassionato che ha ideato iniziative social tra cui una serie di webinar di sensibilizzazione seguiti da centinaia di professionisti.
Scaling and Securing 12 Million Websites
In questo talk presentiamo le soluzioni implementate da Jimdo per servire in modo efficiente, sicuro e veloce oltre 12 milioni di siti web clienti. Utilizzando Amazon Web Services (AWS) e Cloudflare, abbiamo affrontato le sfide legate al caching e alla sicurezza, ottimizzando la nostra infrastruttura. Il talk sarà strutturato in tre sezioni:
- 1. Obiettivi: esamineremo i requisiti per servire una vasta rete di siti 'Do It Yourself' di utenti non tech-savvy.
- 2. Soluzioni tecniche e implementazione: una panoramica dettagliata delle tecnologie e strategie che abbiamo adottato, con particolare attenzione all'utilizzo di Cloudflare per implementare una soluzione di caching efficace e rafforzare la sicurezza.
- 3. Risultati e Best Practices: i risultati ottenuti, quello che abbiamo imparato, e le best practices che possono essere applicate a contesti simili per aumentare scalabilità e sicurezza.
Mario Trucco
Staff Engineer @ Jimdo
Laureato in matematica, convertito al software engineering. Dal 2010 sviluppo prodotti per il marketing digitale e la presenza online, in team impostati sul principio "you build it, you run it". Per SkyLab Italia ho lavorato allo sviluppo di prodotti per l'AB test, content recommendation, content monetization e lead generation. Dal 2018 vivo ad Amburgo e lavoro per Jimdo, SaaS che tra le altre cose serve milioni di siti creati e gestiti autonomamente da utenti non tech-savvy. La mia esperienza è full stack con focus sul backend. Dal 2023 sono Staff Engineer: lavoro e supporto iniziative cross team sia per l'engineering del prodotto che per quello infrastrutturale.
FinOps e Tag Strategy su AWS
Tag Strategy on Cloud: Come una buona Tag Strategy, può aiutare il monitoraggio applicativo, le strategie di FinOps, il Security Assessment e Risk Assessment. Rilasciare e definire la tag strategy in una infrastruttura cloud e mantenerla attraverso l'automazione e la definizione di owner.
Francesco De Nardi
DevOps Cloud Architect @ ConTe.it
Cloud Engineer da 8 anni in ConTe.it con esperienza su Cloud AWS e su migrazioni in Cloud. Negli ultimi anni mi sono avvicinato al mondo del FInOps.
Gianluca Magnante
Tech Ops field Manager @ ConTe.it
IT Operation Manager di Conte.it, con oltre 20 di esperienza nel mondo IT. Ha precedenti esperienze nel mondo delle Telco, dei Giochi e della consulenza. Specializzato nell'IT service management e nelle trasformazioni digitali, orientata sempre più alla cloud adoption e quindi alla governance del TCO e dei processi FinOps.
Vulnerability Management Lifecycle in DevSecOps
Il talk offrirà un'analisi approfondita e strategica del ciclo di vita della gestione delle vulnerabilità. Affronteremo come gestire efficacemente i findings ritornati dalle pipeline di sicurezza nei moderni approcci DevSecOps, coprendo ogni fase cruciale del ciclo di vita delle vulnerabilità. Discuteremo come mantenere un inventario accurato degli asset e valutare le vulnerabilità per identificare e catalogare le risorse critiche. Esploreremo metodi avanzati di prioritizzazione delle vulnerabilità basati su rischio e impatto, assicurando che le risorse siano allocate in modo ottimale per mitigare le minacce più significative. Approfondiremo le strategie di risoluzione delle vulnerabilità, inclusa l'integrazione delle patch e delle soluzioni nel ciclo di sviluppo senza interrompere i flussi di lavoro. Esamineremo l'importanza della verifica e del monitoraggio continui per rilevare e rispondere tempestivamente a nuove vulnerabilità. Infine, illustreremo come creare report dettagliati e implementare feedback loop per il miglioramento continuo, aiutando le organizzazioni a mantenere una postura di sicurezza proattiva e adattiva.Partecipa a questo talk per ottenere una visione chiara e pratica di come gestire strategicamente tutti i findings delle pipeline di sicurezza, ipotizzando metodi di prioritizzazione, livelli di accettazione del rischio, e tecniche di mitigazione e remediation. Non perdere l'occasione di apprendere come potenziare la sicurezza della tua organizzazione all'interno di un ambiente DevSecOps, mantenendola sempre un passo avanti rispetto alle minacce emergenti.
Alessandro Braccio
Senior Specialist Security Engineer @ Arduino
Alessandro Braccio è profondamente impegnato nelle tematiche di Product Security, in particolare in tutte le attività legate allo sviluppo software e al Vulnerability Management Lifecycle. Le sue aree di competenza comprendono Application Security, DevSecOps, Cloud Security, IoT Security e full-stack development. Negli ultimi dieci anni, ha ricoperto ruoli fondamentali come Principal Security Consultant, accumulando esperienza in attività di Penetration Testing, Code Review, Threat Modeling e nello sviluppo di software sicuro. Inoltre, è stato coinvolto in attività di formazione e mentoring per diverse organizzazioni internazionali. Attualmente, ricopre la posizione di Senior Specialist Security Engineer presso Arduino e assume il ruolo di Italian Chapter Lead per la DevSecCon Community.
AIGenOps: Integrare l'AI Generativa nel Platform Engineering per regulated software
L'integrazione dell'AI generativa nel platform engineering offre opportunità significative per ottimizzare e automatizzare flussi di lavoro, soprattutto nei contesti di sviluppo di regulated software. Purtroppo inserire un ciclo di continuous generating può tradursi in ore di elaborazione e produzione di materiale, a volte eccessivo, che non produce valore. In questo talk vedremo come adottare un approccio zero-trust per garantire la sicurezza e la conformità, senza intaccare i processi già in essere, e prevenendo la produzione massiva di oggetti superflui. Attraverso strategie pratiche, proporremo come l'AI generativa può essere inserita nel platform engineering in scenari regolamentati lasciando all'utente l'approvazione dell'elaborato senza gravarlo di un carico di lavoro significativamente superiore al normale, evitando la generazione di codice non funzionante da revisionare. Preferendo invece concentrarsi sull'affrontare in modo efficiente le segnalazioni critiche prioritarie e colmare le principali lacune nella copertura dei test.
Riccardo Soro
Devops Consultant @ Imola Informatica
Riccardo Soro è un ingegnere informatico di 29 anni con una grande passione per l'informatica, in particolare nei campi del DevOps e dell'AI generativa. Il suo percorso nel mondo della tecnologia è guidato da un'insaziabile curiosità e da un forte desiderio di innovare. Nel tempo libero, non perde mai l'occasione di fare arrampicata all'aperto con gli amici, trovando ispirazione e nuove idee tra le rocce. La sua sete di conoscenza e determinazione lo spingono sempre a esplorare nuove frontiere tecnologiche e ad affrontare ogni sfida con entusiasmo.