CI/CD Pipelines kontinuierlich schützen und Risiken senken (GER)
CI/CD Pipelines sind immer wieder als Teil der Software Supply Chain Attacken ein beliebtes Ziel. Allerdings haben auch Log4J oder Log4Shell deutlich aufgezeigt, dass hohe Risiken beim Softwarebetrieb existieren und ein Softwarekatalog sehr wichtig ist. Daher ist eine kontinuierliche Überwachung und Aufzeichnung der Pipeline-Rezepte und der geladenen und erstellten Artifakte (Abhängigkeiten, Skripte, Anwendungen, Container) sowie dem Weg den die Artifakte nehmen äusserst wichtig. Idealerweise sollten diese Informationen durchsuchbar und fälschungssicher aufbewahrt werden. Dieser Vortrag zeigt Mittel und Wege auf, wie dies mit Open Source Lösungen und kommerziellen Lösungen möglich ist.
Dennis Zimmer ist CTO und Mitgründer des Open-Source Unternehmens Codenotary. Sein Fokus liegt auf DevSecOps und Software Supply Chain Security. Er ist Experte im Bereich Virtualisierung, Containerisierung und Softwareentwicklungsprozessen und seit 2009 VMware vExpert. Außerdem ist Dennis Zimmer Experte im Bereich kryptografischer Absicherung von Daten und Prozessen. Seit 2006 ist er Buch- und Zeitschriftenautor.