Nello script precedente abbiamo visto come sia facile poter recuperare l'elenco delle immagini presenti all'interno di un cluster di Kubernetes ed eventualmente individuare tutte quelle che non provengono da un registry "sicuro" o comunque validato dalla nostra organizzazione....

La security è un tema importante per tutto il ciclo di vita del software e delle nostre infrastrutture. Tuttavia, ciò che tendiamo ad ignorare è che anche le pipeline ormai sono scritte come codice e, pertanto, anch'esse sono a tutti gli effetti vulnerabili e soggette a ...

Quando abbiamo a che fare con dati sensibili, è bene che questi non vengano mostrati in alcun modo, anche all'interno dei log dei nostri workflow. Per questo motivo, GitHub ci mette a disposizione la possibilità di mascherare questi dati, in modo che non vengano mostrati in alcun...

In GitHub non abbiamo una struttura ben definita per raggruppare una serie di repository in progetti, così come avviene in GitHub. Avere una struttura simile per tutti è spesso importante, perchè così possiamo riutilizzare le stesse informazioni, codice, setting e così via. ...

Aumentare la sicurezza delle nostre applicazioni e dei nostri processi è sempre fondamentale per ridurre al più possibile ogni tipologia di rischio. Nel nostro piccolo, in GitHub, una delle azioni che possiamo intraprendere è la verifica della provenienza dei commit, così da ...

Nel mondo dello sviluppo software, mantenere le librerie e le dipendenze del progetto aggiornate è fondamentale per garantire sicurezza e affidabilità. GitHub offre uno strumento potente per automatizzare questo processo: Dependabot. Dependabot consente agli sviluppatori di ...

Le GitHub Actions, pur essendo uno strumento potente per l'automazione dei flussi di lavoro, possono essere soggette a vulnerabilità di sicurezza come l'injection di script. Questo accade quando un attore malevolo riesce a inserire codice all'interno delle variabili o dei comandi...

Il codice delle nostre applicazioni diventa via via sempre più complesso e diventa più naturale spendere più tempo nelle code review. Allo stesso modo, diventa sempre più utilizzata la pratica del pair programming o del group programming, dove due o più persone si riuniscono per ...

All'interno di una GitHub Action possiamo specificare quelli che sono gli eventi che scatenano l'esecuzione del workflow. Di questi ne esistono diversi e la documentazione è piuttosto esaustiva, ma il più comune è sicuramente quello identificato dall'attributo pull_request che ...

Anche se sicuramente non è un comportamento atteso, spesso succede che per errore venga fatto il deploy di alcune componenti all'interno di un cluster di Kubernetes che non sono configurate correttamente. Vuoi che sia per disattenzione, per fretta, oppure perchè i componenti ...