KubeCon EU 2024 Parigi, parliamo di Kubetrain

Ieri è terminata la  KubeCon NA a Chicago, quindi si può iniziare a parlare di KubeconEU 2024 che si terrà a Parigi 19-22 Marzo 2024 😊 .

Per Parigi le registrazioni sono in fase di early bird fino al 28 Novembre ed è ancora possibile partecipare

alla call for paper.

Volevo parlarvi di una interessante iniziativa denominata Kubetrain, che si pone come obbiettivo quello di raggiungere Parigi in un modo maggiormente sostenibile per l'ambiente scegliendo il treno al posto dell'aereo.

Per rendere il tutto economicamente sostenibile gli organizzatori di Kubetrain hanno pensato di organizzare carrozze "sponsorizzate" da alcune delle principali città europee, che quindi poteranno le persone a Parigi, rendendo quindi possibile organizzare anche eventi di networking durante il viaggio!!

Le città coinvolte sono le seguenti:

• Amsterdam
• Berlino
• Londra
• Lione 
• Milano 
• Zurigo

Attualmente è già "operativo" il viaggio da Zurigo,  per il resto è ancora un work in progress ma vi invito a seguire il loro sito per rimanere aggiornati ed eventualmente prenotare la partenza dalla vostra città preferita.

Trovo l'iniziativa molto interessante, complimenti agli organizzatori!!

Perchè dovresti contribuire ai progetti community? Vi parlo di CNCF e OpenSSF

Parto da una premessa per chi non lo sapesse già: l'ecosistema dei sofware open-source spesso ruota attorno a fondazioni, la più famosa probabilmente è la Linux Foundation. 

Per quanto riguarda l'ambito cloud native, la fondazione di riferimento è la Cloud Native Computing Foundation, comunemente chiamata CNCF.

La CNCF è una fondazione creata dalla Linux Foundation nel 2015, per occuparsi strettamente della gestione dei progetti dell'ambito cloud native. In parole povere potremmo definirlo un ente terzo, vendor neutral, che regola lo sviluppo e le attività relative a tutti i più grandi progetti relativi alle tecnologie containerizzate come Kubernetes.

La fondazione è composta da un grande numero di organi, gruppi di lavoro che si occupano dei vari progetti e gran parte dei lavori è svolto da volontari, e per partecipare devono essere rispettate le regole del codice di condotta della CNCF.

Parlando quindi di Kubernetes e dei principali progetti che ci girano attorno, potete immaginare la mole di lavoro richiesta per fare funzionare questo sistema e quante persone a tutti i livelli possano servire per contribuire ai progetti tecnici e non tecnici.

Nella mia carriera ho sempre cercato di essere parte di ciò che circondava il mio mondo lavorativo, prendendo parte a eventi, parlando a eventi ed anche organizzandone. 

Anche nel mio capitolo lavorativo iniziato in SIGHUP, ho mantenuto lo stesso comportamento e modalità operativa. Da qualche mese faccio parte del team italiano che si occupa della localizzazione italiana del glossary della CNCF.

Vi racconto questo perchè trovo estremamente gratificante partecipare a questi tipi di iniziative, conoscendo nuove persone, magari uscendo un po' dalla propria confort zone, e poter essere di aiuto a persone, azienda, che non si conoscono, per il gusto di vivere in un ecosistema migliore.

Come potete immaginare i contributi possono essere dati a tutti i livelli, ci sono team diversi per ogni "materia", a volte regionalizzati,  ed ovviamente capita di poter lavorare con persone da tutto il mondo e di tutte le provenienze.

Come mi ha detto un collega pochi giorni fa, "se entri in una riunione e ti senti un cretino rispetto agli altri partecipanti, probabilmente significa che sei nel posto giusto", perchè partecipare ai meeting anche come uditore, con persone di alto livello è una grande opportunità crescita professionale.

Bene, ora che vi ho fatto venire voglia, come potete partecipare o cercare un progetto adatto a voi?

Vi suggerisco una serie di link dove trovare informazioni relative agli eventi e progetti CNCF:

• EXPLORE ALL CNCF SITES
• END USER COMMUNITY
• CNCF SLACK
• Repo su GitHub

Quanto ho detto sopra vale anche per un altra fondazione, molto interessante nata nel 2020 che si chiama Open Source Security foundation,  abitualmente abbreviato in OpenSSF. 

Questa fondazione è una creazione della Linux Foundation, e si occupa di sviluppare la securezza informatica del software open-source.

Occupandomi di sicurezza, seguo con attenzione diverse iniziative di questa fondazione, al momento per limiti di tempo, non sono un contributor attivo, ma i ragazzi del mio team hanno già avuto modo di contribuire e partecipare a diverse riunioni dei gruppi di lavoro. 

E' importante rispettare sempre il codice di condotta qundo si partecipa e si contribuisce.

Anche in questo caso vi lascio alcuni link utili dove trovare idee di collaborazione per OpenSSF:

• OpenSSF Working Groups
• Get Involved
• Repo su GitHub
• OpenSSF SLACK

 

containerday 2023 - devsecopsday 2023 in Ottobre a Bologna

Scrivo questo post per segnalarvi 2 eventi che ci saranno a Bologna in Ottobre, organizzati dal Grusp, il containerday 2023, che sarà seguito dalla prima edizione del devsecopsday il giorno successivo:

• 12 Ottobre containerday 2023, agenda
• 13 Ottobre devsecopsday 2023, agenda

Per chi non ha mai partecipato in passato, il tema del containerday è in generale il mondo dell'infratruttura cloud-native con quello che ci gira attorno, mentre il devsecopsday sarà incetrato su temi di security.

Le agende ed i link per le registrazioni le trovate nei rispettivi siti, 11 Ottobre ci saranno 3 workshop per anticipare l'evento,  2 dei quali sarano tenuti da colleghi del mio gruppo, i link vedere i programmi e l'iscrizione li trovate a questa pagina.

Gli eventi del Grusp sono bene organizzati, gli speaker di alto livello quindi non posso fare altro che raccomandarvi di partecipare.

Io sarò presente agli eventi, SIGHUP sarà presente a 360gradi come sponsor, con sessioni e con l'organizzazione dei 2 workshop. 

Ci vediamo a Bologna 👋

CyberArk Conjur 13.0 disponibile, quali sono le novità e perchè aggiornare

 Nei giorni scorsi CyberArk ha rilasciato una  nuova versione di CyberArk Conjur arrivato alla 13.0.

Quali funzionalità nuove ci sono? Chi dovrebbe aggiornare?

Ho pubblicato un blogpost nel blog di SIGHUP a riguardo che trovate qui 

CyberArk Conjur 12.9 e podman - come ripristinare la logs rotation in caso di problemi

CyberArk Conjur è rilasciato sotto forma di appliance containerizzata, in modo da poter permettere rapidi setup senza errori.

I container runtime supportati sono i seguenti:

• docker 20.10 or later
• mirantis container runtime 20.10
• podman 3.x,4.x

Lavorando su diversi ambienti Conjur nei nostri lab o da clienti ci siamo resi conto che la logs rotation (conjur, nginx, cluster, etc) non veniva eseguita in ambienti installati su podman mentre funzionava correttamente su Docker.

Dopo alcune indagini con i ragazzi del CyberArk support team, abbiamo trovato la soluzione:

i conjur container devono essere creati aggiungendo la capability AUDIT_WRITE :

podman run \ ... --cap-add AUDIT_WRITE \ ... registry.tld/conjur-appliance:12.9.0

per risolvere poi un successivo problema di rumore nei log di nginx va cambiato il seguente permesso nei container di Conjur:

chmod 701 /opt/cyberark/dap/log/nginx

Il CyberArk support team è stato collaborativo come sempre nel lavorare con noi per trovare la soluzione.

Entrambi i problemi sono stati tracciati nella documentazione di CyberArk e dovrebbero essere risolti a breve nella doc e nelle immagini rilasciate. 

In caso riscontriate lo stesso problema nei vostri ambienti vi suggerisco comunque di contattare il team di supporto per avere conferma che la soluzione sia applicabile anche ai vostri ambienti..

SIGHUP Secure Containers: come scegliete le base image per i vostri workload?

Premessa: in questo articolo parlo di un prodotto/servizio offerto dall'azienda per cui lavoro, SIGHUP, voglio specificare che non mi è stato richiesto di parlarne qui sul mio blog, ma quelle che seguono sono le mie opinioni riguardo a questo servizio.

Secure Containers è un servizio commerciale, offerto da SIGHUP che fornisce container base image sicure, hardenizzate e aggiornate. 

Lavorare in ambienti containerizzati rispetto al passato ha molti vantaggi, come standardizzazioni, automazioni e velocità di rilascio.

Talvolta però ci si dimentica che lavorando con container, spesso ci si affida ad container image fatte da trovate da varie fonti che potrebbero avere uno o più dei seguenti problemi:

• bug
• CVEs
• non essere aggiornate
• contenere sw malevolo

E' chiaro che avere base image costantemente aggiornate, che contengano il minor numero di CVEs possibili è importante perchè eventuali problemi, una volta deployato il software, vengono replicati nel container che poi troviamo a girare negli ambienti di produzione.

Tenere aggiornate e sicure le base image quindi è un attività non trascurabile, che deve diventare un task  seguito in modo adeguato da qualcuno in azienda togliendolo da altri compiti.

Secure Containers si pone come servizio gestito da parte di SIGHUP e viene erogato con alcune caratteristiche interessanti fra cui :

• un catalogo di immagini completo
• scansioni di sicurezza regolari
• report settimanali sullo stato del catalogo (update, immagini deprecate)
• immagini da fonti verificate prometheus friendly
• supporto in caso di problemi

Se vi interessa un quadro più completo sulle base image e sul perchè è importate metterle in sicurezza potete consultare questo mio articolo dove ne parlo più in profondità. 

Se siete interessati al servizio offerto da SIGHUP, andando al sito dedicato potete trovare ulteriori informazioni,FAQ o essere contattati per aprire il periodo di prova gratuita con cui verificare e testare direttamente il prodotto. 

Snyk, come accontentare Developers e Security officers

Per lavorare nella cybersecurity serve conoscenza della materia, attenzione ai dettagli ed un buon portfolio di tools ai quali affidarsi.

Uno dei tools con cui ho avuto il piacere di lavorare negli ultimi mesi è Snyk.

Chiamarlo tool è riduttivo perchè Snyk è una security plattform che comprende una serie di tools atti a rendere sicuro tutto il codice che potete produrre:

• code (SAST)
• open source (SCA)
• container
• infrastructure as a code
• cloud

Negli ultimi anni le righe di codice sono cresciute esponenzialmente, le librerie open ed i container a disposizione dei developers hanno aumentato la quantità di codice prodotto semplificando il lavoro, ma a che prezzo?

In che modo  si può essere sicuri che oltre ad aver prodotto codice sicuro, non si vada ad incappare in vulnerabilità prodotte da queste risorse? I reparti che si occupano di sicurezza come possono controllare e validare grandi moli di lavoro senza diventare colli di bottiglia che rallentano la "produzione"?

Snyk risponde a queste esigenze, andandosi ad inserire ad esempio in IDE, repository git o pipeline CI/CD e riuscendo a fornire risposte rapide ed efficaci.

Ad esempio Snyk è in grado di aprire pull request dopo scansioni su repository git in modo automatico, andando ad evidenziare le vulnerabilità e proponendo una soluzione.

Per venire incontro alle esigenze degli uffici sicurezza, queste funzionalità sono configurabili centralmente tramite policy che allineano il comportamento dei tools alle specifiche esigenze e è possibile avere report e dashboard per capire rapidamente lo stato della sicurezza dei vari progetti.

Snyk inoltre ha generato il proprio db delle vulnerabilità, che oltre a catalogare i CVE con le varie severity, fornisce quando possibile, esempi e suggerimenti per i developers.

Provarlo è semplice perchè è stato previsto un piano limitato gratuito!

Vi lascio inoltre il link all'articolo pubblicato dal mio collega Luca Bandini che racconta la nostra esperienza con Snyk, utilizzato anche per controllare il codice di Fury, la distrubuzione Kubernetes svilluppata da SIGHUP.