Sr. Platform Engineer @Trendyol

Batuhan Apaydın

Batuhan Apaydın a.k.a. developer-guy has been very active in Software Supply Chain Security space. He is eager to learn more about it in all aspects because he know this topic will become one of the upmost critical topics that everybody has to be concerned. Towards that direction, he won the “Best Sigstore Evangelist” award and wrote a blog post about it to encourage to the next one and took an active role in first-ever SigstoreCon by being one of the Program Commitee members of the event and created a Twitter Community about Software Supply Chain Security and that community is now about 500+ people joined. He also tries to be active in the Turkey by organizing in-person, virtual meetups, workshops. He is the organizer of the two important organization in Turkey named DevOpsTr, CNCF Istanbul Chapter, Cloud Native Turkiye. He is also one of the organizers of the KCD Turkey. He is also an active contributor of several CNCF projects including ko, Flux, and Kyverno. He also enjoys writing technical blog posts and wrote 10+ blog posts and all of them are published on important official websites including Kyverno, CD Foundation, Flux, Sigstore, etc.

Session on DevFest Istanbul

Shielding Your Software Delivery Pipeline: Safeguarding Against Supply Chain Attacks

2021 senesi, Software Supply Chain ataklarının %600 artmasıyla birlikte bu konuya ne kadar dikkat etmemiz gerektiğini hatırlatan bir sene oldu. İlerleyen senelerde de bu atakların %200'lerde artacağından bahsediliyor. Bizlere güvenliğin olsa iyi olur değil, kesinlikle yazılım pratiklerimizde olması gerektiğini ve canlı sistemlerde bunları uygulamamız gerektiğini hatırlatıyor. Bu konunun risklerini ve önemini doğru anlayabilmek için, Beyaz Saray'ın yayınladığı (Executive Order on America's Supply Chains) kanuna bakabiliriz.

Canlı ortamlarda çalışan konteyner'ların nasıl davrandığından haberdar olmamız oldukça zor. Özellikle sıfırıncı-gün CVE'lerin artmasıyla birlikte bunun kontrolünü sağlamak bir hayli önemli bir hal aldı. Bunların güvenliğini sağlamamak veya nasıl sağlanacağı konusuna yatırım yapmamak, şirketlerin güvenliğini zayıflatmakla kalmayıp, aynı zamanda negatif bir etki oluşturacaktır.

Bu etkinlikte, kaynak kodundan başlayıp, canlı sistemlerimize kadar, Software Supply Chain Security prensiplerini anlatacağımız, uygulamalarımızı uygun olarak güvenilir şekilde nasıl inşa edebileceğimiz ve çalışma zamanlarındaki güvenliklerini nasıl sağlayacağımızdan bahsedeceğiz. Konu başlıklarımız ise:

Software Supply Chain Security
Vulnerability Management: 0-CVE Application and Container Image Build
Container Security
Runtime Security
SBOM (Software Bill of Materials)
Reproducible Builds
Software Provenance
Transparency Logs

Subscribe to Devfest Istanbul