Platform Engineer @Trendyol

Furkan Türkal

Furkan Türkal, likes to design and implement new tech stacks with a deep focus on distributed and low-level systems. Interested in contributing to open source projects, communities and project management. Strong interest in CNCF world! Recently, he has been doing research on Software Supply Chain Security.

Session on DevFest Istanbul

Shielding Your Software Delivery Pipeline: Safeguarding Against Supply Chain Attacks

2021 senesi, Software Supply Chain ataklarının %600 artmasıyla birlikte bu konuya ne kadar dikkat etmemiz gerektiğini hatırlatan bir sene oldu. İlerleyen senelerde de bu atakların %200'lerde artacağından bahsediliyor. Bizlere güvenliğin olsa iyi olur değil, kesinlikle yazılım pratiklerimizde olması gerektiğini ve canlı sistemlerde bunları uygulamamız gerektiğini hatırlatıyor. Bu konunun risklerini ve önemini doğru anlayabilmek için, Beyaz Saray'ın yayınladığı (Executive Order on America's Supply Chains) kanuna bakabiliriz.

Canlı ortamlarda çalışan konteyner'ların nasıl davrandığından haberdar olmamız oldukça zor. Özellikle sıfırıncı-gün CVE'lerin artmasıyla birlikte bunun kontrolünü sağlamak bir hayli önemli bir hal aldı. Bunların güvenliğini sağlamamak veya nasıl sağlanacağı konusuna yatırım yapmamak, şirketlerin güvenliğini zayıflatmakla kalmayıp, aynı zamanda negatif bir etki oluşturacaktır.

Bu etkinlikte, kaynak kodundan başlayıp, canlı sistemlerimize kadar, Software Supply Chain Security prensiplerini anlatacağımız, uygulamalarımızı uygun olarak güvenilir şekilde nasıl inşa edebileceğimiz ve çalışma zamanlarındaki güvenliklerini nasıl sağlayacağımızdan bahsedeceğiz. Konu başlıklarımız ise:

Software Supply Chain Security
Vulnerability Management: 0-CVE Application and Container Image Build
Container Security
Runtime Security
SBOM (Software Bill of Materials)
Reproducible Builds
Software Provenance
Transparency Logs

Subscribe to Devfest Istanbul