{"id":27343,"date":"2024-04-29T10:12:11","date_gmt":"2024-04-29T08:12:11","guid":{"rendered":"https:\/\/www.codemotion.com\/magazine\/?p=27343"},"modified":"2024-04-30T11:48:48","modified_gmt":"2024-04-30T09:48:48","slug":"introduzione-alle-minacce-alla-supply-chain","status":"publish","type":"post","link":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/","title":{"rendered":"Introduzione alle minacce alla Supply Chain"},"content":{"rendered":"\n<p>DevSecOps \u00e8 quella\u00a0pratica che integra i test di sicurezza in ogni fase del processo di sviluppo del software. In un panorama complesso come quello odierno, i test di sicurezza sono ormai imprescindibili. A rafforzare questa affermazione, minacce e vulnerabilit\u00e0 recenti, <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-3094\" target=\"_blank\" aria-label=\"come quella scoperta nella libreria xz (opens in a new tab)\" rel=\"noreferrer noopener\" class=\"ek-link\">come quella scoperta nella libreria xz<\/a>, ci fanno riflettere su quanto sia esposta la nostra Supply Chain. <\/p>\n\n\n\n<p><strong>Quali sono, per\u00f2, le minacce a cui siamo esposti, quando consideriamo la Supply Chain?<\/strong> Vediamoli insieme, per poter comprendere insieme a cosa siamo esposti quotidianamente. <strong>E se vuoi approfondire, <a aria-label=\"il 15 maggio, durante la mia Masterclass (opens in a new tab)\" href=\"https:\/\/masterclass.codemotion.com\/palama_240514\/\" target=\"_blank\" rel=\"noreferrer noopener\" class=\"ek-link\">il 15 maggio, durante la mia Masterclass<\/a><\/strong>, vedremo anche quali azioni mettere in campo per cercare di mitigare queste minacce.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-che-cosa-si-intende-per-supply-nbsp-chain\">Che cosa si intende per \u201cSupply&nbsp;chain\u201d<\/h3>\n\n\n\n<p>Nello sviluppo del software, per Supply Chain si intendono tutti i processi e componenti che contribuiscono alla realizzazione dell&#8217;applicazione software finale. Non si tratta di un movimento fisico di merci, ma piuttosto del flusso di informazioni, codice, librerie e strumenti:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Codice:<\/strong> il cuore del software, costituito dal codice ad hoc scritto per soddisfare i requisiti di business;<\/li>\n\n\n\n<li><strong>Dipendenze:<\/strong> tutti i componenti esterni come librerie, plugin, codice open-source di cui il nostro software necessita per funzionare;<\/li>\n\n\n\n<li><strong>Strumenti:<\/strong> si tratta degli strumenti e dei processi utilizzati per automatizzare la compilazione, il testing, il deployment e il monitoraggio del software. Include tutti gli strumenti per gestire il progetto, far comunicare le persone all&#8217;interno del team e via dicendo;<\/li>\n\n\n\n<li><strong>Persone:<\/strong> sviluppatori, ingegneri, tester e altri professionisti che lavorano insieme per progettare, scrivere e manutenere il software, sono per forza di cose parte della supply chain;<\/li>\n\n\n\n<li><strong>Documentazione:<\/strong> informazioni. Una documentazione chiara e coincisa permette a chiunque sia coinvolto nello sviluppo di comprendere il codice, i processi e l&#8217;utilizzo di dipendenze.<\/li>\n<\/ul>\n\n\n\n<p>In questo scenario, avere un elevato numero di strumenti allarga la base di attacco che andremo ad esporre. Conseguentemente, i <strong>punti deboli<\/strong> del nostro processo di sviluppo sono numerosi.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-minacce-alla-supply-chain\">Minacce alla Supply chain<\/h3>\n\n\n\n<p>Come accennato inizialmente, conoscere le possibili minacce a cui andiamo incontro ci aiuta ad intraprendere le giuste azioni per mitigare e prevenire degli attacchi. Una classificazione e descrizione standard di queste minacce \u00e8 offerta da <a href=\"https:\/\/slsa.dev\/\" target=\"_blank\" rel=\"noreferrer noopener\">Supply-chain Levels for Software Artifacts<\/a>, conosciuto SLSA (leggi \u201csalsa\u201d). SLSA \u00e8 un framework di sicurezza collaborativo, guidato da un comitato direttivo che vendor neutral (la lista include <a href=\"https:\/\/www.cncf.io\/\" target=\"_blank\" rel=\"noreferrer noopener\">Cloud Native Computing Foundation<\/a>, <a href=\"https:\/\/www.linuxfoundation.org\/\" target=\"_blank\" rel=\"noreferrer noopener\">The Linux Foundation<\/a>, <a href=\"https:\/\/cloud.google.com\/\" target=\"_blank\" rel=\"noreferrer noopener\">Google<\/a>, <a href=\"https:\/\/www.intel.com\/\" target=\"_blank\" rel=\"noreferrer noopener\">Intel<\/a>), impegnato a migliorare l&#8217;ecosistema di sicurezza per chiunque, e parte anche della <a href=\"https:\/\/openssf.org\/\" target=\"_blank\" rel=\"noreferrer noopener\">Open Source Security Foundation<\/a>.<\/p>\n\n\n\n<p>SLSA \u00e8 un insieme di linee guida relative alla sicurezza della supply chain e adottabili in via incrementale. Include delle definizioni, delle checklist, procedure e molti suggerimenti per migliorare complessivamente la sicurezza del nostro software. Queste linee guida definiscono le minacce alla supply chain raggruppandole in tre aree. Inoltre, le linee guida indicano le minacce tramite delle lettere, dalla A alla H, come mostrato in figura.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/cdn-images-1.medium.com\/max\/1600\/1*Rod0pOJtZar4XfcDV1y-gg.png\" alt=\"Le 8 minacce alla Supply Chain, come definite in SLSA: dalla Source phase, dove abbiamo le minacce ai sorgenti A, B e C, alla Build phase, dove abbiamo le minacce alla fase di Build E, F, G e H, alla fase delle Dipendenze, dove abbiamo la minaccia alle Dipendenze D.\"\/><figcaption class=\"wp-element-caption\">Le 8 minacce alla Supply Chain, come definite in SLSA<\/figcaption><\/figure>\n\n\n\n<p>Le tre aree sono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Minacce ai sorgenti, dove troviamo minacce relative al codice sorgente;<\/li>\n\n\n\n<li>Minacce alla fase di Build, dove i problemi possono trovarsi nei tool e nel processo creazione del pacchetto;<\/li>\n\n\n\n<li>Minacce alle Dipendenze, dove troviamo problemi all&#8217;interno delle nostre dipendenze.<\/li>\n<\/ul>\n\n\n\n<p>Andiamo ora nel dettaglio di ognuna di queste arree.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-minacce-ai-sorgenti\">Minacce ai sorgenti<\/h3>\n\n\n\n<p>Nell&#8217;area dedicata alle minacce ai sorgenti troviamo tutte quelle situazioni in cui il codice \u00e8, in qualche modo, compromesso:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>A &#8211; Invio di codice non autorizzato<\/strong>: questa casistica pu\u00f2 capitare, ad esempio, quando si invia del codice bypassando la revisione del codice. Per &#8220;bypassando&#8221; si intende qualsiasi tecnica assicuri che il codice malevolo passi la fase di revisione. Un esempio: ottenere le credenziali del revisore e usarle per autenticarsi nel sistema e approvare le modifiche non autorizzate;<\/li>\n\n\n\n<li><strong>B &#8211; Il repository del codice \u00e8 compromesso<\/strong>: questo \u00e8 il caso in cui \u00e8 il sistema usato per tener traccia delle modifiche al codice ad essere compromesso. Possiamo trovare dettagli di un incidente noto di questo tipo <a href=\"https:\/\/news-web.php.net\/php.internals\/113838\" target=\"_blank\" rel=\"noreferrer noopener\" class=\"ek-link\">a questo link<\/a>. In questo caso, l&#8217;attaccante ha compromesso il server git di PHP, ottenendo la possibilit\u00e0 di modificare arbitrariamente il codice sorgente;<\/li>\n\n\n\n<li><strong>C &#8211; Build effettuata usando codice modificato<\/strong> dopo la revisione. Un attaccante potrebbe ottenere questo risultato, ad esempio, dopo aver compromesso il repository, rendendo ogni mitigazione della minaccia A inutile.<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/masterclass.codemotion.com\/palama_240514\/\" target=\"_blank\" rel=\"noreferrer noopener\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"288\" src=\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/Captura-de-pantalla-2024-04-30-111638-1024x288.png\" alt=\"\" class=\"wp-image-27460\" srcset=\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/Captura-de-pantalla-2024-04-30-111638-1024x288.png 1024w, https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/Captura-de-pantalla-2024-04-30-111638-300x84.png 300w, https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/Captura-de-pantalla-2024-04-30-111638-768x216.png 768w, https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/Captura-de-pantalla-2024-04-30-111638.png 1392w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-minacce-alla-fase-di-build\">Minacce alla fase di Build<\/h3>\n\n\n\n<p>Dopo le minacce al codice sorgente, \u00e8 il turno delle minacce alla fase di build e di deploy. \u00c9 bene tenere a mente che, in questa fase, un attaccante potrebbe comunque aver gi\u00e0 compromesso il codice.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>E &#8211; Compromissione del processo di Build<\/strong>: questo pu\u00f2 succedere quando l&#8217;intera piattaforma dove viene effettuata la Build \u00e8 compromessa. \u00c9 da notare che questa situazione potrebbe essere slegata dalla piattaforma in s\u00e9. In una passata esperienza lavorativa, ho scoperto che un attaccante aveva compromesso una piattaforma di blogging. La compromissione era avvenuta riuscendo ad accedere precedentemente ad una piattaforma di e-learning che aveva una vulnerabilit\u00e0. Entrambe le piattaforme erano sullo stesso web server e l&#8217;attaccante aveva compromesso degli eseguibili di sistema. Ogni chiamata a quegli eseguibili, che normalmente sarebbero stati innocui, risultava in un data leak;<\/li>\n\n\n\n<li><strong>F &#8211; Upload di un pacchetto modificato<\/strong>: l&#8217;attaccante, dopo aver ottenuto accesso al sistema su cui vengono salvati i pacchetti, carica una versione malevola di un pacchetto. Questo attacco \u00e8 rivolto direttamente al pacchetto finale, con modalit\u00e0 simili al caso in cui si invia del codice malevolo e lo si approva. Nuovamente, \u00e8 abbastanza frequente che la causa principale di questa minaccia siano delle credenziali trapelate, per errore o meno;<\/li>\n\n\n\n<li><strong>G &#8211; Compromissione del registro di pacchetti<\/strong>: in maniera simile a quanto accade per la minaccia E, in questa casistica l&#8217;attacco compromette la piattaforma del registro di pacchetti. Nel 2008, un team di ricercatori dell&#8217;Universit\u00e0 dell&#8217;Arizona <a href=\"https:\/\/theupdateframework.io\/papers\/attacks-on-package-managers-ccs2008.pdf\" target=\"_blank\" rel=\"noreferrer noopener\" class=\"ek-link\">riusc\u00ec ad attivare dei mirror per diversi registri di pacchetti molto conosciuti<\/a>. Il team ottenne che gli utilizzatori di quei registri iniziarono a scaricare pacchetti dai mirror. Un attaccante avrebbe potuto utilizzare questo approccio per distribuire pacchetti malevoli;<\/li>\n\n\n\n<li><strong>H &#8211; Utilizzo di un pacchetto compromesso<\/strong>: arrivati in questa fase, del codice o un pacchetto malevoli sono pronti ad essere utilizzati, e quando questo accade, l&#8217;attacco \u00e8 praticamente in corso. Un caso d&#8217;uso \u00e8 l&#8217;attacco <a href=\"https:\/\/blog.sonatype.com\/damaging-linux-mac-malware-bundled-within-browserify-npm-brandjack-attempt\" target=\"_blank\" rel=\"noreferrer noopener\" class=\"ek-link\">Browserify typosquatting<\/a>. L&#8217;attaccante aveva creato un pacchetto che, oltre a simulare il comportamento del pacchetto originario, si chiamava in maniera molto simile. Situazioni del genere sono molto difficili da individuare senza una pratica di mitigazione adeguata.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-minacce-alle-dipendenze\">Minacce alle Dipendenze<\/h3>\n\n\n\n<p>Infine, e non certo per importanza, ci sono le dipendenze:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>D &#8211; Compromissione delle dipendenze<\/strong>: Quando una delle minacce precedenti non \u00e8 affrontata correttamente e il pacchetto malevolo viene utilizzato, questo potrebbe essere una dipendenza per un altro sistema. Quello che si ottiene \u00e8 un attacco al sistema che utilizza la dipendenza, passando per la compromissione di un componente che si pensava sicuro. Siamo nel caso specifico di xz: l&#8217;attaccante ha utilizzato la minaccia A per iniettare del codice malevolo. Il codice poteva attivare un pacchetto malevolo, iniettato usando la minaccia F. Quando il pacchetto compromesso \u00e8 stato rilasciato, sarebbe potuto essere utilizzato da chiunque come dipendenza.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-minacce-aggiuntive-identificate-da-nbsp-google\">Minacce aggiuntive identificate da&nbsp;Google<\/h3>\n\n\n\n<p>In aggiunta alle minacce che SLSA elenca come possibili quando si parla di vulnerabilit\u00e0 della Supply chain, Google <a href=\"https:\/\/cloud.google.com\/software-supply-chain-security\/docs\/attack-vectors\" target=\"_blank\" rel=\"noreferrer noopener\" class=\"ek-link\">considera anche vettori di attacco addizionali<\/a>, che io personalmente considero piuttosto frequenti e molto importanti:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>1 &#8211; Scrittura di codice non sicuro<\/strong>: quante volte? Se penso a quando ho iniziato a scrivere codice, ricordo tante volte in cui ho scritto codice poco sicuro, anche se non intenzionalmente. La formazione in questi casi \u00e8 molto importante, ma possiamo implementare anche sistemi che eseguano dei controlli per noi;<\/li>\n\n\n\n<li><strong>2 &#8211; Compromissione del processo di rilascio<\/strong>: in maniera simile alla minaccia E, ma questa volta \u00e8 l&#8217;intero sistema di rilascio ad essere compromesso. Ad esempio, un sistema compromesso potrebbe iniettare un sidecar container all&#8217;interno dei nostri pod;<\/li>\n\n\n\n<li><strong>3 &#8211; Rilascio di software compromesso o non conforme<\/strong>: come per la minaccia H, questo \u00e8 il passo finale, quando l&#8217;attacco ha effetto dopo aver compromesso il processo di rilascio;<\/li>\n\n\n\n<li><strong>4 &#8211; Vulnerabilit\u00e0 e configurazioni errate in software in esecuzione<\/strong>: in alcuni casi, sono le configurazioni ad essere malevole o vulnerabili, e possono essere utilizzate come vettore d&#8217;attacco. Un esempio su tutti? Beh, quante volte <a href=\"https:\/\/docs.docker.com\/develop\/develop-images\/instructions\/#user\" target=\"_blank\" rel=\"noreferrer noopener\" class=\"ek-link\">impostiamo l&#8217;utente ad uno non-root<\/a> all&#8217;interno dei nostri Dockerfiles? Dovremmo, ed \u00e8 a tutti gli effetti una delle best practices pi\u00f9 importanti.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-prossimi-passi-mitigazioni\">Prossimi passi: mitigazioni<\/h3>\n\n\n\n<p>Abbiamo visto quali sono le minacce a cui siamo esposti quando parliamo di Supply chain (praticamente sempre). Ancora, abbiamo visto alcuni esempi di scenari reali in cui queste minacce si sono trasformate in attacchi. E ora? Come possiamo affrontare queste minacce e mitigarle?<\/p>\n\n\n\n<p>SLSA offre una serie di casi d&#8217;uso, principi e suggerimenti su come applicare delle mitigazioni per ognuna di queste minacce. In dei prossimi articoli approfondir\u00f2 questi aspetti, fornendo anche delle implementazioni di riferimento per Google Cloud Platform.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>DevSecOps \u00e8 quella\u00a0pratica che integra i test di sicurezza in ogni fase del processo di sviluppo del software. In un panorama complesso come quello odierno, i test di sicurezza sono ormai imprescindibili. A rafforzare questa affermazione, minacce e vulnerabilit\u00e0 recenti, come quella scoperta nella libreria xz, ci fanno riflettere su quanto sia esposta la nostra&#8230; <a class=\"more-link\" href=\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/\">Read more<\/a><\/p>\n","protected":false},"author":247,"featured_media":27400,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_editorskit_title_hidden":false,"_editorskit_reading_time":0,"_editorskit_is_block_options_detached":false,"_editorskit_block_options_position":"{}","_uag_custom_page_level_css":"","_genesis_hide_title":false,"_genesis_hide_breadcrumbs":false,"_genesis_hide_singular_image":false,"_genesis_hide_footer_widgets":false,"_genesis_custom_body_class":"","_genesis_custom_post_class":"","_genesis_layout":"","footnotes":""},"categories":[10228],"tags":[12063],"collections":[11708],"class_list":{"0":"post-27343","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-cybersecurity-it","8":"tag-supply-chain","9":"collections-dalla-community","10":"entry"},"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v26.9 (Yoast SEO v26.9) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Introduzione alle minacce alla Supply Chain - Codemotion Magazine<\/title>\n<meta name=\"description\" content=\"La vulnerabilit\u00e0 in xz scoperta di recente pone l&#039;urgenza sul conoscere cosa sono le minacce alla supply chain, quali sono e come mitigarle.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Introduzione alle minacce alla Supply Chain\" \/>\n<meta property=\"og:description\" content=\"La vulnerabilit\u00e0 in xz scoperta di recente pone l&#039;urgenza sul conoscere cosa sono le minacce alla supply chain, quali sono e come mitigarle.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/\" \/>\n<meta property=\"og:site_name\" content=\"Codemotion Magazine\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/Codemotion.Italy\/\" \/>\n<meta property=\"article:published_time\" content=\"2024-04-29T08:12:11+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-04-30T09:48:48+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1280\" \/>\n\t<meta property=\"og:image:height\" content=\"767\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"gregoriopalama\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@gregoriopalama\" \/>\n<meta name=\"twitter:site\" content=\"@CodemotionIT\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"gregoriopalama\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"7 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/\"},\"author\":{\"name\":\"gregoriopalama\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#\/schema\/person\/346a4ef48c9a5d866a20bba8aa2b14ce\"},\"headline\":\"Introduzione alle minacce alla Supply Chain\",\"datePublished\":\"2024-04-29T08:12:11+00:00\",\"dateModified\":\"2024-04-30T09:48:48+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/\"},\"wordCount\":1436,\"publisher\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png\",\"keywords\":[\"supply chain\"],\"articleSection\":[\"Cybersecurity\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/\",\"url\":\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/\",\"name\":\"Introduzione alle minacce alla Supply Chain - Codemotion Magazine\",\"isPartOf\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png\",\"datePublished\":\"2024-04-29T08:12:11+00:00\",\"dateModified\":\"2024-04-30T09:48:48+00:00\",\"description\":\"La vulnerabilit\u00e0 in xz scoperta di recente pone l'urgenza sul conoscere cosa sono le minacce alla supply chain, quali sono e come mitigarle.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#primaryimage\",\"url\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png\",\"contentUrl\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png\",\"width\":1280,\"height\":767,\"caption\":\"supply chain minacce\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.codemotion.com\/magazine\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Cybersecurity\",\"item\":\"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Introduzione alle minacce alla Supply Chain\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#website\",\"url\":\"https:\/\/www.codemotion.com\/magazine\/\",\"name\":\"Codemotion Magazine\",\"description\":\"We code the future. Together\",\"publisher\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.codemotion.com\/magazine\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#organization\",\"name\":\"Codemotion\",\"url\":\"https:\/\/www.codemotion.com\/magazine\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2019\/11\/codemotionlogo.png\",\"contentUrl\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2019\/11\/codemotionlogo.png\",\"width\":225,\"height\":225,\"caption\":\"Codemotion\"},\"image\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/Codemotion.Italy\/\",\"https:\/\/x.com\/CodemotionIT\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#\/schema\/person\/346a4ef48c9a5d866a20bba8aa2b14ce\",\"name\":\"gregoriopalama\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/palama-100x100.png\",\"contentUrl\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/palama-100x100.png\",\"caption\":\"gregoriopalama\"},\"description\":\"I have been working in the IT industry for over 15 years. I currently deal with DevOps issues, Cloud Engineering, Cloud Native and everything that revolves around containerization and serverless at Lutech. I am Google Cloud Innovator Champion on the topic of modern architecture. I manage GDG Pescara together with other developers, I love sharing my knowledge and trying to do it in a fun way.\",\"sameAs\":[\"https:\/\/www.linkedin.com\/in\/gregorio-palam\/\",\"https:\/\/x.com\/gregoriopalama\"],\"url\":\"https:\/\/www.codemotion.com\/magazine\/author\/gregoriopalama\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Introduzione alle minacce alla Supply Chain - Codemotion Magazine","description":"La vulnerabilit\u00e0 in xz scoperta di recente pone l'urgenza sul conoscere cosa sono le minacce alla supply chain, quali sono e come mitigarle.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/","og_locale":"en_US","og_type":"article","og_title":"Introduzione alle minacce alla Supply Chain","og_description":"La vulnerabilit\u00e0 in xz scoperta di recente pone l'urgenza sul conoscere cosa sono le minacce alla supply chain, quali sono e come mitigarle.","og_url":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/","og_site_name":"Codemotion Magazine","article_publisher":"https:\/\/www.facebook.com\/Codemotion.Italy\/","article_published_time":"2024-04-29T08:12:11+00:00","article_modified_time":"2024-04-30T09:48:48+00:00","og_image":[{"width":1280,"height":767,"url":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png","type":"image\/png"}],"author":"gregoriopalama","twitter_card":"summary_large_image","twitter_creator":"@gregoriopalama","twitter_site":"@CodemotionIT","twitter_misc":{"Written by":"gregoriopalama","Est. reading time":"7 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#article","isPartOf":{"@id":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/"},"author":{"name":"gregoriopalama","@id":"https:\/\/www.codemotion.com\/magazine\/#\/schema\/person\/346a4ef48c9a5d866a20bba8aa2b14ce"},"headline":"Introduzione alle minacce alla Supply Chain","datePublished":"2024-04-29T08:12:11+00:00","dateModified":"2024-04-30T09:48:48+00:00","mainEntityOfPage":{"@id":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/"},"wordCount":1436,"publisher":{"@id":"https:\/\/www.codemotion.com\/magazine\/#organization"},"image":{"@id":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#primaryimage"},"thumbnailUrl":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png","keywords":["supply chain"],"articleSection":["Cybersecurity"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/","url":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/","name":"Introduzione alle minacce alla Supply Chain - Codemotion Magazine","isPartOf":{"@id":"https:\/\/www.codemotion.com\/magazine\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#primaryimage"},"image":{"@id":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#primaryimage"},"thumbnailUrl":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png","datePublished":"2024-04-29T08:12:11+00:00","dateModified":"2024-04-30T09:48:48+00:00","description":"La vulnerabilit\u00e0 in xz scoperta di recente pone l'urgenza sul conoscere cosa sono le minacce alla supply chain, quali sono e come mitigarle.","breadcrumb":{"@id":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#primaryimage","url":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png","contentUrl":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png","width":1280,"height":767,"caption":"supply chain minacce"},{"@type":"BreadcrumbList","@id":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/introduzione-alle-minacce-alla-supply-chain\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.codemotion.com\/magazine\/"},{"@type":"ListItem","position":2,"name":"Cybersecurity","item":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/"},{"@type":"ListItem","position":3,"name":"Introduzione alle minacce alla Supply Chain"}]},{"@type":"WebSite","@id":"https:\/\/www.codemotion.com\/magazine\/#website","url":"https:\/\/www.codemotion.com\/magazine\/","name":"Codemotion Magazine","description":"We code the future. Together","publisher":{"@id":"https:\/\/www.codemotion.com\/magazine\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.codemotion.com\/magazine\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/www.codemotion.com\/magazine\/#organization","name":"Codemotion","url":"https:\/\/www.codemotion.com\/magazine\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.codemotion.com\/magazine\/#\/schema\/logo\/image\/","url":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2019\/11\/codemotionlogo.png","contentUrl":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2019\/11\/codemotionlogo.png","width":225,"height":225,"caption":"Codemotion"},"image":{"@id":"https:\/\/www.codemotion.com\/magazine\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/Codemotion.Italy\/","https:\/\/x.com\/CodemotionIT"]},{"@type":"Person","@id":"https:\/\/www.codemotion.com\/magazine\/#\/schema\/person\/346a4ef48c9a5d866a20bba8aa2b14ce","name":"gregoriopalama","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.codemotion.com\/magazine\/#\/schema\/person\/image\/","url":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/palama-100x100.png","contentUrl":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/palama-100x100.png","caption":"gregoriopalama"},"description":"I have been working in the IT industry for over 15 years. I currently deal with DevOps issues, Cloud Engineering, Cloud Native and everything that revolves around containerization and serverless at Lutech. I am Google Cloud Innovator Champion on the topic of modern architecture. I manage GDG Pescara together with other developers, I love sharing my knowledge and trying to do it in a fun way.","sameAs":["https:\/\/www.linkedin.com\/in\/gregorio-palam\/","https:\/\/x.com\/gregoriopalama"],"url":"https:\/\/www.codemotion.com\/magazine\/author\/gregoriopalama\/"}]}},"featured_image_src":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8-600x400.png","featured_image_src_square":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8-600x600.png","author_info":{"display_name":"gregoriopalama","author_link":"https:\/\/www.codemotion.com\/magazine\/author\/gregoriopalama\/"},"uagb_featured_image_src":{"full":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png",1280,767,false],"thumbnail":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8-150x150.png",150,150,true],"medium":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8-300x180.png",300,180,true],"medium_large":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8-768x460.png",768,460,true],"large":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8-1024x614.png",1024,614,true],"1536x1536":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png",1280,767,false],"2048x2048":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8.png",1280,767,false],"small-home-featured":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8-100x100.png",100,100,true],"sidebar-featured":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8-180x128.png",180,128,true],"genesis-singular-images":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8-896x504.png",896,504,true],"archive-featured":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8-400x225.png",400,225,true],"gb-block-post-grid-landscape":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8-600x400.png",600,400,true],"gb-block-post-grid-square":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/04\/image-8-600x600.png",600,600,true]},"uagb_author_info":{"display_name":"gregoriopalama","author_link":"https:\/\/www.codemotion.com\/magazine\/author\/gregoriopalama\/"},"uagb_comment_info":0,"uagb_excerpt":"DevSecOps \u00e8 quella\u00a0pratica che integra i test di sicurezza in ogni fase del processo di sviluppo del software. In un panorama complesso come quello odierno, i test di sicurezza sono ormai imprescindibili. A rafforzare questa affermazione, minacce e vulnerabilit\u00e0 recenti, come quella scoperta nella libreria xz, ci fanno riflettere su quanto sia esposta la nostra&#8230;&hellip;","lang":"it","_links":{"self":[{"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/posts\/27343","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/users\/247"}],"replies":[{"embeddable":true,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/comments?post=27343"}],"version-history":[{"count":3,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/posts\/27343\/revisions"}],"predecessor-version":[{"id":27469,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/posts\/27343\/revisions\/27469"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/media\/27400"}],"wp:attachment":[{"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/media?parent=27343"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/categories?post=27343"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/tags?post=27343"},{"taxonomy":"collections","embeddable":true,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/collections?post=27343"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}