Oggi il software viene assemblato più che scritto: circa il 90% di un'applicazione moderna è composto da librerie esterne. Se domani uscisse una vulnerabilità critica come Log4Shell, quanto tempo impieghereste a identificare ogni singolo microservizio a rischio? Mentre le grandi aziende si affidano a costose licenze "Enterprise", le PMI e i team indipendenti rischiano di restare scoperti.
In questo talk vedremo come democratizzare la Software Supply Chain Security (SSCS) costruendo un perimetro di difesa automatizzato a costo zero. Attraverso una Live Demo basata su un prototipo in Docker, esploreremo un'architettura reale che integra:
• GitLab Community Edition per l'orchestrazione delle pipeline.
• Trivy e cdxgen per la generazione automatica di SBOM (Software Bill of Materials) in formato CycloneDX.
• OWASP Dependency-Track per l'analisi continua e proattiva delle vulnerabilità.
Andremo oltre la semplice scansione: vedremo come utilizzare l'Intelligenza Artificiale per l'analisi di raggiungibilità del codice, generando file VEX per eliminare i falsi positivi e concentrarsi solo sui rischi reali. Infine, analizzeremo come questo approccio ci prepari alla conformità con il Cyber Resilience Act (CRA) dell'UE