Apr 18, 4:30 – 7:30 PM (UTC)
Bonjour à toutes et à tous!
Nous remercions notre sponsors GitGuardian d'accueillir notre meetup ! Rejoignez-nous pour une soirée de discussions passionnantes autour d'un verre, le tout dans une ambiance conviviale. Nous vous attendons avec impatience !
===
Agenda
Première intervention - Projet Carvel: le couteau Suisse du déploiement sur Kubernetes - Daniel Garnier-Moiroux 🎤
Déployer ses apps sur Kubernetes, problème résolu? Plein de fois, même! Templating, déploiement, résolution d'images, gitops, gestion de "packages", il y a myriades d'outils pour répondre au problème.
Carvel est un projet CNCF au stade "Sandbox". Plutôt que de vouloir tout remplacer d'un coup, le projet propose une approche "couteau suisse": sept outils qui font chacun une seule chose, et le font bien. Dans la lignée de la philosophie Unix, on peut les "composer", l'output d'un outil servant d'input au suivant. Et comme ils sont petits, ils peuvent s'intégrer à des workflows existants, par exemple avec Helm ou Kustomize.
Dans cette session, vous découvrirez les outils du portfolio Carvel, via quelques slides et beaucoup de live-coding. Nous packagerons une appli pour Kubernetes, avec sa configuration, depuis un fichier .yml vide jusqu'à une distribution sous forme de "package" installable. Vous en ressortirez avec un ou plusieurs nouveaux outils pour vos workflows de tous les jours!
Daniel est ingénieur chez VMware, dans les équipes Spring Commercial. Il développe des solutions dans le domaine de la gestion d'identité et du Single-Sign On. Il enseigne également l'ingénierie informatique aux Mines de Paris. Dans sa carrière, il a également été tech lead et consultant. Daniel contribue aux projets Spring Security. Il a un intérêt marqué pour l'automatisation et, plus généralement, la productivité dans l'ingénierie logicielle.
Deuxième intervention - Attacking the supply chain in a cloud-native world - Kayssar Daher 🎤
Software supply chain attacks have become alarmingly more prominent over the past years since cloud native applications have dominated the market. Successful exploits have changed the economics adversaries use allowing them to conduct more sophisticated attacks which have wide-reaching implementations. This presentation will focus on exactly how adversaries target and exploit the software supply chain as we recreate many of the steps taken, and learn what defensive measures to take to prevent their own supply chain incidents.Using the SLSA framework we examine how the software supply chain is built in a cloud native world. Leveraging this we explain why this has drastically changed the financial risk and reward structure that drives malicious actors allowing them to invest more time and resources into attacking the supply chain.Next, we take a practical, technical deep dive into four different methods of attacking the supply chain, these are:
- Attacking the CI/CD pipeline
- Breaching the version control systems (VCS)
- Poisoning open-source dependencies
- Abusing AI package halicinations.
For each of these methods we will take a walk through the anatomy of high-profile successful attacks, walking the audience through how initial access was made, how privileges were escalated, and ultimately how the hackers achieved their goals.In the final stretch, we'll synthesize our findings into effective defense strategies, emphasizing the concept of inside-out security, breach detection, and containment.
Kayssar Daher is a security advocate with a passion for Kubernetes and code security.
Today as the Security Lead at GitGuardian, Kayssar is able to share his passion for code security with developers and works closely with research teams to show how malicious actors discover and exploit vulnerabilities in code.
===
Programme:
18.30 – Ouverture des portes ️
18.45 – Mots de bienvenue by CNCF meetup, GitGuardian
19.00 – Première intervention - Projet Carvel: le couteau Suisse du déploiement sur Kubernetes - Daniel Garnier-Moiroux 🎤
19:30 – Deuxième intervention - Attacking the supply chain in a cloud-native world - Kayssar Daher 🎤
20:00 – Food & Drinks 🍕☕️ Moments d'échanges entre les participants 🗣️🙋
21:00 – Fin ! A la prochaine ! 👋
Consentement à la photographie/vidéo :
Durant l'événement, nous serons susceptibles de prendre des photos et des vidéos et de les utiliser pour les médias sociaux et le matériel promotionnel. La participation au meeting-up implique que vous nous donnez votre accord pour que nous vous prenions en photo et en vidéo.
Code de conduite:
Tous les participants sont tenus d'accepter le code de conduite des événements de la CNCF.
Thursday, April 18, 2024
4:30 PM – 7:30 PM (UTC)
CONTACT US