Ciao! Sono

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

Contattami

Chi Sono

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

Le Mie Competenze

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

Automazione Processi

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

Sistemi Custom

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

La Mia Missione

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

Democratizzare la Tecnologia

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

Unire Informatica ed Economia

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

Creare Soluzioni su Misura

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

Trasforma la Tua Attività con la Tecnologia

Che tu gestisca un negozio, uno studio professionale o un'azienda, posso aiutarti a sfruttare le potenzialità dell'informatica per lavorare meglio, più velocemente e in modo più intelligente.

Parliamone Insieme →

Unisciti alla Community

Entra nella community di sviluppatori dove discutiamo di software, AI, architettura e DevOps. Condividi idee, fai domande e cresci insieme a noi.

Canale

FC Dev Blog

Ricevi notifiche su nuovi articoli, serie complete, tips settimanali e tool in evidenza. Contenuti bilingui IT/EN direttamente nel tuo Telegram.

Nuovi articoli appena pubblicati
Tips e code snippets settimanali
Sondaggi sugli argomenti futuri

Iscriviti al Canale

Gruppo

FC Dev Community

Una community bilingue IT/EN per sviluppatori. Discussioni, Q&A, aiuto reciproco e networking con altri professionisti del settore.

Discussioni su articoli e tecnologie
Help coding e code review
Opportunità di lavoro e collaborazione

Unisciti al Gruppo

Topic di Discussione

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

Linguaggi & Tecnologie

Java

Python

JavaScript

Angular

React

TypeScript

SQL

PHP

CSS/SCSS

Node.js

Docker

Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

Contattami

Hai un progetto in mente? Parliamone! Compila il form qui sotto e ti risponderò al più presto.

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

CI/CD Security: Proteggere il Processo di Build e Deploy

La pipeline CI/CD e il cuore del processo di delivery del software. Se un attaccante compromette la pipeline, può iniettare codice malevolo in ogni build e deploy successivo. La sicurezza della pipeline non riguarda solo cosa la pipeline testa, ma come la pipeline stessa e protetta da manomissioni.

In questo articolo esploreremo le pratiche per rendere sicura la pipeline CI/CD: dal branch protection ai signed commits, dall'OIDC al least privilege, fino all'audit logging e all'approval workflow per i deploy in produzione.

Cosa Imparerai

Threat model della pipeline CI/CD
Branch protection e code review enforcement
OIDC per l'autenticazione senza secret statici
Least privilege per i runner e i workflow
Signed commits e verificabilita del codice
Deployment approval workflows

Threat Model della Pipeline CI/CD

Per proteggere la pipeline, dobbiamo capire dove sono le superfici di attacco:

Codice sorgente: un contributor malevolo inietta codice in una PR
Dipendenze: una dipendenza compromessa viene installata durante il build
Pipeline configuration: modifica dei workflow file per esfiltrare secret
Runner: compromissione del build agent per persistenza nell'infrastruttura
Artifact: sostituzione dell'artifact build con uno malevolo
Deploy credentials: furto delle credenziali di deploy per accesso diretto all'infrastruttura

Branch Protection Rules

Le branch protection rules sono la prima linea di difesa. Garantiscono che nessun codice raggiunga il branch principale senza review e controlli automatici.

      Configurazione Raccomandata
      
          Regola
          Impostazione
          Motivazione
        
          Require PR reviews
          Minimo 2 approvazioni
          Four-eyes principle
        
          Dismiss stale reviews
          Abilitato
          Invalidare approvazioni dopo push
        
          Require status checks
          SAST, SCA, test, lint
          Gate automatici obbligatori
        
          Require signed commits
          Abilitato
          Verificabilita del contributor
        
          Restrict push access
          Solo bot CI/CD
          Nessun push diretto al main
        
          Require linear history
          Abilitato
          Cronologia pulita e verificabile

Regola	Impostazione	Motivazione
Require PR reviews	Minimo 2 approvazioni	Four-eyes principle
Dismiss stale reviews	Abilitato	Invalidare approvazioni dopo push
Require status checks	SAST, SCA, test, lint	Gate automatici obbligatori
Require signed commits	Abilitato	Verificabilita del contributor
Restrict push access	Solo bot CI/CD	Nessun push diretto al main
Require linear history	Abilitato	Cronologia pulita e verificabile

OIDC: Autenticazione Senza Secret Statici

OpenID Connect (OIDC) permette ai workflow CI/CD di autenticarsi con i cloud provider senza utilizzare secret statici (API key, service account key). Il workflow ottiene un token temporaneo basato sull'identità del repository e del branch.


# .github/workflows/deploy-oidc.yml
name: Deploy with OIDC
on:
  push:
    branches: [main]

permissions:
  id-token: write   # Necessario per OIDC
  contents: read

jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Configure AWS Credentials (OIDC)
        uses: aws-actions/configure-aws-credentials@v4
        with:
          role-to-assume: arn:aws:iam::123456789012:role/github-deploy
          aws-region: eu-west-1
          # Nessun secret! Il token OIDC viene usato automaticamente

      - name: Deploy to AWS
        run: |
          aws s3 sync dist/ s3://my-bucket/
          aws cloudfront create-invalidation --distribution-id E123 --paths "/*"

Least Privilege per Workflow

Ogni workflow GitHub Actions ha permessi predefiniti che possono essere troppo ampi. Il principio del least privilege richiede di limitare i permessi al minimo necessario per ogni job:


# Permessi globali restrittivi
permissions:
  contents: read  # Solo lettura del repository

jobs:
  test:
    runs-on: ubuntu-latest
    # Nessun permesso aggiuntivo per i test
    steps:
      - uses: actions/checkout@v4
      - run: npm test

  deploy:
    needs: test
    runs-on: ubuntu-latest
    permissions:
      id-token: write      # Solo per OIDC
      contents: read
      packages: write      # Solo per push immagini
    environment: production  # Richiede approvazione manuale
    steps:
      - uses: actions/checkout@v4
      - name: Deploy
        run: ./deploy.sh

Signed Commits

I signed commits garantiscono l'identità del contributor attraverso la firma crittografica GPG o SSH. Senza firma, chiunque può creare un commit con un nome e email arbitrari, impersonando altri developer.


# Configurare GPG per signed commits
gpg --full-generate-key
gpg --list-secret-keys --keyid-format=long

# Configurare Git per firmare automaticamente
git config --global user.signingkey YOUR_KEY_ID
git config --global commit.gpgsign true
git config --global tag.gpgsign true

# Alternativa: firmare con SSH key
git config --global gpg.format ssh
git config --global user.signingkey ~/.ssh/id_ed25519.pub
git config --global commit.gpgsign true

Deployment Approval Workflows

I deploy in produzione dovrebbero richiedere approvazione esplicita da parte di persone autorizzate. GitHub Environments permette di configurare approvazioni manuali obbligatorie:


# Deploy con approvazione manuale
jobs:
  deploy-staging:
    runs-on: ubuntu-latest
    environment: staging
    steps:
      - name: Deploy to staging
        run: ./deploy.sh staging

  deploy-production:
    needs: deploy-staging
    runs-on: ubuntu-latest
    environment:
      name: production
      url: https://myapp.com
    # Richiede approvazione da un reviewer designato
    steps:
      - name: Deploy to production
        run: ./deploy.sh production

      - name: Notify team
        run: |
          curl -X POST "#123;{ secrets.SLACK_WEBHOOK }}" \
            -H "Content-Type: application/json" \
            -d '{"text": "Production deploy completed successfully"}'

Pipeline Security Hardening Checklist

Checklist di Sicurezza Pipeline

Branch protection con review obbligatorie e status checks
OIDC invece di secret statici per autenticazione cloud
Permessi workflow minimali (least privilege)
Signed commits obbligatori sul branch principale
Pinning delle action con SHA invece di tag
Ambiente di produzione con approvazione manuale
Audit log attivo per tutte le operazioni CI/CD
Runner self-hosted in rete isolata (se applicabile)
Secret scanning sulla configurazione della pipeline
SBOM generato e firmato ad ogni build

Pinning delle GitHub Actions


# INSICURO: usa un tag mutabile
- uses: actions/checkout@v4

# SICURO: usa il commit SHA (immutabile)
- uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11 # v4.1.1

Best Practice per CI/CD Security

OIDC everywhere: eliminare tutti i secret statici per l'autenticazione ai cloud provider
Minimal permissions: ogni job ha solo i permessi necessari, niente di più
Pin actions by SHA: mai usare tag mutabili per le actions di terze parti
Separate environments: staging e production con configurazioni e approvazioni diverse
Audit everything: log di ogni build, deploy, approvazione e modifica alla pipeline
Ephemeral runners: i runner devono essere ricreati ad ogni job per evitare persistenza

Conclusioni

La sicurezza della pipeline CI/CD e spesso trascurata, ma e un vettore di attacco critico. Una pipeline compromessa può iniettare codice malevolo in ogni build successivo. Con branch protection, OIDC, least privilege e deployment approvals, si costruisce una pipeline resiliente e verificabile.

Nel prossimo articolo esploreremo IaC Scanning, analizzando come validare le configurazioni Terraform, CloudFormation e ARM per prevenire misconfiguration di sicurezza.