Ciao! Sono

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

Contattami

Chi Sono

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

Le Mie Competenze

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

Automazione Processi

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

Sistemi Custom

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

La Mia Missione

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

Democratizzare la Tecnologia

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

Unire Informatica ed Economia

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

Creare Soluzioni su Misura

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

Trasforma la Tua Attività con la Tecnologia

Che tu gestisca un negozio, uno studio professionale o un'azienda, posso aiutarti a sfruttare le potenzialità dell'informatica per lavorare meglio, più velocemente e in modo più intelligente.

Parliamone Insieme →

Unisciti alla Community

Entra nella community di sviluppatori dove discutiamo di software, AI, architettura e DevOps. Condividi idee, fai domande e cresci insieme a noi.

Canale

FC Dev Blog

Ricevi notifiche su nuovi articoli, serie complete, tips settimanali e tool in evidenza. Contenuti bilingui IT/EN direttamente nel tuo Telegram.

Nuovi articoli appena pubblicati
Tips e code snippets settimanali
Sondaggi sugli argomenti futuri

Iscriviti al Canale

Gruppo

FC Dev Community

Una community bilingue IT/EN per sviluppatori. Discussioni, Q&A, aiuto reciproco e networking con altri professionisti del settore.

Discussioni su articoli e tecnologie
Help coding e code review
Opportunità di lavoro e collaborazione

Unisciti al Gruppo

Topic di Discussione

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

Linguaggi & Tecnologie

Java

Python

JavaScript

Angular

React

TypeScript

SQL

PHP

CSS/SCSS

Node.js

Docker

Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

Contattami

Hai un progetto in mente? Parliamone! Compila il form qui sotto e ti risponderò al più presto.

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

06 - Supply Chain Security: npm audit, SBOM e Dependency Management

Il settembre 2025 ha segnato un punto di svolta nella storia della sicurezza software: diciotto pacchetti npm tra i più scaricati al mondo, tra cui chalk, debug e ansi-styles, vengono compromessi attraverso una campagna di phishing mirata ai maintainer. In poche ore, oltre 2,6 miliardi di download settimanali vengono esposti a codice JavaScript obfuscato progettato per intercettare transazioni in criptovaluta. Non si tratta di un attacco alla tua applicazione, ma all'ecosistema che la sostiene.

Questo scenario illustra la natura fondamentale degli attacchi alla supply chain: colpiscono non il codice che scrivi, ma il codice di cui ti fidi. Ogni dipendenza che installi con npm install rappresenta codice scritto da altri, mantenuto da altri, e potenzialmente compromesso da altri. In un progetto Node.js di media dimensione, le dipendenze dirette sono tipicamente 20-50 pacchetti, ma il grafo completo delle dipendenze transitive può raggiungere facilmente le 500-1000 librerie. Stai davvero controllando tutto questo codice?

Secondo OWASP Top 10:2025, la categoria A03: Software and Data Integrity Failures include esplicitamente le supply chain failures come vettore critico. Questa e una delle due nuove categorie introdotte nell'edizione 2025, un riconoscimento esplicito che la sicurezza del codice non può più prescindere dalla sicurezza delle dipendenze. Questo articolo ti fornisce gli strumenti concreti per proteggerti.

Cosa Imparerai

Anatomia di un supply chain attack: typosquatting, dependency confusion, lockfile poisoning
npm audit, yarn audit, pnpm audit: utilizzo avanzato e automazione
Integrita dei lockfile e verifica degli hash con npm ci
SBOM: generazione con CycloneDX e SPDX, standard NTIA
Snyk e Dependabot: monitoraggio continuo delle vulnerabilità
GitHub Actions hardening: SHA-pinning e permissions minime
Container image security: Trivy, Syft e firma con Cosign/Sigstore
Dependency confusion e come difendersi con npm scopes privati

Anatomia di un Supply Chain Attack

Capire come funzionano gli attacchi alla supply chain e il primo passo per difendersi. Esistono diverse categorie principali, ognuna con caratteristiche e vettori di attacco distinti.

Typosquatting: il pericolo di un typo

Il typosquatting sfrutta errori di digitazione comuni. Un attaccante pubblica lodahs (invece di lodash), requst (invece di request), o colerrs (invece di colors). Nel 2025, ricercatori di sicurezza hanno individuato un set di pacchetti typosquattati progettati per mimare librerie popolari che lanciavano terminali nascosti tramite script postinstall per esfiltrare credenziali in modo silenzioso.

La difesa principale e la verifica accurata del nome prima di installare qualsiasi pacchetto. Strumenti come Snyk e Socket.dev analizzano automaticamente la somiglianza dei nomi con pacchetti esistenti e segnalano potenziali typosquatting prima dell'installazione.

Dependency Confusion: lo scope pubblico vs privato

La dependency confusion (o namespace confusion) e un attacco più sofisticato documentato per la prima volta da Alex Birsan nel 2021. L'attaccante pubblica su npm pubblico un pacchetto con lo stesso nome di un pacchetto interno privato dell'azienda target, ma con un numero di versione più alto. npm, per default, risolve la versione più recente dal registro pubblico, portando il pacchetto malevolo a sostituire quello legittimo.

Caso Reale: Dependency Confusion su Larga Scala

Nel 2021, Alex Birsan ha compromesso oltre 35 grandi aziende tra cui Microsoft, Apple, PayPal e Shopify usando questa tecnica, guadagnando più di 130.000 dollari in bug bounty. Il meccanismo era semplice: trovare nomi di pacchetti interni nei file di configurazione pubblici (package.json, pyproject.toml) e pubblicarli con versione 9.9.9 su registri pubblici.

Maintainer Account Takeover

L'attacco più insidioso del 2025 ha dimostrato come il phishing mirato ai maintainer sia diventato il vettore preferito. Una volta compromesso l'account di un maintainer legittimo, l'attaccante pubblica versioni malevole di pacchetti già affidabili. La community si fida del package, i test di sicurezza passano, e il codice malevolo entra in produzione.

Lockfile Poisoning

In un attacco di lockfile poisoning, un contributore malevolo modifica direttamente il package-lock.json o yarn.lock in una pull request per puntare a versioni compromesse o hash diversi da quelli attesi. Se il processo di review non include la verifica del lockfile, il codice malevolo passa inosservato.

npm audit: Utilizzo Avanzato

npm audit e il punto di partenza, ma usarlo correttamente richiede più di una semplice esecuzione. Vediamo come integrarlo in modo efficace nel workflow di sviluppo.

# Audit base con output JSON per processing automatico
npm audit --json

# Audit solo production dependencies (esclude devDependencies)
npm audit --omit=dev

# Fissa automaticamente le vulnerabilità patchabili
npm audit fix

# Fix anche di breaking changes (usare con cautela)
npm audit fix --force

# Audit con soglia di severita: exit code 1 se ci sono critical
npm audit --audit-level=critical

# Audit con soglia moderate
npm audit --audit-level=moderate

# Output in formato per CI/CD
npm audit --json | jq '.metadata.vulnerabilities'

Per un progetto con molte dipendenze, il numero di vulnerabilità può essere elevato e difficile da gestire. Una strategia efficace e configurare un file .npmrc con le policy di audit del progetto, oppure usare npm audit con un file di configurazione di eccezioni.

# .nsprc (Node Security Project configuration)
# Oppure usa audit-resolve.json con npm-audit-resolver

# Installazione di npm-audit-resolver per gestire eccezioni
npm install -g npm-audit-resolver

# Processo interattivo per gestire ogni vulnerabilità
audit-resolve

# Verifica successiva (usa le eccezioni salvate)
audit-resolve --ci

# Script package.json per CI sicuro
# package.json
{
  "scripts": {
    "audit:ci": "npm audit --audit-level=high --omit=dev",
    "audit:full": "npm audit --json > audit-report.json",
    "audit:check": "npm audit --audit-level=critical"
  }
}

pnpm audit e yarn audit

Se usi pnpm o yarn, i comandi di audit sono simili ma con alcune differenze importanti. pnpm offre un controllo più granulare sulle dipendenze, mentre yarn v2/v3 (Berry) ha migliorato significativamente la gestione degli hash.

# pnpm audit
pnpm audit
pnpm audit --audit-level high
pnpm audit --prod  # solo production

# yarn audit (classic v1)
yarn audit
yarn audit --level high

# yarn audit (Berry v2/v3)
yarn npm audit
yarn npm audit --severity high

# Output JSON per processing
pnpm audit --json | jq '.advisories | length'

Integrita dei Lockfile: la Prima Linea di Difesa

Il lockfile (package-lock.json, yarn.lock, pnpm-lock.yaml) e fondamentale per la riproducibilità delle build e la sicurezza. Ogni entry nel lockfile include non solo la versione esatta, ma anche l'hash del contenuto del pacchetto.

npm ci vs npm install: una Distinzione Critica

In produzione e CI/CD, usa sempre npm ci invece di npm install. npm ci installa esattamente le versioni specificate nel lockfile, verifica gli hash crittografici di ogni pacchetto, e fallisce se il lockfile e out-of-sync con il package.json. npm install può aggiornare il lockfile silenziosamente.

# CORRETTO per CI/CD: verifica integrita lockfile
npm ci

# Verifica manuale degli hash nel lockfile
# package-lock.json contiene entries come:
# "node_modules/lodash": {
#   "version": "4.17.21",
#   "resolved": "https://registry.npmjs.org/lodash/-/lodash-4.17.21.tgz",
#   "integrity": "sha512-v2kDEe57lecTulaDIuNTPy3Ry4gLGJ6Z1O3vE1krgXZNrsQ+LFTGHVxVjcXPs17LhbZboqV76wE2wDvQ6",
# }

# Verifica che il lockfile non sia stato modificato
git diff package-lock.json | head -50

# Pre-commit hook per prevenire modifiche non autorizzate al lockfile
# .husky/pre-commit
#!/bin/sh
if git diff --cached --name-only | grep -q "package-lock.json"; then
  echo "WARNING: package-lock.json modificato. Verifica le dipendenze."
  npm audit --audit-level=high
fi

Configurazione .npmrc per Sicurezza

Il file .npmrc permette di configurare npm con policy di sicurezza che si applicano a tutto il progetto o all'utente corrente.

# .npmrc - configurazione sicurezza progetto

# Richiedi sempre HTTPS per il registro
registry=https://registry.npmjs.org/

# Abilita strict-ssl (default: true, non disabilitare mai!)
strict-ssl=true

# Audit automatico dopo ogni install
audit=true

# Fund messages: disabilita per CI
fund=false

# Usa lockfile (default: true)
package-lock=true

# Per workspace con pacchetti privati su registro Artifactory/Nexus
# @mycompany:registry=https://npm.mycompany.internal/
# //npm.mycompany.internal/:_authToken={NPM_TOKEN}

# Prevenzione dependency confusion: scope sempre sul registro privato
# @internal:registry=https://npm.internal.company.com/

Dependency Confusion: Difendersi con Scopes Privati

La difesa più efficace contro la dependency confusion e assicurarsi che i pacchetti privati usino sempre uno scope dedicato e che npm sia configurato per risolvere quello scope esclusivamente dal registro interno.

# package.json con scope privato corretto
{
  "dependencies": {
    "@mycompany/auth-utils": "^2.1.0",
    "@mycompany/api-client": "^1.5.0"
  }
}

# .npmrc - scope privati sempre sul registro interno
@mycompany:registry=https://npm.mycompany.internal/
//npm.mycompany.internal/:_authToken=#123;INTERNAL_NPM_TOKEN}

# Verifica che un pacchetto @mycompany NON esista su npm pubblico
npm view @mycompany/auth-utils --registry https://registry.npmjs.org/
# Deve restituire 404 - se restituisce un pacchetto, qualcuno ha fatto typosquatting!

# GitHub Actions: verifica automatica assenza pacchetti privati su npm pubblico
# - name: Check private packages not on public npm
#   run: |
#     for pkg in $(cat package.json | jq -r '.dependencies | keys[]' | grep "^@mycompany"); do
#       if npm view $pkg --registry https://registry.npmjs.org/ 2>/dev/null; then
#         echo "ALERT: $pkg trovato su npm pubblico!" && exit 1
#       fi
#     done

SBOM: Software Bill of Materials

Un Software Bill of Materials (SBOM) e un inventario completo e formale di tutti i componenti software in un'applicazione: librerie di terze parti, dipendenze transitive, versioni, licenze e vulnerabilità note. E diventato un requisito de facto per la sicurezza enterprise e, in alcuni settori (governo USA, infrastrutture critiche), e obbligatorio per legge.

I due standard principali sono SPDX (Software Package Data Exchange, Linux Foundation) e CycloneDX (OWASP). SPDX e orientato alla compliance delle licenze, CycloneDX e ottimizzato per la sicurezza e il vulnerability management. Per applicazioni web, CycloneDX e generalmente la scelta migliore.

perchè lo SBOM e Importante

Progetti che usano SBOM per gestire le dipendenze raggiungono una riduzione di 264 giorni nel Mean Time to Remediate (MTTR) per le vulnerabilità critiche rispetto a quelli senza SBOM. In caso di un nuovo CVE (come Log4Shell), lo SBOM permette di identificare in minuti tutti i progetti affetti invece di settimane di analisi manuale.

Generazione SBOM con CycloneDX

# Installazione CycloneDX CLI per Node.js
npm install -g @cyclonedx/cyclonedx-npm

# Generazione SBOM in formato JSON (CycloneDX v1.6)
cyclonedx-npm --output-format json --output-file sbom.json

# Generazione SBOM in formato XML
cyclonedx-npm --output-format xml --output-file sbom.xml

# Con dipendenze di sviluppo escluse
cyclonedx-npm --omit dev --output-format json --output-file sbom-prod.json

# Verifica del SBOM generato
cat sbom.json | jq '.metadata.component.name'
cat sbom.json | jq '.components | length'
cat sbom.json | jq '.vulnerabilities | length'

# Esempio output SBOM JSON (struttura CycloneDX v1.6)
# {
#   "bomFormat": "CycloneDX",
#   "specVersion": "1.6",
#   "serialNumber": "urn:uuid:1a2b3c4d-...",
#   "version": 1,
#   "metadata": {
#     "timestamp": "2026-02-25T10:30:00Z",
#     "tools": [...],
#     "component": {
#       "type": "application",
#       "name": "my-app",
#       "version": "1.0.0"
#     }
#   },
#   "components": [
#     {
#       "type": "library",
#       "name": "express",
#       "version": "4.18.2",
#       "purl": "pkg:npm/express@4.18.2",
#       "hashes": [
#         { "alg": "SHA-256", "content": "abc123..." }
#       ],
#       "licenses": [{ "license": { "id": "MIT" } }]
#     }
#   ]
# }

Generazione SBOM con Syft

Syft di Anchore e uno degli strumenti più completi per la generazione di SBOM, con supporto per container images, filesystem e artefatti npm/pip/go/java.

# Installazione Syft
curl -sSfL https://raw.githubusercontent.com/anchore/syft/main/install.sh | sh -s -- -b /usr/local/bin

# SBOM da directory progetto (formato CycloneDX JSON)
syft dir:. -o cyclonedx-json=sbom.json

# SBOM da container image
syft nginx:latest -o spdx-json=sbom-nginx.json

# SBOM da immagine locale Docker
syft docker:my-app:latest -o cyclonedx-json=sbom.json

# Output in più formati simultaneamente
syft dir:. \
  -o cyclonedx-json=sbom-cdx.json \
  -o spdx-json=sbom-spdx.json \
  -o table

# Filtrare solo componenti npm
syft dir:. -o cyclonedx-json | jq '.components[] | select(.purl | startswith("pkg:npm"))'

Snyk e Dependabot: Monitoraggio Continuo

Il monitoraggio una-tantum non e sufficiente: nuove vulnerabilità vengono scoperte ogni giorno. Snyk e GitHub Dependabot offrono monitoraggio continuo con alert automatici e pull request di aggiornamento.

Snyk CLI e Integrazione

# Installazione Snyk CLI
npm install -g snyk

# Autenticazione
snyk auth

# Test vulnerabilità progetto
snyk test

# Test con soglia: exit 1 se vulnerabilità high/critical
snyk test --severity-threshold=high

# Monitor continuo (invia snapshot a Snyk dashboard)
snyk monitor

# Fix automatico con patch
snyk fix

# Generazione report HTML
snyk test --json | snyk-to-html -o report.html

# Test container image
snyk container test nginx:latest --severity-threshold=high

# Generazione SBOM via Snyk
snyk sbom --format cyclonedx1.6+json

# Integrazione in package.json
# {
#   "scripts": {
#     "security:test": "snyk test --severity-threshold=high",
#     "security:monitor": "snyk monitor",
#     "security:container": "snyk container test $IMAGE_NAME"
#   }
# }

GitHub Dependabot: Configurazione Ottimale

# .github/dependabot.yml
version: 2
updates:
  # npm/Node.js dependencies
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
      day: "monday"
      time: "09:00"
      timezone: "Europe/Rome"
    open-pull-requests-limit: 10
    # Raggruppa aggiornamenti di patch e minor
    groups:
      production-dependencies:
        dependency-type: "production"
        update-types:
          - "minor"
          - "patch"
      dev-dependencies:
        dependency-type: "development"
        update-types:
          - "minor"
          - "patch"
    # Label automatiche per PR
    labels:
      - "dependencies"
      - "security"
    # Revisori automatici
    reviewers:
      - "security-team"
    # Ignora major updates di alcune librerie critiche
    ignore:
      - dependency-name: "webpack"
        update-types: ["version-update:semver-major"]

  # GitHub Actions
  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      interval: "weekly"

GitHub Actions Security: SHA-Pinning e Hardening

Le GitHub Actions rappresentano un vettore di attacco critico alla supply chain. Nel 2024, il compromesso di tj-actions/changed-files ha dimostrato come un'action largamente usata possa essere compromessa e usata per esfiltrare secrets da migliaia di repository. La difesa principale e il SHA-pinning: invece di referenziare un'action per tag (@v4), si usa l'hash immutabile del commit.

# .github/workflows/security-ci.yml
name: Security CI Pipeline

on:
  push:
    branches: [main, develop]
  pull_request:
    branches: [main]

# Permissions minime (principio del minimo privilegio)
permissions:
  contents: read
  security-events: write  # Per upload SARIF a GitHub Security tab

jobs:
  dependency-audit:
    name: Dependency Security Audit
    runs-on: ubuntu-latest
    permissions:
      contents: read

    steps:
      # SHA-pinned: usa hash commit, non tag!
      # actions/checkout@v4 -> SHA esatto del commit
      - name: Checkout code
        uses: actions/checkout@11bd71901bbe5b1630ceea73d27597364c9af683  # v4.2.2

      - name: Setup Node.js
        uses: actions/setup-node@39370e3970a6d050c480ffad4ff0ed4d3fdee5af  # v4.1.0
        with:
          node-version: '22'
          cache: 'npm'

      # Usa npm ci (non npm install) per verifica lockfile
      - name: Install dependencies (strict lockfile)
        run: npm ci --ignore-scripts

      # Audit con exit code per bloccare la build
      - name: npm audit
        run: npm audit --audit-level=high --omit=dev

      # Snyk test (richiede SNYK_TOKEN secret)
      - name: Snyk Security Test
        uses: snyk/actions/node@b98d498629f1c5e3943f89a5c62b5e5d4e2f86c0  # SHA pinned
        env:
          SNYK_TOKEN: #123;{ secrets.SNYK_TOKEN }}
        with:
          args: --severity-threshold=high --fail-on=upgradable

  sbom-generation:
    name: Generate SBOM
    runs-on: ubuntu-latest
    needs: dependency-audit
    permissions:
      contents: write
      id-token: write  # Per OIDC (Sigstore)
      attestations: write

    steps:
      - name: Checkout code
        uses: actions/checkout@11bd71901bbe5b1630ceea73d27597364c9af683  # v4.2.2

      - name: Setup Node.js
        uses: actions/setup-node@39370e3970a6d050c480ffad4ff0ed4d3fdee5af  # v4.1.0
        with:
          node-version: '22'

      - name: Install dependencies
        run: npm ci --ignore-scripts

      - name: Generate SBOM (CycloneDX)
        run: |
          npm install -g @cyclonedx/cyclonedx-npm
          cyclonedx-npm --omit dev --output-format json --output-file sbom.json

      # Attesta il SBOM con OIDC (GitHub native attestation)
      - name: Attest SBOM
        uses: actions/attest-build-provenance@1c608d11d69870c2092266b3f9a6f3abbf17002c  # v1.4.3
        with:
          subject-path: sbom.json

      - name: Upload SBOM as artifact
        uses: actions/upload-artifact@4cec3d8aa04e39d1a68397de0c4cd6fb9dce8ec1  # v4.6.0
        with:
          name: sbom
          path: sbom.json

Anti-Pattern: mai usare tag nelle Actions di terze parti

uses: some-org/some-action@v2 e vulnerabile: se l'account del maintainer viene compromesso, il tag può essere aggiornato per puntare a codice malevolo. Usa sempre il formato uses: some-org/some-action@SHA_HASH # v2.0.0 e includi il tag come commento per la leggibilità. Tool come pinact e action-pins automatizzano questo processo.

Permissions Minime nel Workflow

# Imposta permissions di default a read-only per tutto il workflow
# SEMPRE aggiungere questo al livello top del workflow
permissions:
  contents: read

# Poi concedi permissions aggiuntive solo ai job che le necessitano
jobs:
  build:
    permissions:
      contents: read
      packages: write  # Solo se deve pubblicare su GitHub Packages

  # Esempio job che NON ha bisogno di scrivere
  test:
    permissions:
      contents: read  # Solo lettura

# Variabili d'ambiente: mai hardcodare secrets
# SBAGLIATO:
# env:
#   API_KEY: "sk-prod-abc123"

# CORRETTO: usa sempre GitHub Secrets
# env:
#   API_KEY: #123;{ secrets.API_KEY }}

# Limita anche GITHUB_TOKEN
# SBAGLIATO: permissions non specificati (default read+write)
# CORRETTO: specifica esplicitamente il minimo necessario

Container Image Security

Se la tua applicazione viene deployata in container Docker, la surface di attacco include anche l'immagine base e i pacchetti OS installati. Trivy e Grype sono i principali tool per la scansione di vulnerabilità nelle immagini container.

# Installazione Trivy
curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh -s -- -b /usr/local/bin

# Scansione immagine locale
trivy image my-app:latest

# Solo vulnerabilità CRITICAL e HIGH
trivy image --severity HIGH,CRITICAL my-app:latest

# Output in formato SARIF per GitHub Security tab
trivy image --format sarif --output trivy-results.sarif my-app:latest

# Scansione del filesystem (anche senza Docker)
trivy fs --scanners vuln,secret,misconfig .

# Scansione con SBOM output
trivy image --format cyclonedx --output sbom.json my-app:latest

# Dockerfile best practices: usa immagini distroless
# FROM node:22-alpine AS builder
# WORKDIR /app
# COPY package*.json ./
# RUN npm ci --omit=dev
# COPY . .
# RUN npm run build

# Usa distroless come runtime (superficie minima di attacco)
# FROM gcr.io/distroless/nodejs22-debian12
# COPY --from=builder /app/dist /app
# EXPOSE 3000
# CMD ["/app/server.js"]

# Firma immagine con Cosign/Sigstore
cosign sign --yes my-registry/my-app:latest
# Verifica firma
cosign verify my-registry/my-app:latest --certificate-identity-regexp=".*" --certificate-oidc-issuer="https://accounts.google.com"

Checklist Angular: Supply Chain Security

Per i progetti Angular, esistono considerazioni specifiche legate alla toolchain (Angular CLI, webpack/esbuild, ng-packagr) e all'ecosistema npm.

# Angular Supply Chain Security Checklist

# 1. Verifica la versione di Angular CLI e dipendenze
ng version
npm audit

# 2. Aggiorna Angular alla versione LTS più recente
ng update @angular/core @angular/cli

# 3. Controlla i peer dependencies
npm ls --depth=0

# 4. Identifica dipendenze deprecate
npm outdated

# 5. Usa npm ci in tutti i CI/CD pipeline Angular
npm ci

# 6. Verifica integrità del lockfile prima di ogni build
git diff package-lock.json

# 7. Configura angular.json per production build con source-map disabilitato
# angular.json
# "configurations": {
#   "production": {
#     "sourceMap": false,
#     "optimization": true,
#     "buildOptimizer": true
#   }
# }

# 8. Scansiona le dipendenze Angular specifiche
snyk test --file=package.json

# 9. Genera SBOM del progetto Angular
cyclonedx-npm --output-format json --output-file sbom-angular.json

# 10. Aggiungi Content-Security-Policy nel server Angular SSR
# Per Express server in server.ts:
# app.use((req, res, next) => {
#   res.setHeader('Content-Security-Policy',
#     "default-src 'self'; script-src 'self'");
#   next();
# });

Workflow Completo: Security Gate in CI/CD

Integrare tutti questi strumenti in un security gate coerente garantisce che nessuna build raggiunga la produzione senza aver superato i controlli di sicurezza della supply chain.

# .github/workflows/supply-chain-security.yml
name: Supply Chain Security Gate

on:
  push:
    branches: [main]
  pull_request:
    branches: [main]
  schedule:
    # Esegui ogni giorno alle 6:00 UTC per monitoraggio continuo
    - cron: '0 6 * * *'

permissions:
  contents: read
  security-events: write

jobs:
  security-gate:
    name: Supply Chain Security Gate
    runs-on: ubuntu-latest
    timeout-minutes: 15

    steps:
      - uses: actions/checkout@11bd71901bbe5b1630ceea73d27597364c9af683  # v4.2.2

      - uses: actions/setup-node@39370e3970a6d050c480ffad4ff0ed4d3fdee5af  # v4.1.0
        with:
          node-version: '22'
          cache: 'npm'

      # Verifica integrita lockfile
      - name: Verify lockfile integrity
        run: |
          if [ ! -f "package-lock.json" ]; then
            echo "ERROR: package-lock.json mancante!" && exit 1
          fi
          npm ci --ignore-scripts

      # Audit npm - blocca su HIGH/CRITICAL
      - name: npm audit (production)
        run: npm audit --audit-level=high --omit=dev
        continue-on-error: false

      # Snyk test
      - name: Snyk vulnerability scan
        uses: snyk/actions/node@b98d498629f1c5e3943f89a5c62b5e5d4e2f86c0
        env:
          SNYK_TOKEN: #123;{ secrets.SNYK_TOKEN }}
        with:
          args: --severity-threshold=high --sarif-file-output=snyk.sarif

      # Upload risultati a GitHub Security tab
      - name: Upload Snyk results to GitHub Security
        uses: github/codeql-action/upload-sarif@dd746615b1a4b1e1c5d3b87432fe040f4c04082  # v3.28.0
        with:
          sarif_file: snyk.sarif

      # Genera SBOM
      - name: Generate SBOM
        run: |
          npm install -g @cyclonedx/cyclonedx-npm
          cyclonedx-npm --omit dev \
            --output-format json \
            --output-file sbom-#123;{ github.sha }}.json

      # Salva SBOM come artifact
      - name: Archive SBOM
        uses: actions/upload-artifact@4cec3d8aa04e39d1a68397de0c4cd6fb9dce8ec1  # v4.6.0
        with:
          name: sbom-#123;{ github.sha }}
          path: sbom-#123;{ github.sha }}.json
          retention-days: 90

      # License check
      - name: Check licenses
        run: |
          npx license-checker --onlyAllow 'MIT;Apache-2.0;BSD-2-Clause;BSD-3-Clause;ISC;0BSD' \
            --excludeDevDependencies \
            --json > licenses.json || {
              echo "ALERT: Licenze non conformi trovate!"
              cat licenses.json
              exit 1
            }

Typosquatting Detection Preventivo

Prima di installare qualsiasi nuovo pacchetto, e buona pratica verificarlo con strumenti di analisi dedicati. Socket.dev e uno dei migliori tool per analizzare la sicurezza di un pacchetto npm prima dell'installazione.

# Socket.dev CLI per analisi preventiva
npm install -g @socketsecurity/cli

# Analizza un pacchetto prima di installarlo
socket npm info lodash

# Scansione del progetto esistente
socket scan create --view

# npm-check per pacchetti outdated e typosquatting
npm install -g npm-check
npm-check

# Verifica manuale: controlla chi ha pubblicato il pacchetto
npm view express maintainers
npm view express time  # storia delle pubblicazioni

# Red flags da cercare:
# - Pacchetto pubblicato pochi giorni fa con molti download
# - Maintainer con storia breve
# - Nessuna homepage o repository
# - Scripts postinstall/preinstall sospetti

# Verifica scripts nel package.json della dipendenza
npm view lodash scripts

# Installa senza eseguire lifecycle scripts (postinstall, preinstall)
npm install --ignore-scripts

# Verifica il contenuto del pacchetto prima di usarlo
npm pack lodash --dry-run

Red Flags nei Pacchetti npm

Script postinstall: esegue codice al momento dell'installazione
Accesso a variabili d'ambiente: process.env in un pacchetto che non dovrebbe averne bisogno
Richieste HTTP a domini sconosciuti: nessun pacchetto UI deve fare chiamate di rete al momento dell'install
Dipendenze native (binding): compilano codice C/C++ con accesso al sistema
Versione 0.0.1 con 10M download: impossibile, segnale di manipolazione statistica
Nome simile a pacchetti famosi: controlla sempre su npm.im prima di installare

Conclusioni e Next Steps

La supply chain security non e un'attivita una-tantum ma un processo continuo. Il 2025 ha dimostrato che anche i pacchetti più fidati possono essere compromessi, e che la difesa deve essere stratificata: verifica dei lockfile, audit automatici, SBOM generati ad ogni release, GitHub Actions con SHA-pinning, e monitoraggio continuo con Snyk o Dependabot.

Inizia con i passi più semplici: aggiungi npm audit --audit-level=high al tuo CI/CD, usa sempre npm ci invece di npm install nelle pipeline, e abilita Dependabot sul tuo repository. Questi tre cambiamenti coprono la maggior parte dei vettori di attacco con un investimento minimo di tempo.

Il passo successivo e la generazione di SBOM ad ogni release e l'implementazione di un security gate completo come quello mostrato in questo articolo. Con OWASP A03 Supply Chain Failures ora ufficialmente nel Top 10 2025, questo non e più una nice-to-have: e una responsabilità professionale di ogni developer.

Continua la Serie: Sicurezza Web per Developer

01 - OWASP Top 10 2025: Guida per Developer
02 - XSS, CSRF e CSP: Sicurezza Frontend
03 - SQL Injection e Input Validation: Backend Security
04 - Autenticazione Sicura: Session e Cookie
05 - API Security: OAuth 2.1, JWT e Rate Limiting
06 - Supply Chain Security: npm audit e SBOM (questo articolo)
07 - Errori Crittografici: Hashing, Encryption e Token
08 - DevSecOps per Developer: SAST, DAST nel CI/CD

Approfondisci anche la serie DevOps Frontend (IDs 250-255) per integrare la sicurezza nel tuo workflow di deployment.