Cześć! Jestem

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

Skontaktuj się

O Mnie

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

Moje Umiejętności

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

Automatyzacja Procesów

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

Systemy Na Zamówienie

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

Moja Misja

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

Demokratyzacja Technologii

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

Łączenie IT i Biznesu

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

Tworzenie Rozwiązań na Miarę

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

Przekształć Swój Biznes z Technologią

Che tu gestisca un negozio, uno studio professionale o un'azienda, posso aiutarti a sfruttare le potenzialità dell'informatica per lavorare meglio, più velocemente e in modo più intelligente.

Porozmawiajmy →

Unisciti alla Community

Entra nella community di sviluppatori dove discutiamo di software, AI, architettura e DevOps. Condividi idee, fai domande e cresci insieme a noi.

Canale

FC Dev Blog

Ricevi notifiche su nuovi articoli, serie complete, tips settimanali e tool in evidenza. Contenuti bilingui IT/EN direttamente nel tuo Telegram.

Nuovi articoli appena pubblicati
Tips e code snippets settimanali
Sondaggi sugli argomenti futuri

Iscriviti al Canale

Gruppo

FC Dev Community

Una community bilingue IT/EN per sviluppatori. Discussioni, Q&A, aiuto reciproco e networking con altri professionisti del settore.

Discussioni su articoli e tecnologie
Help coding e code review
Opportunità di lavoro e collaborazione

Unisciti al Gruppo

Topic di Discussione

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

Linguaggi & Tecnologie

Java

Python

JavaScript

Angular

React

TypeScript

SQL

PHP

CSS/SCSS

Node.js

Docker

Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

Skontaktuj się

Masz projekt? Porozmawiajmy! Wypełnij formularz, a odpowiem wkrótce.

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

Potok wykrywania jako kodu z Git i CI/CD

W 2025 roku tylko 35% zespołów bezpieczeństwa wykorzystuje Systematycznie wykrywanie jako kod, pomimo 63% profesjonalistów deklarujesz, że chcesz go regularnie adoptować. Ta rozbieżność między intencją a praktyką ujawnia prawdziwy problem: większość organizacji nie wie Jak zbuduj solidny rurociąg DaC, który obsłuży cały cykl żywotność reguły wykrywania, od stworzenia do wdrożenia w środowisku produkcyjnym.

Wykrywanie jako kod (DaC) stosuje praktyki inżynierskie oprogramowania do domeny bezpieczeństwa: kontrola wersji, przegląd kodu, testowanie zautomatyzowany potok CI/CD i kontrolowane wdrażanie. Wynik jest jeden drastyczne skrócenie czasu pomiędzy odkryciem nowej techniki ataku oraz wdrożenie skutecznego wykrywania przy zachowaniu zasad jakości mierzalne i możliwe do udoskonalenia w czasie.

Czego dowiesz się w tym artykule

Struktura repozytorium DaC: układ katalogów, konwencja nazewnictwa, schemat
Przepływ pracy w Git: strategia rozgałęziania, konwencja zatwierdzania, przegląd żądania ściągnięcia
Potok akcji GitHub: lint, sprawdzanie poprawności, testowanie, konwertowanie, wdrażanie
Zautomatyzowane testowanie z logami syntetycznymi: pozytywne i negatywne
Bezpieczne wdrożenie w Splunk, Elastic i Sentinel poprzez API
Automatyczne przywracanie zmian i zarządzanie incydentami po wdrożeniu
Metryki jakości: zasięg, odsetek wyników fałszywie dodatnich, częstotliwość wdrażania
Integracja z JIRA/GitHub Problemy ze śledzeniem wykrycia

ponieważ wykrywanie jako kod jest podstawą

Przed DaC typowy proces aktualizacji reguły w SIEM wyglądał następująco: uzyskaj dostęp do konsoli internetowej, znajdź regułę, edytuj ją ręcznie, zapisz, mam nadzieję, że niczego to nie zepsuje. Żadnych poprzednich wersji, żadnych testów, nie peer review, brak możliwości śledzenia zmian. Kiedy zaczęła się reguła generowanie tysięcy fałszywych alarmów o 3 w nocy było niemożliwe do zrozumienia kto co i kiedy zrobił.

DaC przekształca ten chaotyczny proces w coś systematycznego:

Każda reguła jest plikiem tekstowym w wersji Git
Każda zmiana przechodzi przez żądanie ściągnięcia z obowiązkowym sprawdzeniem
Przed połączeniem rurociąg przeprowadza automatyczne testy na kłodach syntetycznych
Wdrożenie następuje tylko wtedy, gdy wszystkie testy zakończą się pomyślnie
W razie problemów przywrócenie ustawień jest prostą sprawą git revert

Struktura Repozytorium DaC

Dobrze zorganizowane repozytorium DaC jest podstawą, na której zbudowane jest wszystko inne. Oto zalecany układ dla organizacji korporacyjnej:

detection-as-code/
├── .github/
│   ├── workflows/
│   │   ├── pr-validation.yml      # Validazione su ogni PR
│   │   ├── main-deploy.yml        # Deploy su merge in main
│   │   └── nightly-test.yml       # Test notturno su staging
│   ├── PULL_REQUEST_TEMPLATE.md
│   └── CODEOWNERS
├── rules/
│   ├── windows/
│   │   ├── credential_access/
│   │   ├── lateral_movement/
│   │   └── persistence/
│   ├── linux/
│   ├── cloud/
│   │   ├── aws/
│   │   ├── azure/
│   │   └── gcp/
│   └── network/
├── tests/
│   ├── fixtures/
│   │   └── windows/
│   │       └── credential_access/
│   │           └── cred_mimikatz_lsass/
│   │               ├── positive/
│   │               └── negative/
│   └── unit/
│       └── test_sigma_rules.py
├── pipelines/
│   ├── splunk_enterprise.yml
│   └── elastic_ecs.yml
├── scripts/
│   ├── validate.py
│   ├── test_runner.py
│   ├── convert.py
│   └── deploy_splunk.py
└── Makefile

Konwencja nazewnictwa i schemat reguł

Spójna i istotna konwencja nazewnictwa zapewniająca nawigację po repozytorium z setkami zasad. Zalecana konwencja nazw plików:

# Pattern: <tactic_prefix>_<technique_name>_<context>.yml
cred_mimikatz_lsass.yml           # credential_access
lat_psexec_remote_execution.yml   # lateral_movement
per_scheduled_task_creation.yml   # persistence
def_timestomp_modification.yml    # defense_evasion
exe_powershell_encoded.yml        # execution
exf_dns_tunneling.yml             # exfiltration
c2_http_beaconing.yml             # command_and_control

Strategia rozgałęzienia dla DaC

# Flusso standard per nuove detection
git checkout -b detection/T1003-lsass-dump-via-procdump
# ... crea/modifica la regola e i test ...
git add rules/windows/credential_access/cred_lsass_procdump.yml
git add tests/fixtures/windows/process_creation/procdump_positive.json
git commit -m "feat(detection): T1003.001 LSASS dump via ProcDump

Adds detection for LSASS memory dump via legitimate ProcDump utility.
ATT&CK: T1003.001 - OS Credential Dumping: LSASS Memory
Severity: high
Test coverage: 3 positive, 2 negative fixtures"

git push origin detection/T1003-lsass-dump-via-procdump

# Flusso hotfix per detection urgenti (attacco in corso)
git checkout -b hotfix/active-incident-lateral-movement-mar2026
git commit -m "hotfix(detection): emergency rule for active APT lateral movement

Active incident response. Incident: INC-2026-0312"

Kompletny potok CI/CD za pomocą akcji GitHub

# .github/workflows/pr-validation.yml
name: Detection Rule Validation

on:
  pull_request:
    paths:
      - 'rules/**/*.yml'
      - 'tests/**'

jobs:
  lint-yaml:
    name: YAML Lint
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Run yamllint
        uses: ibiqlik/action-yamllint@v3
        with:
          file_or_dir: rules/
          config_data: |
            extends: default
            rules:
              line-length:
                max: 120

  validate-schema:
    name: Schema Validation
    runs-on: ubuntu-latest
    needs: lint-yaml
    steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-python@v5
        with:
          python-version: '3.12'
      - run: pip install pyyaml jsonschema sigma-cli

      - name: Validate Sigma schemas
        run: |
          python scripts/validate.py ./rules \
            --schema schemas/sigma_rule_schema.json

      - name: Check UUID uniqueness
        run: python scripts/check_uuid_uniqueness.py ./rules

  unit-tests:
    name: Unit Tests
    runs-on: ubuntu-latest
    needs: validate-schema
    steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-python@v5
        with:
          python-version: '3.12'
      - run: pip install pytest pyyaml sigma-cli pySigma-backend-splunk

      - name: Run detection tests
        run: |
          pytest tests/unit/ \
            -v \
            --tb=short \
            --junit-xml=test-results.xml

  convert-validate:
    name: Conversion Test
    runs-on: ubuntu-latest
    needs: unit-tests
    strategy:
      matrix:
        target: [splunk, elasticsearch, microsoft365defender]
    steps:
      - uses: actions/checkout@v4
      - run: |
          pip install sigma-cli \
            pySigma-backend-splunk \
            pySigma-backend-elasticsearch \
            pySigma-backend-microsoft365defender

      - name: Test conversion to ${{ matrix.target }}
        run: |
          sigma convert -t ${{ matrix.target }} rules/ \
            2>&1 | tee conversion-${{ matrix.target }}.log

# .github/workflows/main-deploy.yml
name: Deploy Detection Rules to Production

on:
  push:
    branches: [main]
    paths: ['rules/**/*.yml']

jobs:
  deploy-splunk:
    runs-on: ubuntu-latest
    environment: production
    steps:
      - uses: actions/checkout@v4
        with:
          fetch-depth: 2

      - name: Identify changed rules
        id: changed-rules
        run: |
          CHANGED=$(git diff --name-only HEAD~1 HEAD -- 'rules/**/*.yml')
          echo "files=$CHANGED" >> $GITHUB_OUTPUT

      - name: Convert changed rules
        run: |
          pip install sigma-cli pySigma-backend-splunk
          echo "${{ steps.changed-rules.outputs.files }}" | while read rule; do
            [ -f "$rule" ] && sigma convert -t splunk -p splunk_windows "$rule" \
              >> converted.spl
          done

      - name: Deploy to Splunk via REST API
        env:
          SPLUNK_HOST: ${{ secrets.SPLUNK_HOST }}
          SPLUNK_TOKEN: ${{ secrets.SPLUNK_TOKEN }}
        run: |
          python scripts/deploy_splunk.py \
            --rules-file converted.spl \
            --host "$SPLUNK_HOST" \
            --token "$SPLUNK_TOKEN" \
            --dry-run false

      - name: Notify on failure
        if: failure()
        uses: actions/github-script@v7
        with:
          script: |
            github.rest.issues.create({
              owner: context.repo.owner,
              repo: context.repo.repo,
              title: 'DEPLOY FAILURE: Detection rules deployment failed',
              body: 'Run: ' + context.serverUrl + '/' +
                    context.repo.owner + '/' + context.repo.repo +
                    '/actions/runs/' + context.runId,
              labels: ['incident', 'deployment-failure']
            })

Ramy testowania reguł wykrywania

Testowanie jest sercem DaC. Oto kompletny framework testowy Pythona:

#!/usr/bin/env python3
"""Detection Rule Test Framework."""
import json
import yaml
import pytest
import subprocess
from pathlib import Path
from typing import NamedTuple

class TestCase(NamedTuple):
    rule_path: Path
    fixture_path: Path
    should_match: bool

def load_test_cases() -> list[TestCase]:
    """Carica tutti i test case dalla struttura di directory."""
    test_cases = []
    rules_dir = Path("rules")
    fixtures_dir = Path("tests/fixtures")

    for rule_file in rules_dir.rglob("*.yml"):
        rel_path = rule_file.relative_to(rules_dir)
        fixture_dir = fixtures_dir / rel_path.parent / rule_file.stem

        if fixture_dir.exists():
            for pos_file in (fixture_dir / "positive").glob("*.json"):
                test_cases.append(TestCase(rule_file, pos_file, True))
            for neg_file in (fixture_dir / "negative").glob("*.json"):
                test_cases.append(TestCase(rule_file, neg_file, False))

    return test_cases

class TestDetectionRules:
    """Test suite per le detection rules."""

    @pytest.mark.parametrize("test_case", load_test_cases())
    def test_rule_against_fixture(self, test_case: TestCase):
        rule_path, fixture_path, should_match = test_case

        with open(fixture_path) as f:
            log_event = json.load(f)

        # Valuta la regola contro l'evento (implementazione omessa per brevita)
        matched = evaluate_sigma_rule(rule_path, log_event)

        if should_match:
            assert matched, (
                f"Rule {rule_path.name} SHOULD match {fixture_path.name} "
                f"but did NOT match.\nEvent: {json.dumps(log_event, indent=2)}"
            )
        else:
            assert not matched, (
                f"Rule {rule_path.name} should NOT match {fixture_path.name} "
                f"but DID match (false positive).\n"
                f"Event: {json.dumps(log_event, indent=2)}"
            )

    def test_no_duplicate_ids(self):
        """Verifica che non ci siano UUID duplicati nel repository."""
        seen_ids = {}
        duplicates = []

        for rule_file in Path("rules").rglob("*.yml"):
            with open(rule_file) as f:
                rule = yaml.safe_load(f)
            rule_id = rule.get('id', '')

            if rule_id in seen_ids:
                duplicates.append(
                    f"{rule_file} duplicates ID of {seen_ids[rule_id]}"
                )
            else:
                seen_ids[rule_id] = rule_file

        assert not duplicates, "Duplicate IDs:\n" + "\n".join(duplicates)

    def test_all_rules_have_tests(self):
        """Verifica che ogni regola abbia almeno un test positivo."""
        rules_dir = Path("rules")
        fixtures_dir = Path("tests/fixtures")
        missing = []

        for rule_file in rules_dir.rglob("*.yml"):
            rel_path = rule_file.relative_to(rules_dir)
            pos_dir = fixtures_dir / rel_path.parent / rule_file.stem / "positive"

            if not pos_dir.exists() or not list(pos_dir.glob("*.json")):
                missing.append(str(rule_file))

        if missing:
            pytest.fail(
                "Rules missing positive test fixtures:\n" +
                "\n".join(f"  - {r}" for r in missing)
            )

Urządzenia testowe: przykłady kłód syntetycznych

# tests/fixtures/windows/credential_access/
# cred_mimikatz_lsass/positive/mimikatz_direct.json
{
  "EventID": 10,
  "Channel": "Microsoft-Windows-Sysmon/Operational",
  "SourceImage": "C:\\Users\\attacker\\Downloads\\mimikatz.exe",
  "TargetImage": "C:\\Windows\\System32\\lsass.exe",
  "GrantedAccess": "0x1010",
  "UtcTime": "2026-03-09 14:30:00.123"
}

# cred_mimikatz_lsass/negative/windows_defender_scan.json
{
  "EventID": 10,
  "Channel": "Microsoft-Windows-Sysmon/Operational",
  "SourceImage": "C:\\Program Files\\Windows Defender\\MsMpEng.exe",
  "TargetImage": "C:\\Windows\\System32\\lsass.exe",
  "GrantedAccess": "0x1000",
  "UtcTime": "2026-03-09 14:31:00.456"
}

Wskaźniki jakości DaC

Metryczny	Definicja	Cel
Zasięg wykrywania	% Technik ATT&CK objętych regułą stabilną	> 60%
Zasięg testowy	% reguł z testami pozytywnymi i negatywnymi	100%
Fałszywie dodatni współczynnik	Alerty FP / Łączna liczba alertów tygodniowo	< 10%
Częstotliwość wdrażania	Połącz z nowymi regułami co tydzień	> 3/tydz
Czas do wykrycia (TTD)	Czas od opublikowanej techniki do wdrożonej reguły	< 48h (duża dotkliwość)

Anty-wzorce, których należy unikać

Wdróż bez testowania: nawet w sytuacji awaryjnej przynajmniej jeden ręczny test dymu
Sekrety jasne: zawsze używaj sekretów GitHub, nigdy twardego kodu
Rurociąg bez powiadomień: ciche i niebezpieczne, nieudane wdrożenie
Zasady bez właścicieli: użyj CODEOWNERS dla każdego obszaru technicznego
Tylko pozytywne testy: bez negatywnych urządzeń nie wiesz, czy wygenerujesz FP

Wnioski

Detection-as-Code to nie tylko zmiana narzędzi, to zmiana mentalności: wykrycia są kodem i jako takie muszą zostać przetestowane, wersjonowane i poprawione i wdrażaj systematycznie. Dojrzały rurociąg DaC skraca czas do wykrycia, zwiększa jakość reguł i umożliwia skalowanie programu detekcyjnego bez proporcjonalnego zwiększania personelu.

Następny artykuł z serii

W następnym artykule zobaczymy jak integrować AT&CK UKOŚNIENIA w przepływie pracy DaC, aby automatycznie mapować luki w pokryciu i ustalać priorytety nowe wykrycia w oparciu o rzeczywiste ryzyko.