こんにちは！

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

お問い合わせ

自己紹介

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

スキル

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

プロセス自動化

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

カスタムシステム

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

ミッション

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

🚀

テクノロジーの民主化

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

💡

ITとビジネスの融合

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

🎯

カスタムソリューション

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

テクノロジーでビジネスを変革

Dicembre 2024

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

💻 Linguaggi & Tecnologie

☕Java

🐍Python

📜JavaScript

🅰️Angular

⚛️React

🔷TypeScript

🗄️SQL

🐘PHP

🎨CSS/SCSS

🔧Node.js

🐳Docker

🌿Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

お問い合わせ

プロジェクトをお考えですか？お気軽にお問い合わせください。

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

IaC スキャン: コードとしてのインフラストラクチャセキュリティ

コードとしてのインフラストラクチャ (IaC) インフラ管理に革命をもたらし、しかし、それは新たなタイプのリスクももたらしました。 設定ミス。 S3バケットパブリック、過度に寛容なセキュリティグループ、保存時に暗号化されていないデータベースはすべて、構成エラーは、IaC スキャンを使用して展開前に傍受できます。

IaC スキャンツールは、Terraform、CloudFormation、ARM テンプレート、 Kubernetes マニフェストと他の IaC 形式で安全でない構成を探し、それらを比較する CIS ベンチマークなどのベストプラクティスとコンプライアンス標準を備えています。

何を学ぶか

IaC スキャンがクラウドセキュリティに不可欠な理由
Checkov: IaC 用マルチフレームワークスキャナー
tfsec: Terraform 固有の分析
KICS: Checkmarx のユニバーサルスキャナー
Sentinel および Conftest を使用した Terraform のカスタムポリシー
CI/CD パイプラインへの統合

最も一般的な構成ミス

クラウドの構成ミスが原因 セキュリティインシデントの65% クラウド環境で。最も頻繁なものは次のとおりです。

構成ミスのあるクラウド トップ 10


#
設定ミス
リスク

1
パブリックストレージバケット
データ侵害、データ漏洩

2
セキュリティグループ 0.0.0.0/0
不正アクセス

3
暗号化されていないデータベース
コンプライアンス違反、データ盗難

4
ロギングが無効になっています
法医学的能力の欠如

5
IAM ポリシーが寛容すぎる
権限昇格

6
ストレージでバージョン管理が無効になっています
データ損失、ランサムウェア

7
世界に開かれた SSH
ブルートフォース、サーバー侵害

8
IaC変数のシークレット
資格情報の漏洩

9
バックアップが構成されていません
永久的なデータ損失

10
非強制TLS
中間者、データ傍受

Checkov: マルチフレームワークスキャナー

チェコフ Bridgecrew (現在は Prisma Cloud) と最も完全な IaC スキャナーによる、 Terraform、CloudFormation、ARM、Kubernetes、Helm、Dockerfile 用の 1000 以上の事前定義ポリシーそしてサーバーレス。 Python と YAML のカスタムポリシーもサポートします。


# Installare Checkov
pip install checkov

# Scan di file Terraform
checkov -d terraform/ --framework terraform

# Scan con output SARIF
checkov -d terraform/ -o sarif --output-file checkov-results.sarif

# Scan con filtro severity
checkov -d terraform/ --check HIGH --check CRITICAL

# Scan di un Dockerfile
checkov -f Dockerfile --framework dockerfile

# Scan di manifest Kubernetes
checkov -d k8s/ --framework kubernetes

# Skip check specifici
checkov -d terraform/ --skip-check CKV_AWS_18,CKV_AWS_19

GitHub Actions での Checkov の統合


# .github/workflows/iac-scanning.yml
name: IaC Security Scan
on:
  pull_request:
    paths:
      - "terraform/**"
      - "k8s/**"
      - "Dockerfile"

jobs:
  checkov:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Checkov Scan
        uses: bridgecrewio/checkov-action@master
        with:
          directory: terraform/
          framework: terraform
          output_format: sarif
          output_file_path: checkov-results.sarif
          soft_fail: false
          check: HIGH,CRITICAL

      - name: Upload SARIF
        if: always()
        uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: checkov-results.sarif

tfsec: Terraform 固有の分析

tfsec (現在は Trivy の一部) およびスキャンする専用の Terraform スキャナー HCL ファイルでセキュリティの設定ミスを探しています。そして特に高速かつ正確、 Terraform モジュールと変数のサポート。


# Installare tfsec
brew install tfsec

# Scan base
tfsec terraform/

# Scan con output SARIF
tfsec terraform/ --format sarif --out tfsec-results.sarif

# Scan con severita minima
tfsec terraform/ --minimum-severity HIGH

# Escludere check specifici
tfsec terraform/ --exclude aws-s3-enable-versioning

KICS: ユニバーサルスキャナー

KICS (インフラストラクチャをコードとして安全に保つ) Checkmarx とオープンスキャナーによる 15 を超える IaC プラットフォームをサポートするソース。特に組織にとって有益です複数の IaC テクノロジーを使用していて、単一のツールを必要としている人。


# Eseguire KICS con Docker
docker run -v /path/to/project:/path checkmarx/kics:latest scan \
  -p /path \
  -o /path/results \
  --report-formats sarif,json \
  --fail-on high,critical

Terraform のカスタムポリシー

多くの場合、事前定義されたポリシーに加えて、 カスタムポリシー 仕様組織のために。以下は Conftest/Rego の例です。


# policy/terraform/aws_security.rego
package terraform.aws

# Tutti i bucket S3 devono avere encryption
deny[msg] {
  resource := input.resource.aws_s3_bucket[name]
  not resource.server_side_encryption_configuration
  msg := sprintf("S3 bucket '%s' deve avere encryption abilitata", [name])
}

# RDS deve avere backup abilitato
deny[msg] {
  resource := input.resource.aws_db_instance[name]
  resource.backup_retention_period == 0
  msg := sprintf("RDS instance '%s' deve avere backup abilitato (retention > 0)", [name])
}

# Nessun security group con ingress 0.0.0.0/0 su SSH
deny[msg] {
  resource := input.resource.aws_security_group[name]
  ingress := resource.ingress[_]
  ingress.from_port <= 22
  ingress.to_port >= 22
  cidr := ingress.cidr_blocks[_]
  cidr == "0.0.0.0/0"
  msg := sprintf("Security group '%s' non deve permettere SSH (22) da 0.0.0.0/0", [name])
}

Sentinel による Terraform ポリシーの適用

IaC スキャンツールの比較

チェコフ: 最も完全な 1000 以上のポリシー、マルチフレームワーク、Python/YAML のカスタムポリシー
tfsec: Terraform 固有、高速、Trivy に統合
KICS: ユニバーサル、15 以上のプラットフォーム、マルチ IaC 環境に適しています
コンテスト: 柔軟、Rego を使用、カスタムポリシーに最適
センチネル: ネイティブ Terraform Cloud、統合ポリシー適用

IaC スキャンのベストプラクティス

PRごとにスキャン: すべての IaC 変更はマージ前に検証する必要があります
重大度ベースのブロック: HIGH および CRITICAL の場合は展開をブロック、MEDIUM の場合は警告
カスタムポリシー: 組織の標準に固有のポリシーを作成します
ベースラインと進行状況: ベースラインを確立し、結果を徐々に減らします。
事前コミットフック: プッシュする前にローカルで tfsec/checkov を実行します。
ドリフト検出: IaC 状態と実際のインフラストラクチャの間のドリフトを監視する

結論

IaC スキャンは、根本的な原因である構成ミスを防ぐために不可欠です。クラウドセキュリティインシデント。 Checkov、tfsec、およびカスタムポリシーを使用すると、組織は次のことが可能になります。インフラストラクチャの変更が実稼働環境に到達する前に、自動的に検証されます。

次の記事では、詳しく見ていきます ランタイムセキュリティ、モニタリングを分析する Falco、eBPF、および異常検出システムを使用してリアルタイムでアプリケーションを保護します生産中です。

#	設定ミス	リスク
1	パブリックストレージバケット	データ侵害、データ漏洩
2	セキュリティグループ 0.0.0.0/0	不正アクセス
3	暗号化されていないデータベース	コンプライアンス違反、データ盗難
4	ロギングが無効になっています	法医学的能力の欠如
5	IAM ポリシーが寛容すぎる	権限昇格
6	ストレージでバージョン管理が無効になっています	データ損失、ランサムウェア
7	世界に開かれた SSH	ブルートフォース、サーバー侵害
8	IaC変数のシークレット	資格情報の漏洩
9	バックアップが構成されていません	永久的なデータ損失
10	非強制TLS	中間者、データ傍受