Visão Geral

O curso Automating Supply Chain Security: SBOMs and Signatures apresenta uma abordagem prática para fortalecer a segurança da cadeia de suprimentos de software por meio da automação. Os participantes aprenderão a criar, analisar e gerenciar SBOMs (Software Bill of Materials), além de implementar mecanismos de assinaturas digitais e verificação de integridade para proteger pacotes, dependências e artefatos em ambientes modernos de desenvolvimento.

O conteúdo combina teoria e práticas laboratoriais com foco em ferramentas de mercado e padrões abertos, permitindo aplicar segurança contínua em pipelines CI/CD e ambientes cloud-native.

Objetivo

Após realizar este curso Automating Supply Chain Security: SBOMs and Signatures, você será capaz de:

• Compreender os riscos e desafios da cadeia de suprimentos de software.
• Gerar, interpretar e validar SBOMs em diferentes formatos (SPDX, CycloneDX).
• Implementar assinaturas digitais em imagens, pacotes e artefatos.
• Integrar segurança automatizada em pipelines CI/CD.
• Aplicar melhores práticas para conformidade e governança em software supply chain.

Publico Alvo

• Desenvolvedores de software interessados em segurança no ciclo de vida de aplicações.
• Engenheiros de DevOps e SREs que integram segurança em pipelines.
• Arquitetos e líderes técnicos que projetam soluções seguras em supply chain.
• Profissionais de segurança da informação focados em DevSecOps.

Pre-Requisitos

• Conhecimentos básicos em Linux e linha de comando.
• Experiência prática com Git e CI/CD pipelines.
• Noções de containers e Kubernetes são desejáveis, mas não obrigatórias.

Materiais

Conteúdo Programatico

Módulo 1: Introdução à Segurança na Cadeia de Suprimentos

1. O que é Supply Chain Security e por que é crítica
2. Casos de ataques reais (SolarWinds, Log4Shell, XZ Utils)
3. Fundamentos: integridade, confiabilidade e transparência

Módulo 2: Fundamentos de SBOMs

1. O que é um Software Bill of Materials (SBOM)
2. Padrões e formatos: SPDX, CycloneDX, SWID
3. Benefícios e aplicações dos SBOMs
4. SBOMs em regulamentações (ex.: Executive Order 14028 dos EUA)

Módulo 3: Criação e Gerenciamento de SBOMs

1. Geração de SBOMs em projetos open-source e corporativos
2. Ferramentas para criação: Syft, Trivy, CycloneDX CLI
3. Integração em pipelines CI/CD
4. Análise de vulnerabilidades baseada em SBOM

Módulo 4: Assinaturas Digitais e Verificação de Artefatos

1. Conceitos de criptografia aplicada a supply chain security
2. Assinaturas digitais para containers e pacotes
3. Introdução a Sigstore, Cosign e Notation
4. Verificação de integridade antes da execução

Módulo 5: Automação da Segurança na Cadeia de Suprimentos

1. Integração com GitHub Actions, GitLab CI e Jenkins
2. Políticas de verificação automática em pipelines
3. Verificação contínua em ambientes Kubernetes e cloud-native
4. Exemplos práticos de CI/CD com segurança integrada

Módulo 6: Observabilidade, Compliance e Governança

1. Rastreabilidade e auditoria com SBOMs e assinaturas
2. Conformidade regulatória e requisitos de auditoria
3. Monitoramento de dependências e notificações de CVEs
4. Melhores práticas para organizações seguras e resilientes

Módulo 7: Laboratórios Práticos

1. Geração de SBOMs com Syft e Trivy
2. Assinatura e verificação de imagens com Cosign
3. Implementação de verificação de integridade em pipeline CI/CD
4. Criação de políticas automatizadas para validação de artefatos