Container Supply Chain Security: The Practitioner's Journey
Schulung & Kurs

Schrittweise Absicherung der Container Supply Chain: Von Chaos zu kryptografisch verifizierbarem Vertrauen in vier praktischen Levels.

Dieser zweitägige Workshop führt Entwickler durch die Absicherung der Container Supply Chain – nicht mit theoretischen Frameworks, sondern durch eine hands-on Journey: vom unkontrollierten Status Quo über Transparenz und Kontrolle bis zu kryptografisch verifizierbarem Vertrauen. Jedes Level baut auf dem vorherigen auf und liefert sofort nutzbaren Mehrwert.

Kurse für Teams:

Gerne führen wir zugeschnittene Kurse für euer Team durch - vor Ort, remote oder in unseren Kursräumen.

In-House Kurs Anfragen

 

Kursinhalt:


Der Workshop folgt einem inkrementellen Ansatz, inspiriert vom Agile Manifesto: Working Protection over Comprehensive Documentation, Incremental Hardening over Big-Bang Security, Developer Experience over Security Theater, Automated Verification over Manual Audits.

Die Teilnehmenden durchlaufen vier Levels, die jeweils auf dem vorherigen aufbauen. Nach jedem Level haben sie ein funktionierendes Setup mit sofortigem Mehrwert. Der Workshop adressiert reale Angriffsvektoren der Software Supply Chain: kompromittierte Dependencies, manipulierte Build-Pipelines, unsichere Package Repositories.

Tag 1: Sehen, Verstehen, Kontrollieren

– Level 0 zu Level 1: Visibility ("Ich sehe, was passiert"):
... - Threat Landscape: SLSA Vectors und Real-World Attacks
... - Toolbox-Überblick: Harbor, Kyverno, Cosign, Slim, Copacetic
... - Harbor Basics: Pull/Push, Projektstruktur, Vulnerability Reports
... - Consuming 3rd Party Images: Harbor Proxy Cache für DockerHub/GHCR
... - Image Insights mit Slim: xray und appbom auf 3rd Party Images
... - Ergebnis: Eigene und fremde Images fliessen durch zentrale Registry, Vulnerabilities sind sichtbar

– Level 1 zu Level 2: Control ("Ich bestimme, was erlaubt ist"):
... - 3rd Party Risks: Typosquatting, malicious Images, abandoned Packages
... - Kyverno Registry Allowlist: Nur Harbor Proxy erlaubt, direkter Pull blockiert
... - Verifying 3rd Party Signatures: cosign verify auf offizielle Images
... - Generating SBOMs: Syft lokal und in CI
... - Consuming Upstream SBOMs: Upstream-SBOM finden und lesen
... - SBOM Policy: Kyverno blockiert Images ohne SBOM
... - Ergebnis: Direkte Pulls blockiert, nur signierte/bekannte Upstreams erlaubt, SBOM-Pflicht durchgesetzt

Tag 2: Beweisen, Patchen, Reagieren

– Level 2 zu Level 3: Trust ("Ich kann es beweisen"):
... - Signing und Attestations: Cosign, Keyless, SLSA Provenance
... - Signing Images: Cosign keyless mit GitHub/GitLab OIDC
... - Verifying Signatures: cosign verify, Rekor Transparency Log
... - Kyverno Signature Policy: Nur signierte Images deployen
... - SLSA Provenance: Generate und verify Attestations
... - Ergebnis: Jedes Image ist signiert, Build Provenance ist attestiert

– Level 3 zu Level 4: Resilience ("Ich kann reagieren"):
... - Cyber Resilience Act: Requirements, Timeline, Impact
... - Patching Strategies: Rebuild vs. Patch-in-Place
... - Copacetic: Vulnerable Base Image patchen und re-signen
... - Outlook: SBoB und Runtime mit Falco
... - Full Pipeline: Build, Scan, Patch, Sign, SBOM, Deploy
... - Checklist und Next Steps
... - Ergebnis: Unabhängige CVE-Response, komplette Pipeline operational

Du lernst diese Konzepte nicht nur kennen, sondern setzt sie auch praktisch um.


Disclaimer: Der effektive Kursinhalt kann, abhängig vom Trainer, Durchführung, Dauer und Konstellation der Teilnehmer:innen von obigen Angaben abweichen.

Ob wir es Schulung, Kurs, Workshop, Seminar oder Training nennen, wir möchten Teilnehmer/innen an ihrem Punkt abholen und mit dem nötigen praktischen Wissen ausstatten, damit sie die Technologie nach der Schulung direkt anwenden und eigenständig vertiefen können.

Ziel:

Nach dem Workshop können Teilnehmende Harbor produktiv als Entwickler nutzen und Vulnerability Reports interpretieren, den Inhalt beliebiger Container Images analysieren, SBOMs generieren, anhängen und konsumieren, Container Images mit Cosign signieren (keyless und key-based), Signaturen und Attestations von 3rd Party Images verifizieren, Kyverno Policies verstehen und Fehler debuggen, vulnerable Upstream Images mit Copacetic patchen, eine komplette sichere Supply Chain Pipeline implementieren und die Anforderungen des Cyber Resilience Act verstehen.


Dauer:

2 Tage (Wird bei In-House Kursen individuell angepasst.)


Form:

Der Workshop folgt einem bewährten Mix aus Erläuterung (40% Theorie) und praktischen Übungen (60% Hands-On Labs). Du wirst von einem erfahrenen Trainer begleitet, der dir bei Fragen zur Seite steht und sicherstellt, dass du nach jedem Level ein funktionierendes Setup hast.


Zielgruppe:

Der Workshop richtet sich an Entwickler und DevOps Engineers, die containerbasierte Anwendungen auf Kubernetes deployen. Security-Spezialisierung ist nicht erforderlich, Interesse an operativer Security-Verantwortung wird erwartet.


Voraussetzungen:

Praktische Erfahrung mit Docker und Container Images.
Grundlegende Kubernetes-Kenntnisse (Deployments, Pods, kubectl).
Zugang zu GitHub oder GitLab für CI Pipeline Labs.
Eigener Laptop mit Docker und kubectl.


Vorbereitung:

Alle Teilnehmenden erhalten nach der Anmeldung einen Fragebogen und eine Vorbereitungs-Checkliste zugestellt. Wir stellen für jeden Teilnehmenden eine umfassende Laborumgebung bereit, sodass alle Teilnehmenden ihre eigenen Experimente und auch komplexen Szenarien direkt umsetzen können.

In-House Kurs anfragen:

In-House Kurs Anfragen

Trage dich in die Warteliste ein für weitere öffentliche Kurs-Termine. Sobald wir genügend Personen auf der Warteliste haben, klären wir einen möglichst für alle passenden Termin ab und schalten einen neuen Termin auf. Falls du direkt mit zwei Kollegen oder Kolleginnen teilnehmen möchtest, können wir sogar direkt einen öffentlichen Kurs für euch planen.

Warteliste

(Falls ihr bereits mehr 3 Teilnehmer:innen oder mehr habt, klären wir mit euch direkt euren Wunschtermin ab und schreiben den Kurs aus.)

Mehr über Container Supply Chain Security



Container Supply Chain Security befasst sich mit der Absicherung aller Komponenten und Prozesse in der Container-basierten Software-Lieferkette. Von der Entwicklung über Build-Pipelines bis zur Produktion müssen Vertrauen, Transparenz und Nachverfolgbarkeit gewährleistet sein. Das SLSA Framework bietet einen strukturierten Ansatz zur Implementierung von Supply Chain Security auf verschiedenen Levels.




History


Container Supply Chain Security gewann nach hochkarätigen Angriffen wie SolarWinds (2020) und der Kompromittierung von Container Registries stark an Bedeutung. Diese Vorfälle zeigten, wie Angreifer vertrauenswürdige Software-Komponenten kompromittieren können.


Als Reaktion entwickelten Organisationen wie Google, die Linux Foundation und die CNCF Frameworks und Tools zur Verbesserung der Supply Chain Security. Das SLSA Framework, Sigstore (mit Cosign und Rekor) und Harbor entstanden aus der Notwendigkeit, standardisierte, skalierbare Lösungen zu schaffen. Dan Lorenc und das Sigstore-Team revolutionierten mit keyless signing die Code-Signierung.


Heute ist Container Supply Chain Security ein zentraler Bestandteil moderner DevSecOps-Praktiken und wird durch Regulierungen wie den EU Cyber Resilience Act weiter vorangetrieben. Tools wie Kyverno, Copacetic und Slim ermöglichen es Entwicklern, Security-Verantwortung zu übernehmen, ohne die Developer Experience zu beeinträchtigen. Der Fokus verschiebt sich von manuellen Audits zu automatisierter Verifikation und von Big-Bang Security zu inkrementellem Hardening.