Sicurezza e trasparenza
Il codice sorgente di questa piattaforma e pubblico e sottoposto a controlli automatici di sicurezza. Questa pagina riassume gli strumenti di trasparenza disponibili per chi utilizza il servizio.
Software open source
L'intera piattaforma e rilasciata come software libero. Il codice sorgente e consultabile, scaricabile e auditabile da chiunque, coerentemente con i principi di trasparenza della Pubblica Amministrazione italiana.
SBOM (Software Bill of Materials)
Ogni release pubblicata su GitHub include un SBOM in formato SPDX per l'immagine container e un SBOM CycloneDX per le dipendenze npm dell'applicazione. I file sono allegati direttamente alla release e possono essere utilizzati per audit di sicurezza e conformita.
OpenSSF Scorecard
Il repository e analizzato periodicamente da OpenSSF Scorecard, che valuta automaticamente decine di pratiche di sicurezza del progetto (protezione del branch, workflow con permessi minimi, firma dei commit, gestione delle dipendenze). Il punteggio aggiornato e pubblico.
Scansioni automatiche
Le dipendenze vengono monitorate in continuo tramite Dependabot e npm audit. La pipeline di release genera immagini firmate e tracciabili tramite la label org.opencontainers.image.revision, che lega ogni immagine al commit esatto da cui proviene.
Segnalazione di vulnerabilita
La politica di disclosure responsabile delle vulnerabilita e descritta nel file SECURITY.md del repository. Eventuali problemi di sicurezza possono essere segnalati in modo confidenziale secondo le istruzioni riportate.