Sichern
GitLab bietet statische Anwendungssicherheitstests (SAST) und dynamische Anwendungssicherheitstests (DAST) sowie Container-Scanning und Abhängigkeitssuche, um dich bei der Bereitstellung sicherer Anwendungen und der Einhaltung von Lizenzbestimmungen zu unterstützen.
Produktkategorien
SAST
Bei statischen Anwendungssicherheitstests werden der Quellcode der Anwendung sowie Binärdateien vor der Bereitstellung mit Open-Source-Tools, die als Teil von GitLab installiert sind, auf potenzielle Sicherheitslücke gescannt. Sicherheitslücken werden direkt bei jedem Merge Request angezeigt, und die Ergebnisse werden gesammelt und in einem einzigen Bericht präsentiert.
Codequalität
Analysiere deinen Quellcode automatisch, um Probleme zu entdecken und zu überprüfen, ob sich die Qualität mit dem neuesten Commit verbessert oder verschlechtert.
DAST
Bei dynamischen Anwendungssicherheitstests werden deine laufenden Webanwendungen auf bekannte Laufzeit-Sicherheitslücken gescannt. Dabei werden Live-Angriffe auf die Review-Anwendung, eine extern bereitgestellte Anwendung oder eine aktive API durchgeführt, die für jeden Merge Request im Rahmen der CI/CD-Funktionen von GitLab erstellt werden. Benutzer(innen) können HTTP-Zugangsdaten zum Testen privater Bereiche bereitstellen. Sicherheitslücken werden direkt bei jedem Merge Request angezeigt. Tests können auch außerhalb von CI/CD-Pipelines mithilfe von On-Demand-DAST-Scans durchgeführt werden.
API-Sicherheit
Bei der API-Sicherheit geht es um das Testen und Schützen von APIs. Teste mit DAST-API auf bekannte Sicherheitslücken und mit API-Fuzzing auf unbekannte Sicherheitslücken. API-Sicherheit wird dabei bei einer Live-API oder einer Review-Anwendung getestet, um Sicherheitslücken aufzudecken, die erst erkannt werden können, wenn die API bereitgestellt wurde. Benutzer(innen) können Anmeldeinformationen zum Testen authentifizierter APIs bereitstellen. Sicherheitslücken werden direkt bei jedem Merge Request angezeigt.
Fuzz-Testing
Fuzz-Tests erhöhen die Chancen, Ergebnisse zu erzielen, indem sie willkürliche Nutzdaten anstelle von bekannten verwenden.
Abhängigkeitssuche
Analysiere mit GitLab CI/CD bei jedem Code-Commit externe Abhängigkeiten (z. B. Bibliotheken wie Ruby Gems) auf bekannte Sicherheitslücken. Dieser Scan basiert auf Open-Source-Tools und auf der Integration mit Gemnasium-Technologie (die nun Teil von GitLab ist), um gefährdete Abhängigkeiten, die aktualisiert werden müssen, direkt bei jedem Merge Request anzuzeigen. Die Ergebnisse werden zusammen in einem gesammelten Bericht bereitgestellt.
Container-Scanning
Überprüfe Docker-Images auf bekannte Sicherheitslücken in der Anwendungsumgebung. Analysiere Image-Inhalte in öffentlichen Sicherheitslücken-Datenbanken mit dem Open-Source-Tool Clair, das in der Lage ist, jede Art von Docker- (oder App-)Image zu scannen. Sicherheitslücken werden direkt bei jedem Merge Request angezeigt.
Lizenzkonformität
Beim Code-Commit werden Projektabhängigkeiten auf genehmigte Lizenzen und Lizenzen auf der Sperrliste, die anhand benutzerdefinierter Richtlinien pro Projekt definiert wurden, durchsucht. Verwendete Softwarelizenzen werden identifiziert, wenn sie nicht innerhalb der Richtlinie liegen. Dieser Scan basiert auf dem Open-Source-Tool LicenseFinder. Die Lizenzanalyseergebnisse werden direkt für jeden Merge Request angezeigt, um sofort gelöst zu werden.
Auf unserer Seite „Ausrichtung“ erfährst du mehr über unsere Roadmap für demnächst erscheinende Funktionen.