Secure

Static Application Security Testing scannt Anwendungsquellcode und Binärdateien, um potenzielle Schwachstellen vor dem Deployment mithilfe von Open-Source-Tools zu erkennen, die als Teil von GitLab installiert werden. Schwachstellen werden inline mit jeder Merge Request angezeigt und Ergebnisse werden gesammelt und als einzelner Bericht präsentiert.

Prüfung auf Anmeldedaten und Secrets in Commits.

Quellcode wird automatisch analysiert, um Probleme zu identifizieren und festzustellen, ob sich die Qualität mit dem neuesten Commit verbessert oder verschlechtert.

Dynamic Application Security Testing analysiert laufende Webanwendungen auf bekannte Laufzeit-Schwachstellen. Live-Angriffe werden gegen eine Review App, eine extern bereitgestellte Anwendung oder eine aktive API durchgeführt, die für jede Merge Request als Teil der CI/CD-Funktionen von GitLab erstellt wird. Nutzer(innen) können HTTP-Anmeldedaten bereitstellen, um private Bereiche zu testen. Schwachstellen werden inline mit jeder Merge Request angezeigt. Tests können auch außerhalb von CI/CD-Pipelines durch On-Demand-DAST-Scans durchgeführt werden.

API Security konzentriert sich auf Tests und Schutz von APIs. Durch Tests auf bekannte Schwachstellen mit DAST API und unbekannte Schwachstellen mit API Fuzzing wird API Security gegen eine Live-API oder eine Review App ausgeführt, um Schwachstellen zu entdecken, die erst nach dem API-Deployment aufgedeckt werden können. Nutzer(innen) können Anmeldedaten bereitstellen, um authentifizierte APIs zu testen. Schwachstellen werden inline mit jeder Merge Request angezeigt.

Fuzz Testing erhöht die Chancen auf Ergebnisse durch Verwendung beliebiger Payloads anstelle bekannter.

Externe Abhängigkeiten (z. B. Bibliotheken wie Ruby Gems) werden bei jedem Code-Commit mit GitLab CI/CD auf bekannte Schwachstellen analysiert. Dieser Scan basiert auf Open-Source-Tools und der Integration der Gemnasium-Technologie (jetzt Teil von GitLab), um inline mit jeder Merge Request anfällige Abhängigkeiten anzuzeigen, die aktualisiert werden müssen. Ergebnisse werden gesammelt und als einzelner Bericht bereitgestellt.

Docker Images werden auf bekannte Schwachstellen in der Anwendungsumgebung geprüft. Image-Inhalte werden mithilfe des Open-Source-Tools Clair gegen öffentliche Schwachstellen-Datenbanken analysiert, das jede Art von Docker- (oder App-) Image scannen kann. Schwachstellen werden inline mit jeder Merge Request angezeigt.

Bei Code-Commits werden Projektabhängigkeiten nach genehmigten und auf der schwarzen Liste stehenden Lizenzen durchsucht, die durch benutzerdefinierte Richtlinien pro Projekt definiert sind. Verwendete Softwarelizenzen werden identifiziert, wenn sie nicht den Richtlinien entsprechen. Dieser Scan basiert auf dem Open-Source-Tool LicenseFinder und Lizenzanalyseergebnisse werden inline für jede Merge Request zur sofortigen Lösung angezeigt.