Seguridad y cumplimiento

Seguridad y cumplimiento de extremo a extremo, integrados directamente en la plataforma que sus desarrolladores ya utilizan.

Comuníquese con ventas

Inicie la prueba gratuita

Con la confianza de

Entregue de forma rápida y segura

GitLab es la única plataforma que cuenta con todas las funcionalidades de seguridad que necesita para aplicaciones y API.

GitLab es la única plataforma que brinda asistencia impulsada por IA en cada etapa del ciclo de vida de desarrollo del software para ayudar a los desarrolladores a programar de forma más segura. También ofrece tecnología de IA para sugerencias de código, explicaciones de vulnerabilidades y hasta la generación de solicitudes de fusión que contienen los cambios necesarios para corregir vulnerabilidades.

Más información

Seguridad centrada en el desarrollador. Desarrollo más seguro.

Seguridad de aplicaciones y API

Acceda a toda la gama de análisis de seguridad en una sola plataforma

Análisis previo al desarrollo

Verifique el código para garantizar el cumplimiento de los requisitos de seguridad antes de su implementación mediante detección de secretos, pruebas estáticas de seguridad de las aplicaciones (SAST), análisis de infraestructura como código (IaC), análisis de dependencias y cumplimiento de licencias.

Análisis posterior al desarrollo

Simule las entradas y actividades de los hackers en su aplicación mediante pruebas de seguridad de API, análisis de contenedores operativos, pruebas dinámicas de seguridad de las aplicaciones (DAST) y pruebas fuzzing.

Seguridad de la cadena de suministro de software

Adelántese a las amenazas y entregue software de forma más rápida

Más información

Gestión dinámica de SBOM

Genere automáticamente una lista de materiales de software (SBOM) estándar con cada contenedor o análisis de dependencia, o importe un SBOM desde su herramienta de preferencia y combine fácilmente varios SBOM de CycloneDX en uno solo.

Análisis continuo de vulnerabilidades

Proteja su organización contra ataques de día cero mediante un análisis continuo de sus aplicaciones en busca de vulnerabilidades conocidas de código abierto, independientemente de cuándo se actualizó su código por última vez.

Cumplimiento y gobernanza

Aplicación del cumplimiento a gran escala

Más información

Visibilidad de cumplimiento centralizada

Obtenga visibilidad centralizada de los registros de auditoría, la seguridad de las credenciales y el cumplimiento de los proyectos con los requisitos normativos.

Gestión flexible de políticas

Designe análisis de seguridad y jobs de CI específicos que los desarrolladores no puedan eludir. Asegúrese de que se cumplan todos los requisitos legales, de seguridad y de cumplimiento antes de fusionar el código.

GitLab contaba con todas las funciones y automatizaciones que necesitábamos en una única aplicación. Esto permitió simplificar nuestro trabajo. Ahora que contamos con todas las hojas de ruta, el seguimiento de tickets y el análisis de seguridad en un solo lugar, nos resulta difícil incluso comparar GitLab con las herramientas que utilizábamos antes.

Wesley Monroe

Gerente de proyectos técnicos, CACI

90 %

ahorro en mano de obra/administrador

13 veces

análisis de seguridad más rápido

Leer el estudio de caso

Explore todas las funcionalidades de seguridad y cumplimiento

Gestione las vulnerabilidades, las políticas y el cumplimiento de seguridad en toda su organización.

Análisis de contenedores

Realice un análisis de seguridad de las imágenes de su contenedor para detectar vulnerabilidades conocidas en el entorno de la aplicación. El contenido de las imágenes se analiza con respecto a las bases de datos públicas de vulnerabilidades. Los resultados de estos análisis de seguridad, junto con los datos adicionales y las soluciones se informan en línea directamente en cada solicitud de fusión. Los resultados se presentan como un informe único. El análisis de contenedores se considera parte integral del análisis de composición del software (SCA).

Integración del análisis de seguridad en el IDE

Análisis de contenedores

Soluciones automatizadas para vulnerabilidades de análisis de contenedores

Análisis de composición de software (SCA)

Analiza las dependencias externas dentro de su aplicación en busca de vulnerabilidades conocidas en cada confirmación de código CI/CD. Las vulnerabilidades, los datos adicionales y las soluciones se muestran en línea con cada solicitud de fusión. Los resultados del escáner se recopilan y se presentan como un informe único. Tras la confirmación del código, se buscan las dependencias del proyecto para las licencias aprobadas y denegadas definidas por las políticas personalizadas por proyecto. Las licencias de software se identifican si no están dentro de la política y se muestran en línea para cada solicitud de fusión para su resolución inmediata.

Integración del análisis de seguridad en el IDE

Análisis de dependencias

Soluciones automatizadas para vulnerabilidades de análisis de dependencias

Cumplimiento de licencia

Seguridad de la API

Protege y protege las interfaces de programación de aplicaciones web contra el acceso no autorizado, el uso indebido y los ataques. Pruebas de vulnerabilidades conocidas mediante la realización de pruebas de penetración de API con DAST. Encuentra vulnerabilidades desconocidas mediante la realización de pruebas fuzzing de los parámetros de operación de la API web. Los usuarios pueden proporcionar credenciales para probar las API autenticadas. Las vulnerabilidades, los datos adicionales y las soluciones se muestran en línea con cada solicitud de fusión. Los resultados del escáner se recopilan y se presentan como un informe único.

Integración del análisis de seguridad en el IDE

Pruebas de seguridad de la API

Fuzzing de la API

Análisis de pruebas de seguridad de API bajo demanda

Pruebas fuzzing

Envía entradas aleatorias a una versión instrumentada de su aplicación en un esfuerzo por causar un comportamiento inesperado a fin de identificar un error que deba abordarse. Le ayuda a descubrir errores y posibles tickets de seguridad que otros procesos de garantía de calidad (QA) pueden pasar por alto.

Integración del análisis de seguridad en el IDE

Fuzzing guiado por cobertura

DAST

Ejecuta pruebas de penetración automatizadas para encontrar vulnerabilidades en las aplicaciones web y las API a medida que se ejecutan. DAST puede ejecutar ataques en vivo contra una aplicación de revisión, una aplicación implementada externamente o una API activa. Los análisis se pueden ejecutar para cada solicitud de fusión, en un calendario o incluso bajo demanda. DAST admite credenciales HTTP ingresadas por el usuario para probar áreas privadas de su aplicación. Las vulnerabilidades, los datos adicionales y las soluciones se muestran en línea con cada solicitud de fusión. Los resultados del escáner se presentan como un informe único.

Integración del análisis de seguridad en el IDE

Pruebas dinámicas de seguridad de las aplicaciones

DAST bajo demanda

Perfiles de sitio y escáner para análisis DAST bajo demanda

Interfaz de usuario (UI) de configuración DAST

Programación de análisis DAST bajo demanda

DAST

Code Quality

Analiza la calidad y complejidad de su código fuente. Esto ayuda a que el código de su proyecto sea simple, legible y fácil de mantener.

Widget de RM de Code Quality

Informes de calidad del código

Notificaciones de violación de Code Quality en MR diffs

Detección de secretos

Analiza su repositorio para ayudar a evitar la exposición de sus secretos. El análisis de detección de secretos funciona en todos los archivos de texto, independientemente del idioma o el marco utilizado. El código enviado a una rama remota de Git se puede rechazar si se detecta un secreto.

Integración del análisis de seguridad en el IDE

Detección de secretos

Conjuntos de reglas personalizadas para la detección de secretos

Detección completa de secretos del historial de Git

Respuesta automática a secretos filtrados

Protección contra la publicación de secretos (Beta)

SAST

Analiza el código fuente y los binarios de su aplicación para detectar posibles vulnerabilidades antes de la implementación. SAST admite el análisis de una variedad de lenguajes de programación diferentes y elige automáticamente el analizador correcto, incluso si su proyecto utiliza más de un idioma. Las vulnerabilidades, los datos adicionales y las soluciones se muestran en línea con cada solicitud de fusión. Los resultados del escáner se recopilan y se presentan como un informe único.

Pruebas estáticas de seguridad de las aplicaciones

Interfaz de usuario (UI) de configuración

Integración del análisis de seguridad en el IDE

Conjuntos de reglas personalizadas para SAST

Análisis de seguridad de infraestructura como código (IaC)

Explicación de vulnerabilidades

Le ayuda a corregir las vulnerabilidades de manera más eficiente, mejorar sus habilidades y escribir código más seguro.

Explicación de vulnerabilidades

Resolución de vulnerabilidades

Genera una solicitud de fusión que contiene los cambios necesarios para mitigar una vulnerabilidad.

Resolución de vulnerabilidades

Evidencia de lanzamiento

La evidencia de lanzamiento proporciona garantías y la recopilación de evidencia que necesita para confiar en los cambios que está entregando. Cuando se crea una versión, GitLab toma una instantánea de los datos relevantes de la versión como evidencia de que se produjo.

Evidencia de lanzamiento

Gestión de cumplimiento

La Gestión de cumplimiento proporciona a los clientes las herramientas necesarias para garantizar y gestionar sus programas de cumplimiento.

Configuración del pipeline de cumplimiento

Marcos de cumplimiento personalizados

Informe de marcos de cumplimiento

Mensajes de pie de página y encabezados del sistema personalizables

Requerir un ticket de Jira antes de fusionar el código

Informe de adhesión a las normas de cumplimiento

Informe de infracciones

Hacer cumplir la configuración de aprobación de la solicitud de fusión

Eventos de auditoría

La Gestión de cumplimiento proporciona a los clientes las herramientas necesarias para garantizar y gestionar sus programas de cumplimiento.

Informe de eventos de auditoría

Exportación de CSV de eventos de auditoría

Informe de cadena de custodia

Acceso al auditor

Eventos de auditoría de transmisión

Lista de materiales de software

GitLab le permite proteger su cadena de suministro de software, incluidas las reglas push, el análisis de códigos, la gestión de SBOM y la aplicación de políticas de cumplimiento.

Lista de materiales de software

Gestión de dependencias

La gestión de dependencias permite a los usuarios revisar las dependencias del proyecto/grupo y los detalles clave sobre esas dependencias, incluidas sus vulnerabilidades, licencias y empaquetador.

Gestión de dependencias

Gestión de vulnerabilidades

La gestión de vulnerabilidades permite la colaboración entre los equipos de seguridad al proporcionar una interfaz uniforme para evaluar el enfoque de seguridad de sus aplicaciones. Los equipos de seguridad pueden ver, clasificar, marcar tendencias, seguir y resolver vulnerabilidades detectadas por los diversos escáneres de GitLab.

Integración del análisis de seguridad en el IDE

Gestión de vulnerabilidades

Objetos de vulnerabilidades independientes

Informes de vulnerabilidades

Paneles de seguridad

Crear tickets de Jira a partir de vulnerabilidades

Resumen del análisis de seguridad en las solicitudes de fusión

Capacitación integrada en seguridad

Gestión de la política de seguridad

La gestión unificada de políticas de seguridad proporciona a los equipos de seguridad y cumplimiento una forma de hacer cumplir los controles en toda su organización para todos los escáners y tecnologías de seguridad de GitLab.

Políticas de seguridad

Aprobaciones de seguridad

Aprobaciones de licencia

Políticas de aprobación de solicitudes de fusión

Comprobaciones de estado externas

Alcances de la política de seguridad