Secure

Static Application Security Testing escanea el código fuente y los binarios de la aplicación para detectar posibles vulnerabilidades antes del despliegue utilizando herramientas de código abierto que se instalan como parte de GitLab. Las vulnerabilidades se muestran en línea con cada solicitud de fusión y los resultados se recopilan y presentan como un único informe.

Verifique la presencia de credenciales y secretos en los commits.

Analice automáticamente su código fuente para identificar problemas y ver si la calidad está mejorando o empeorando con el último commit.

Dynamic Application Security Testing analiza su aplicación web en ejecución para detectar vulnerabilidades conocidas en tiempo de ejecución. Ejecuta ataques en vivo contra una Review App, una aplicación implementada externamente o una API activa, creada para cada solicitud de fusión como parte de las capacidades de CI/CD de GitLab. Los usuarios pueden proporcionar credenciales HTTP para probar áreas privadas. Las vulnerabilidades se muestran en línea con cada solicitud de fusión. Las pruebas también se pueden ejecutar fuera de los pipelines de CI/CD utilizando escaneos DAST bajo demanda.

API Security se centra en probar y proteger las API. Probando vulnerabilidades conocidas con DAST API y vulnerabilidades desconocidas con API Fuzzing, API Security se ejecuta contra una API en vivo o una Review App para descubrir vulnerabilidades que solo pueden detectarse después de que la API haya sido implementada. Los usuarios pueden proporcionar credenciales para probar API autenticadas. Las vulnerabilidades se muestran en línea con cada solicitud de fusión.

Fuzz testing aumenta las posibilidades de obtener resultados utilizando cargas útiles arbitrarias en lugar de las conocidas.

Analice las dependencias externas (por ejemplo, bibliotecas como Ruby gems) en busca de vulnerabilidades conocidas en cada commit de código con GitLab CI/CD. Este escaneo se basa en herramientas de código abierto y en la integración con la tecnología Gemnasium (ahora parte de GitLab) para mostrar, en línea con cada solicitud de fusión, las dependencias vulnerables que necesitan actualización. Los resultados se recopilan y están disponibles como un único informe.

Verifique las imágenes Docker en busca de vulnerabilidades conocidas en el entorno de la aplicación. Analice el contenido de las imágenes contra bases de datos de vulnerabilidades públicas utilizando la herramienta de código abierto Clair, que puede escanear cualquier tipo de imagen Docker (o App). Las vulnerabilidades se muestran en línea con cada solicitud de fusión.

Al realizar un commit de código, se buscan en las dependencias del proyecto las licencias aprobadas y en lista negra definidas por políticas personalizadas por proyecto. Se identifican las licencias de software que se están utilizando si no están dentro de la política. Este escaneo se basa en una herramienta de código abierto, LicenseFinder, y los resultados del análisis de licencias se muestran en línea para cada solicitud de fusión para su resolución inmediata.