Proteger
GitLab proporciona pruebas estáticas de seguridad de las aplicaciones (SAST), pruebas dinámicas de seguridad de las aplicaciones (DAST), análisis de contenedores y análisis de dependencias para ayudarlo a entregar aplicaciones seguras junto con el cumplimiento de las licencias.
Categorías de producto
SAST
Las pruebas estáticas de seguridad de las aplicaciones analizan el código fuente y los binarios de las aplicaciones para detectar posibles vulnerabilidades antes de la implementación mediante herramientas de código abierto que se instalan como parte de GitLab. Las vulnerabilidades se muestran en línea con cada solicitud de fusión y los resultados se recopilan y presentan como un informe único.
Detección de secretos
Verifique si existen credenciales y secretos en las confirmaciones.
Code Quality
Analice automáticamente su código fuente para la identificar tickets y determinar si la calidad mejora o empeora con la última confirmación.
DAST
Las pruebas dinámicas de seguridad de las aplicaciones analizan su aplicación web en ejecución para detectar vulnerabilidades de tiempo de ejecución conocidas. Ejecuta ataques en vivo contra una aplicación de revisión, una aplicación implementada externamente o una API activa, creada para cada solicitud de fusión como parte de las funcionalidades de CI/CD de GitLab. Los usuarios pueden proporcionar credenciales HTTP para probar áreas privadas. Las vulnerabilidades se muestran en línea con cada solicitud de fusión. Las pruebas también se pueden ejecutar fuera de los pipelines de CI/CD utilizando análisis DAST bajo demanda.
Seguridad de las API
La seguridad de las API se centra en probar y proteger las API. Las pruebas de vulnerabilidades conocidas con la técnica DAST de la API, y las vulnerabilidades desconocidas con las pruebas fuzzing de la API, se realizan en una API en vivo o una aplicación de revisión para identificar vulnerabilidades que solo pueden detectarse después de implementar la API. Los usuarios pueden proporcionar credenciales para realizar pruebas de API autenticadas. Las vulnerabilidades se muestran en línea con cada solicitud de fusión.
Pruebas fuzzing
Las pruebas fuzzing aumentan las probabilidades de obtener resultados mediante el uso de cargas útiles arbitrarias en lugar de las bien conocidas.
Análisis de dependencias
Analice las dependencias externas (por ejemplo, bibliotecas como RubyGems) en busca de vulnerabilidades conocidas en cada confirmación de código con GitLab CI/CD. Este análisis utiliza herramientas de código abierto y la integración con la tecnología Gemnasium (ahora parte de GitLab) para mostrar, en línea con cada solicitud de fusión, las dependencias vulnerables que requieren actualización. Los resultados se recopilan y están disponibles en un informe único.
Análisis de contenedores
Verifique las imágenes de Docker para detectar vulnerabilidades conocidas en el entorno de la aplicación. Analice el contenido de las imágenes frente a base de datos de vulnerabilidades públicas utilizando Clair, la herramienta de código abierto que puede analizar cualquier tipo de imagen de Docker (o de aplicación). Las vulnerabilidades se muestran en línea con cada solicitud de fusión.
Cumplimiento de licencia
Tras la confirmación del código, se examina las dependencias del proyecto en busca de licencias aprobadas y denegadas definidas por las políticas específicas de cad proyecto. Se identifican las licencias de software utilizadas si no se encuentran dentro de la política establecida. Este análisis utiliza la herramienta de código abierto LicenseFinder, y los resultados del análisis de licencias se muestran de forma integrada en cada solicitud de fusión para una resolución inmediata.
Más información sobre nuestro plan de desarrollo de futuras funcionalidades en nuestra página de Dirección.