Sécurité - FAQ
FAQ sur la sécurité de GitLab
Vous vous inquiétez de la sécurité des services cloud ? Vous souhaitez en savoir plus sur le programme de sécurité de GitLab ? Vous ne comprenez pas bien ce qu'est un modèle de responsabilité partagée ?
Pour en savoir plus, commencez par télécharger notre Customer Assurance Package qui comprend 2 questionnaires de sécurité courants remplis : le questionnaire CSA CAIQ de niveau 1 et le questionnaire SIG (Standard Information Gathering). Ces deux questionnaires répertorient plus de 300 questions de sécurité courantes et offrent à nos clients et prospects un seul endroit pour collecter ces informations. Nous avons également rassemblé ci-dessous quelques questions fréquemment posées pour faciliter les contrôles de sécurité.
Rapports de conformité et assurance sécurité
GitLab dispose-t-elle d'un programme de sécurité de l'information ?
Oui. GitLab, Inc dispose d'un programme de sécurité de l'information documenté qui comprend des politiques et procédures incluant, sans s'y limiter, la gestion des accès, la classification et la protection des données, ainsi que la réponse aux incidents. Les liens vers ces documents sont disponibles sur ce site.
Le programme de sécurité de GitLab est-il conforme aux normes du secteur ?
Oui. GitLab, Inc dispose d'un service officiel chargé de la sécurité, responsable de la surveillance et du reporting de la conformité de GitLab avec divers frameworks de sécurité. Pour obtenir la liste la plus récente des frameworks de sécurité et certifications actuels, des certifications prévues et des instructions pour obtenir les documents d'assurance, veuillez consulter la page du manuel des certifications et attestations de sécurité de GitLab. GitLab a documenté des contrôles de sécurité qui répondent aux normes courantes du secteur.
GitLab dispose-t-elle d'attestations de conformité tierces ?
Oui. GitLab, Inc dispose actuellement d'un rapport SOC2 Type 2, d'une certification ISO 27001 et de plusieurs auto-attestations du secteur qui peuvent être fournies dans le cadre d'un accord de confidentialité. Pour obtenir la liste la plus à jour, veuillez consulter la page du manuel des certifications et attestations de sécurité de GitLab.
Sécurité du cloud
GitLab.com dépend-elle de fournisseurs de services cloud pour prendre en charge les services à la clientèle ?
Oui. GitLab.com est déployée sur l'Infrastructure as a Service de Google Cloud Platform (GCP) ainsi que sur plusieurs autres sous-traitants. Pour plus de détails sur l'architecture, veuillez consulter notre architecture de production
Framework de contrôle de GitLab
Conformément à la valeur fondamentale d'efficacité de GitLab Inc, notre équipe chargée de la conformité en matière de sécurité maintient un ensemble de contrôles de sécurité qui répondent à plusieurs exigences sous-jacentes. Certains contrôles courants sont indiqués ci-dessous.
GitLab crypte-t-elle mes données en transit et au repos ?
Oui. GitLab, Inc utilise TLS Strict, HTTPS et Universal SSL pour crypter les données en transit. Les données sont cryptées au repos à l'aide de Google Cloud Platform prenant en charge AES-256.
GitLab dispose-t-elle d'un plan d'intervention en cas d'incident ?
Oui. GitLab, Inc dispose d'une équipe dédiée à la réponse aux incidents de sécurité et d'un plan de gestion des incidents documenté qui comprend l'identification, le confinement, la correction et la communication tout au long du cycle de vie d'un incident.
GitLab fait-elle régulièrement l'objet de tests de pénétration par une entreprise tierce ?
Oui. GitLab, Inc fait appel à un prestataire de services tiers pour effectuer des tests de pénétration annuels de notre infrastructure et de nos produits. GitLab exige la mise en place d'un accord de confidentialité avant de fournir le rapport annuel. Une lettre d'engagement détaillée est demandée avec un accord de confidentialité.
GitLab dispose-t-elle d'un plan de continuité des activités/plan de reprise après sinistre ?
Oui, GitLab dispose d'un plan de continuité des activités qui est examiné et testé chaque année.
À quelles données GitLab a-t-elle accès (personnelles et professionnelles)
GitLab, Inc exige des informations pour la création d'un compte utilisateur, notamment le nom, l'adresse e-mail et les adresses IP. Les informations supplémentaires, telles que le nom de l'entreprise et le nombre d'employés, seront accessibles à des fins de facturation et de contractualisation. Les informations personnelles peuvent être supprimées de votre profil et les demandes d'effacement de données peuvent être effectuées à tout moment. GitLab, Inc est le responsable du traitement et nos clients sont les contrôleurs des données. Les autres informations qui peuvent être fournies, mais qui ne sont pas obligatoires, sont énumérées ci-dessous :
Informations personnelles (y compris, sans s'y limiter) :
- Ville
- Code postal
- Pays
- État ou territoire
GitLab effectue-t-elle des sauvegardes ?
Oui. GitLab effectue des sauvegardes avec données incrémentielles continues. Les sauvegardes sont cryptées et testées régulièrement.
Quels sont les délais RTO et RPO de GitLab ?
GitLab n'a actuellement pas défini de RTO/RPO pour la reprise après sinistre de GitLab.com. L'établissement d'objectifs précis dans le cadre de nos capacités de reprise est un objectif important pour GitLab. Conformément à notre engagement envers la transparence, nous ne communiquerons ces valeurs que lorsqu'elles pourront être considérées comme fiables sur la base des résultats réels des tests de scénarios de reprise après sinistre simulés. Nous vous invitons à vous familiariser avec notre architecture SaaS ainsi qu'avec la façon dont nous surveillons la disponibilité.
Sécurité des produits GitLab
Comment GitLab gère-t-elle les releases de sécurité ?
GitLab publie des correctifs pour les vulnérabilités dans des releases de sécurité dédiées. Il existe deux types de releases de sécurité :
- Les releases de sécurité planifiées mensuellement qui sont prévues pour être publiées une semaine après la release des fonctionnalités (qui est déployée chaque mois)
- Les releases de sécurité ad hoc pour les vulnérabilités critiques. Le correctif pour chaque vulnérabilité est rétroporté vers la version actuelle et les deux versions
major.minorprécédentes.
Pour vous aider à comprendre les vulnérabilités qui ont été corrigées, un article de blog accompagne chaque release de sécurité et comprend une brève description, les versions affectées et l'ID CVE attribué à chaque vulnérabilité. Les articles de blog sur les releases de fonctionnalités et de sécurité se trouvent dans la section releases de notre blog. De plus, les problèmes détaillant chaque vulnérabilité sont rendus publics 30 jours après la release dans laquelle ils ont été corrigés. Il est fortement recommandé à tous les clients d'effectuer une mise à niveau vers au moins la dernière version de sécurité pour leur version prise en charge.
Pour être informé de la publication d'une release de sécurité, les canaux suivants sont disponibles :
- Liste de diffusion des avis de sécurité
- Flux RSS des releases de sécurité
- Flux RSS de toutes les releases de GitLab
GitLab peut-elle informer ses clients à l'avance d'une release de sécurité ?
GitLab n'informe pas ses clients à l'avance des releases de sécurité. Nous avons deux raisons principales à cela :
- Comme mentionné ci-dessus, les releases de sécurité régulières sont prévues une semaine après la sortie de nos nouvelles fonctionnalités (qui a lieu tous les mois). Nous fixons la date des releases de sécurité après la release des fonctionnalités, et nous ne sommes pas toujours en mesure de déterminer avec précision la date exacte de release dans ce délai de sept jours (en raison des processus manuels et des retards potentiels imprévus qui peuvent survenir).
- Nous effectuons souvent des releases de sécurité critiques ad hoc, en particulier dans les cas urgents. Dans ces situations, il est difficile de fournir une annonce préalable, ce qui pourrait même retarder un correctif critique et exposer nos clients à des risques. Au lieu de cela, nous publions généralement la release dès que nous avons un correctif et notifions nos clients via notre liste de diffusion.
Nous comprenons que les releases de sécurité et les correctifs critiques ne sont pas toujours pratiques pour nos utilisateurs. Nous continuons à faire évoluer et à affiner nos processus de communication concernant les incidents de sécurité critiques et nous nous sommes fixé comme objectif un délai de 6 heures pour les communications clients liées à une vulnérabilité de gravité S1 pour transmettre les informations critiques aux utilisateurs dès que possible.
Le meilleur moyen de rester informé au sujet des releases de sécurité et des correctifs critiques est de vous abonner à notre liste de diffusion.
Les membres de l'équipe GitLab peuvent-ils accéder aux dépôts privés ?
Oui. Le support client de GitLab, Inc doit pouvoir accéder aux dépôts des clients hébergés sur gitlab.com. Cependant, les membres de l'équipe n'accèderont pas aux dépôts privés, sauf si cela est nécessaire pour l'assistance et le dépannage. Les formes d'accès incluent, sans s'y limiter, l'usurpation d'identité. Lorsque nous traitons un problème d'assistance, nous nous efforçons de respecter votre confidentialité autant que possible. Une fois que nous avons vérifié la propriété du compte, nous n'accédons qu'aux fichiers et paramètres nécessaires pour résoudre votre problème. Le support peut se connecter à votre compte pour accéder aux configurations, mais nous limiterons l'étendue de notre examen à l'accès minimum requis pour résoudre votre problème. Si nous devons cloner votre code, nous ne le ferons qu'avec votre consentement. Tous les dépôts clonés sont supprimés dès que le problème est résolu. Il existe deux exceptions à cette politique d'accès aux dépôts privés : nous enquêtons sur une violation présumée de nos conditions de service ou nous sommes contraints d'accéder aux dépôts dans le cadre d'une affaire juridique ou de sécurité.
GitLab peut-elle être renforcée ?
Oui. GitLab peut être renforcée et nous avons publié des informations à ce sujet. Elles sont disponibles dans des articles de blog et notre documentation. Consultez la section Renforcer votre instance GitLab pour plus d'informations.
Obtenir plus d'informations
Le Customer Assurance Package a été conçu pour permettre à quiconque d'examiner et d'évaluer la posture de sécurité de GitLab.
Cette FAQ s'applique uniquement à notre logiciel en tant que service (SaaS) ; GitLab.com.
Vous pouvez vous inscrire pour recevoir des notifications de sécurité sur la page de contact de notre site.