Sécurité et conformité

Sécurité et conformité de bout en bout, intégrées directement à la plateforme que vos développeurs utilisent déjà.

Contacter l'équipe commerciale

Commencer votre essai gratuit

Ces entreprises nous font confiance :

Livraison logicielle rapide et conforme en termes de sécurité

GitLab est la seule plateforme qui dispose de toutes les fonctionnalités de sécurité dont vous avez besoin, pour les applications comme pour les API.

GitLab est la seule plateforme qui fournit une assistance alimentée par l'IA à chaque étape du cycle du développement logiciel pour aider les développeurs à écrire du code plus sécurisé. Elle offre également des fonctionnalités d'IA de suggestions de code, d'explication des vulnérabilités et de génération de merge requests contenant les modifications requises pour corriger les vulnérabilités.

Priorité à la sécurité pour les développeurs. Un développement logiciel plus sécurisé.

Sécurité des applications et des API

Accédez à toute la gamme des scans de sécurité sur une seule plateforme

Scanning précompilation

Assurez-vous de la conformité du code et détectez d'éventuelles failles de sécurité avant le déploiement en utilisant la détection des secrets, les tests statiques de sécurité des applications (SAST), le scanning de l'Infrastructure as Code (IaC), l'analyse des dépendances et la vérification des licences.

Scanning post-compilation

Simulez les attaques potentielles et l'activité des pirates dans votre application en utilisant des tests de sécurité de l'API, l'analyse opérationnelle des conteneurs, les tests dynamiques de sécurité des applications (DAST) et des tests à données aléatoires.

Sécurité de la chaîne d'approvisionnement logicielle

Gardez une longueur d'avance sur les menaces et livrez des logiciels plus rapidement

Gestion dynamique des SBOM

Générez automatiquement une nomenclature logicielle standard (SBOM) à chaque analyse de conteneur ou de dépendance, ou importez un SBOM depuis votre outil préféré, et fusionnez aisément plusieurs SBOM CycloneDX en un seul.

Analyse continue des vulnérabilités

Protégez votre entreprise contre les attaques zero-day en examinant en continu vos applications pour détecter les vulnérabilités open source connues, indépendamment de la date de la dernière mise à jour de votre code.

Conformité et gouvernance

Imposez la conformité à grande échelle

Visibilité centralisée de la conformité

Bénéficiez d'une visibilité centralisée sur les journaux d'audit, la sécurité des identifiants de connexion et la conformité des projets aux exigences réglementaires.

Gestion flexible des stratégies de sécurité

Effectuez des scans de sécurité ciblés et exécutez des jobs CI obligatoires, garantissant que les développeurs ne puissent pas les contourner. Assurez-vous que toutes les exigences de sécurité, légales et de conformité sont respectées avant de fusionner le code.

GitLab nous a offert toutes les fonctionnalités et l'automatisation dont nous avions besoin dans une seule application. Cela a simplifié notre travail. Avec la planification, le suivi des tickets et les scans de sécurité réunis en un seul endroit, il est difficile de comparer GitLab à ce que nous utilisions auparavant.

Wesley Monroe

Technical Project Manager, CACI

90 %

économies de main-d'œuvre/d'administration

13x

scanning de sécurité plus rapide

Lire l'étude de cas

Découvrez toutes les fonctionnalités de sécurité et de conformité

Gérez les vulnérabilités, les stratégies de sécurité et la conformité à chaque étape de votre projet.

Analyse des conteneurs

Effectuez un scan de sécurité des images de vos conteneurs pour détecter les vulnérabilités connues dans l'environnement de l'application. Le contenu des images est comparé aux bases de données publiques de vulnérabilités. Les résultats des scans de sécurité, les informations complémentaires et les solutions proposées sont directement intégrés inline dans les merge requests. Les résultats sont tous fournis dans un seul rapport. L'analyse des conteneurs est considérée comme faisant partie intégrante de l'Analyse de la composition logicielle (SCA).

Intégration des scannings de sécurité directement dans l'IDE

Analyse des conteneurs

Analyse automatisée des conteneurs pour détecter les vulnérabilités

Analyse de la composition logicielle

Analysez les dépendances externes de votre application pour détecter les vulnérabilités connues à chaque validation de code dans le pipeline CI/CD. Les vulnérabilités, ainsi que les informations associées et les solutions, sont affichées sous forme de commentaires inline dans chaque merge request. Les résultats des scans de sécurité sont consolidés dans un rapport unique. Lors de la validation du code, les dépendances du projet sont vérifiées pour s'assurer qu'elles respectent les licences approuvées ou refusées selon les politiques personnalisées de chaque projet. Les licences logicielles non conformes aux politiques sont identifiées et présentées inline dans chaque merge request pour une résolution rapide.

Intégration des scannings de sécurité directement dans l'IDE

Analyse des dépendances

Analyse des dépendances automatisée pour détecter les vulnérabilités

Conformité des licences logicielles

Sécurité des API

Sécurisez et protégez les interfaces de programmation d'applications (API) Web contre l'accès non autorisé, l'utilisation abusive et les attaques. Effectuez des tests de pénétration des API à l'aide de DAST pour détecter les vulnérabilités connues. Recherchez les vulnérabilités inconnues en effectuant des tests à données aléatoires des paramètres de fonctionnement de l'API Web. Les utilisateurs peuvent fournir des identifiants de connexion afin de tester les API authentifiées. Les vulnérabilités, ainsi que les informations associées et les solutions, sont affichées sous forme de commentaires inline dans chaque merge request. Les résultats des scans de sécurité sont consolidés dans un rapport unique.

Intégration des scannings de sécurité directement dans l'IDE

Tests de sécurité de l'API

Test de l'API par injection de données aléatoires

Scans à la demande de tests de sécurité de l'API

Tests à données aléatoires

Ces tests envoient des intrants aléatoires à une version instrumentée de votre application dans le but de provoquer un comportement inattendu afin d'identifier un bogue qu'il faut résoudre. Cela vous permet de repérer les bogues et les problèmes de sécurité potentiels que d'autres processus d'assurance qualité peuvent ne pas détecter.

Intégration des scannings de sécurité directement dans l'IDE

Test à données aléatoires guidé par la couverture de code

DAST

Exécute des tests de pénétration automatisés pour trouver les vulnérabilités dans les applications web et les API en cours d'exécution. DAST peut exécuter des attaques en direct contre une Review App, une application déployée en externe ou une API active. Les scans peuvent être exécutés pour chaque merge request, selon un calendrier ou même à la demande. DAST prend en charge les identifiants de connexion HTTP saisis par l'utilisateur pour tester les zones privées de votre application. Les vulnérabilités, ainsi que les informations associées et les solutions, sont affichées sous forme de commentaires inline dans chaque merge request. Les résultats sont tous fournis dans un seul rapport.

Intégration des scannings de sécurité directement dans l'IDE

Test dynamique de sécurité des applications (DAST)

DAST à la demande

Profils de site et de scanner pour les scans DAST à la demande

Interface utilisateur de configuration DAST

Planification des scans DAST à la demande

DAST

Code Quality

Analyse la qualité et la complexité de votre code source. Cela permet de garder votre code simple, lisible et plus facile à maintenir.

Widget Code Quality pour MR

Rapports Code Quality

Avis de violation Code Quality dans les diffs des MR

Détection des secrets

Analyse votre dépôt pour prévenir l'exposition de vos secrets. L'analyse de détection de secrets fonctionne sur tous les fichiers texte, quel que soit le langage ou le framework utilisé. Le code qui fait l'objet d'un push vers une branche Git distante peut être rejeté si un secret est détecté.

Intégration des scannings de sécurité directement dans l'IDE

Détection des secrets

Ensembles de règles personnalisés pour la détection de secrets

Analyse l'intégralité de l'historique des dépôts Git pour la détection des secrets

Réponse automatique aux secrets divulgués

Protection contre le push de secrets (bêta)

SAST

Analyse le code source et les binaires de votre application pour détecter les vulnérabilités potentielles avant le déploiement. SAST prend en charge l'analyse d'une variété de langages de programmation différents et choisit automatiquement le bon analyseur même si votre projet utilise plusieurs langages. Les vulnérabilités, ainsi que les informations associées et les solutions, sont affichées sous forme de commentaires inline dans chaque merge request. Les résultats des scans de sécurité sont consolidés dans un rapport unique.

Test statique de sécurité des applications (SAST)

Configuration via l'interface utilisateur (UI)

Intégration des scannings de sécurité directement dans l'IDE

Ensembles de règles personnalisés pour SAST

Scans de sécurité de l'Infrastructure as Code (IaC)

Explication des vulnérabilités

Cette fonctionnalité vous aide à corriger les vulnérabilités plus efficacement, à améliorer vos compétences et à écrire du code plus sécurisé.

Explication des vulnérabilités

Résolution des vulnérabilités

Cette fonctionnalité génère une merge request contenant les modifications requises pour corriger une vulnérabilité.

Résolution des vulnérabilités

Preuve de release

Les preuves de release offrent des garanties et une collecte de données essentielles pour vous permettre de faire confiance aux modifications que vous apportez. Lorsqu'une nouvelle version est générée, GitLab capture un instantané des données de version pertinentes pour servir de preuve de sa création.

Preuve de release

Gestion de la conformité

La gestion de la conformité fournit aux clients les outils nécessaires pour assurer et gérer leurs programmes de conformité.

Configuration du pipeline de conformité

Frameworks de conformité personnalisés

Rapport sur les frameworks de conformité

Messages personnalisables de l'en-tête et du pied de page du système

Ticket Jira obligatoire avant de fusionner le code

Rapport d'adhésion aux normes de conformité

Rapport de violations

Imposer les paramètres d'approbation des merge requests

Événements d'audit

La gestion de la conformité fournit aux clients les outils nécessaires pour assurer et gérer leurs programmes de conformité.

Rapport d'événements d'audit

Exportation CSV des événements d'audit

Rapport sur la chaîne de possession

Accès des auditeurs

Événements d'audit en streaming

Nomenclature logicielle

GitLab vous permet de sécuriser votre chaîne d'approvisionnement logicielle, y compris les règles push, les scans de sécurité du code, la gestion de la SBOM et l'application des stratégies de conformité.

Nomenclature logicielle

Gestion des dépendances

La gestion des dépendances permet aux utilisateurs d'examiner les dépendances projets/groupes et les détails clés sur ces dépendances, y compris les vulnérabilités, leurs licences et leur empaqueteur.

Gestion des dépendances

Gestion des vulnérabilités

La gestion des vulnérabilités permet une collaboration entre les équipes de sécurité en fournissant une interface uniforme pour évaluer la posture de sécurité de leurs applications. Les équipes de sécurité peuvent afficher, classer par ordre de priorité, suivre et résoudre les vulnérabilités détectées par les différents scanners GitLab.

Intégration des scannings de sécurité directement dans l'IDE

Gestion des vulnérabilités

Objets de vulnérabilité autonomes

Rapports sur les vulnérabilités

Tableaux de bord de sécurité

Création de tickets Jira à partir des vulnérabilités

Résumé du scan de sécurité intégré aux merge requests

Formation à la sécurité intégrée

Gestion de la stratégie de sécurité

La gestion unifiée des stratégies de sécurité fournit aux équipes de sécurité et de conformité un moyen d'appliquer les contrôles à l'ensemble de leur projet pour l'ensemble des scanners et technologies de sécurité de GitLab.

Stratégies de sécurité

Approbations de sécurité

Approbations de licence

Stratégies d'approbation des merge requests

Vérifications du statut des systèmes externes

Portées de la stratégie de sécurité