Automatisation intégrée et application des politiques

La gestion des identités et des accès (IAM) est l'un des plus grands vecteurs d'attaque dans la chaîne d'approvisionnement logicielle. Sécurisez l'accès à GitLab en authentifiant, en autorisant et en validant en permanence toutes les identités humaines et machines opérant dans votre environnement.

• Mettez en place un contrôle d'accès granulaire, notamment une authentification à deux facteurs
• Définissez des politiques d'expiration des tokens
• Mettez en place des politiques conformément aux règles organisationnelles ou réglementaires
• Générez des rapports d'audit et de gouvernance complets pour assurer la conformité
• Imposez les approbations par deux personnes pour ajouter des garde-fous supplémentaires

Assurez la sécurité et l'intégrité de votre code source en contrôlant l'accès des utilisateurs et en définissant les processus de révision et de merge des modifications.

• Mettez en place un contrôle de versions, un historique du code et un contrôle d'accès à votre code source
• Utilisez des tests automatisés de qualité du code pour analyser l'impact des modifications sur les performances
• Faites respecter les règles de revue de code et d'approbation pour contrôler ce qui entre en production
• Exécutez des analyses de sécurité automatisées pour détecter les vulnérabilités avant que votre code ne soit fusionné
• Assurez-vous que les mots de passe et les informations contenant des données sensibles ne se trouvent pas dans votre code source grâce à la détection des secrets automatisée
• Mettez en place des validations signées pour empêcher l'emprunt d'identité des développeurs

Vérifiez que toutes les dépendances open source utilisées dans vos projets ne contiennent aucune vulnérabilité divulguée, qu'elles proviennent d'une source fiable et qu'elles n'ont pas été modifiées.

• Générez une nomenclature logicielle de manière automatisée pour identifier les dépendances de vos projets
• Identifiez automatiquement les vulnérabilités de tout logiciel dépendant utilisé au moyen d'une analyse de la composition du logiciel (SCA) automatisée
• Exécutez des analyses de conformité des licences logicielles pour vous assurer que votre projet utilise des logiciels dont les licences sont conformes aux politiques de votre entreprise

Empêchez les acteurs malveillants d'injecter des codes malveillants dans le processus de compilation et de prendre le contrôle du logiciel créé par le pipeline ou d'accéder aux secrets utilisés dans le pipeline.

• Isolez votre environnement de compilation pour empêcher l'accès non autorisé ou l'exécution de codes malveillants
• Conservez les preuves de déploiement pour prouver tout ce qui y est inclus
• Assurez-vous que vos artefacts de compilation ne sont pas compromis à l'aide d'une attestation d'artefact de compilation

Empêchez les attaquants d'exploiter les faiblesses du design ou de la configuration d'une application pour voler des données privées, obtenir un accès non autorisé à des comptes ou usurper l'identité d'utilisateurs légitimes.

• Établissez une connexion sécurisée avec votre cluster pour livrer vos artefacts de sortie de nouvelle version
• Identifiez les vulnérabilités de sécurité dans les applications en cours d'exécution avant le déploiement
• Assurez-vous que vos interfaces API n'exposent pas votre application en cours d'exécution