Automatisation intégrée et application des politiques

La gestion des identités et des accès (IAM) est l'un des plus grands vecteurs d'attaque dans la chaîne d'approvisionnement logicielle. Sécurisez l'accès à GitLab en authentifiant, en autorisant et en validant en permanence toutes les identités humaines et machines opérant dans votre environnement.

• Mettez en œuvre un contrôle d'accès granulaire, notamment une authentification à deux facteurs
• Établissez des politiques d'expiration des jetons
• Mettez en place des politiques conformément aux règles organisationnelles ou réglementaires
• Générez des rapports d'audit et de gouvernance complets pour le respect de la conformité
• Faites respecter les approbations par deux personnes pour des garde-fous supplémentaires

Garantissez la sécurité et l'intégrité de votre code source en gérant les personnes qui ont accès au code et la manière dont les modifications apportées au code sont examinées et fusionnées.

• Mettez en place un contrôle des versions, un historique du code et un contrôle d'accès à votre code source
• Utilisez des tests automatisés de qualité du code pour analyser l'impact des modifications sur les performances
• Faites respecter les règles de revue de code et d'approbation pour contrôler ce qui entre en production
• Exécutez des analyses de sécurité automatisées pour détecter les vulnérabilités avant que votre code ne soit fusionné
• Assurez-vous que les mots de passe et les informations sensibles ne se trouvent pas dans votre code source grâce à la détection des secrets automatisée
• Mettez en place des validations signées pour empêcher l'emprunt d'identité des développeurs

Vérifiez que toutes les dépendances open source utilisées dans vos projets ne contiennent aucune vulnérabilité divulguée, qu'elles proviennent d'une source fiable et qu'elles n'ont pas été modifiées.

• Générez une nomenclature logicielle de manière automatisée pour identifier les dépendances de vos projets
• Identifiez automatiquement les vulnérabilités de tout logiciel dépendant utilisé au moyen d'une analyse de la composition du logiciel automatisée
• Exécutez des analyses de conformité des licences pour vous assurer que votre projet utilise des logiciels dont les licences sont conformes aux politiques de votre entreprise

Empêchez les acteurs malveillants d'injecter des codes malveillants dans le processus de compilation et de prendre le contrôle du logiciel créé par le pipeline ou d'accéder aux secrets utilisés dans le pipeline.

• Isolez votre environnement de compilation pour empêcher l'accès non autorisé ou l'exécution de codes malveillants
• Conservez les preuves de la release pour prouver tout ce qui y est inclus
• Assurez-vous que vos artefacts de compilation ne sont pas compromis à l'aide d'une attestation d'artefact de compilation

Empêchez les attaquants d'exploiter les faiblesses de la conception ou de la configuration d'une application pour voler des données privées, obtenir un accès non autorisé à des comptes ou usurper l'identité d'utilisateurs légitimes.

• Établissez une connexion sécurisée avec votre cluster pour livrer vos artefacts de mise à jour
• Identifiez les vulnérabilités de sécurité dans les applications en cours d'exécution avant le déploiement
• Assurez-vous que vos interfaces API n'exposent pas votre application en cours d'exécution