Sécurisation
GitLab propose des tests statiques de sécurité des applications (SAST), des tests dynamiques de sécurité des applications (DAST), l'analyse des conteneurs, ainsi que l'analyse des dépendances pour contribuer à la livraison d'applications sécurisées et à la conformité des licences.
Catégories de produit
SAST
Le test statique de sécurité des applications analyse le code source et les binaires de l'application pour détecter les vulnérabilités potentielles avant le déploiement, à l'aide d'outils open source intégrés à GitLab. Les vulnérabilités apparaissent sous forme de commentaires inline dans chaque merge request et les résultats du test sont rassemblés et présentés dans un seul et même rapport.
Détection des secrets
Recherchez des identifiants de connexion et des secrets dans les validations.
GitLab Code Quality
Analysez automatiquement votre code source pour détecter les problèmes potentiels et vérifier si sa qualité s'améliore ou se dégrade suite à la dernière validation en date.
DAST
Le test dynamique de sécurité des applications analyse votre application Web en cours d'exécution à la recherche de vulnérabilités de runtime connues. Il lance des attaques en temps réel sur une version temporaire de l'application. Ce peut être une application déployée en externe ou une API active. Ces attaques sont créées pour chaque merge request dans le cadre des processus CI/CD de GitLab. Les utilisateurs peuvent fournir des identifiants de connexion HTTP pour tester les zones privées. Les vulnérabilités apparaissent inline avec chaque merge request. Les tests peuvent également être exécutés en dehors des pipelines CI/CD en utilisant des scans DAST à la demande.
Sécurité des API
La sécurité des API se concentre sur le test et la protection des API. En testant les vulnérabilités connues à l'aide de l'API de DAST et les vulnérabilités inconnues avec le test de l’API par injection de données aléatoires, la sécurité des API s'exécute sur une API active, en temps réel, ou une version temporaire de l'application. L'objectif est de détecter les vulnérabilités qui ne peuvent être découvertes qu'une fois l'API déployée et en fonctionnement. Les utilisateurs peuvent fournir des identifiants de connexion pour tester les API protégées par une authentification. Les vulnérabilités apparaissent inline avec chaque merge request.
Tests à données aléatoires
Les tests à données aléatoires augmentent les chances d'obtenir des résultats en utilisant des charges utiles arbitraires au lieu de celles bien connues.
Analyse des dépendances
Analysez les dépendances externes de votre projet (par exemple, les bibliothèques des gems Ruby) avec GitLab CI/CD, à chaque nouvelle validation de code, à la recherche de vulnérabilités connues. Cette analyse s'appuie sur des outils open source et sur l'intégration de la technologie Gemnasium (qui fait désormais partie de GitLab) pour afficher les dépendances vulnérables nécessitant une mise à jour, sous forme de commentaires inline dans chaque merge request. Les résultats sont rassemblés et disponibles dans un seul et même rapport.
Analyse des conteneurs
Vérifiez les vulnérabilités connues des images Docker dans l'environnement de l'application. Analysez le contenu des images par rapport aux bases de données publiques de vulnérabilités à l'aide de l'outil open source Clair, capable de numériser tout type d'image Docker (ou App). Les vulnérabilités apparaissent inline avec chaque merge request.
Conformité des licences logicielles
Lors de la validation du code, les dépendances du projet sont recherchées pour les licences approuvées et mises sur liste d'exclusion, définies par des politiques personnalisées pour chaque projet. Si les licences logicielles utilisées ne sont pas conformes à la politique, elles sont identifiées. Ce scan s'appuie sur un outil open source, LicenseFinder, et les résultats de l'analyse des licences sont affichés inline pour chaque merge request, en vue d'une résolution immédiate.
Pour en savoir plus sur notre feuille de route des prochaines fonctionnalités, consultez notre page Orientation.