Secure

Les tests de sécurité des applications statiques analysent le code source et les binaires de l'application pour repérer les vulnérabilités potentielles avant le déploiement à l'aide d'outils open source installés dans le cadre de GitLab. Les vulnérabilités sont affichées en ligne avec chaque merge request et les résultats sont collectés et présentés sous forme de rapport unique.

Vérifiez la présence d'identifiants et de secrets dans les commits.

Analysez automatiquement votre code source pour identifier les problèmes et déterminer si la qualité s'améliore ou se dégrade avec le dernier commit.

Les tests de sécurité des applications dynamiques analysent votre application web en cours d'exécution pour détecter les vulnérabilités d'exécution connues. Ils effectuent des attaques en direct contre une Review App, une application déployée en externe ou une API active, créée pour chaque merge request dans le cadre des capacités CI/CD de GitLab. Les utilisateurs peuvent fournir des identifiants HTTP pour tester les zones privées. Les vulnérabilités sont affichées en ligne avec chaque merge request. Les tests peuvent également être exécutés en dehors des pipelines CI/CD en utilisant des analyses DAST à la demande.

API Security se concentre sur les tests et la protection des API. En testant les vulnérabilités connues avec DAST API et les vulnérabilités inconnues avec API Fuzzing, API Security s'exécute sur une API en direct ou une Review App pour découvrir les vulnérabilités qui ne peuvent être révélées qu'après le déploiement de l'API. Les utilisateurs peuvent fournir des identifiants pour tester les API authentifiées. Les vulnérabilités sont affichées en ligne avec chaque merge request.

Les tests de fuzzing augmentent les chances d'obtenir des résultats en utilisant des charges utiles arbitraires plutôt que des charges bien connues.

Analysez les dépendances externes (par exemple, les bibliothèques comme les gems Ruby) pour détecter les vulnérabilités connues à chaque commit de code avec GitLab CI/CD. Cette analyse s'appuie sur des outils open source et sur l'intégration de la technologie Gemnasium (désormais partie de GitLab) pour afficher, en ligne avec chaque merge request, les dépendances vulnérables nécessitant une mise à jour. Les résultats sont collectés et disponibles sous forme de rapport unique.

Vérifiez les images Docker pour détecter les vulnérabilités connues dans l'environnement d'application. Analysez le contenu des images par rapport aux bases de données de vulnérabilités publiques à l'aide de l'outil open source Clair, capable d'analyser tout type d'image Docker (ou App). Les vulnérabilités sont affichées en ligne avec chaque merge request.

Lors du commit de code, les dépendances du projet sont recherchées pour identifier les licences approuvées et sur liste noire définies par des politiques personnalisées par projet. Les licences logicielles utilisées sont identifiées si elles ne sont pas conformes à la politique. Cette analyse s'appuie sur un outil open source, LicenseFinder, et les résultats de l'analyse des licences sont affichés en ligne pour chaque merge request pour une résolution immédiate.