Sicurezza - Domande frequenti

Domande frequenti sulla sicurezza di GitLab

Siete preoccupati per la sicurezza nei servizi cloud? Siete interessati a saperne di più sul programma di sicurezza di GitLab? Siete confusi su cosa sia un modello di responsabilità condivisa? Non siete soli!

Per saperne di più, iniziate scaricando il nostro Pacchetto di garanzia del cliente della comunità. Include 2 questionari di sicurezza comuni completati: il questionario CSA CAIQ di livello 1 e il questionario leggero di raccolta di informazioni standard (SIG). Questi due questionari documentano oltre 300 domande di sicurezza frequenti e forniscono ai nostri clienti e prospect un unico posto per raccogliere queste informazioni. Abbiamo anche raccolto alcune domande frequenti di seguito per aiutare nelle revisioni di sicurezza.

Rapporti di conformità e garanzia di sicurezza

GitLab ha un programma di sicurezza delle informazioni?

Sì. GitLab, Inc mantiene un programma di sicurezza delle informazioni documentato che include politiche e procedure incluse, tra l'altro, la gestione degli accessi, la classificazione e la protezione dei dati e la risposta agli incidenti. I link a questi documenti sono disponibili sul sito del Pacchetto di garanzia del cliente.

Il programma di sicurezza di GitLab è allineato con gli standard del settore?

Sì. GitLab, Inc mantiene un dipartimento formale di garanzia della sicurezza responsabile del monitoraggio e della segnalazione della conformità di GitLab con vari framework di sicurezza. Per l'elenco più aggiornato dei framework di sicurezza attuali e delle certificazioni, delle certificazioni previste e delle istruzioni per ottenere la documentazione di garanzia, consultare la pagina del manuale delle certificazioni e attestazioni di sicurezza di GitLab. GitLab ha documentato controlli di sicurezza che soddisfano gli standard comuni del settore.

GitLab dispone di attestazioni di conformità di terze parti?

Sì. GitLab, Inc attualmente dispone di un rapporto SOC2 di tipo 2, della certificazione ISO 27001 e di diverse auto-attestazioni del settore che possono essere fornite sotto NDA. Per l'elenco più aggiornato, consultare la pagina del manuale delle certificazioni e attestazioni di sicurezza di GitLab.

Sicurezza del cloud

GitLab.com dipende da provider cloud per supportare i servizi ai clienti?

Sì. GitLab.com è distribuito sull'infrastruttura Google Cloud Platform (GCP) come servizio (IaaS) nonché su diversi altri sub-processori. Per un'architettura dettagliata, consultare la nostra architettura di produzione

Framework di controllo di GitLab

Nello spirito del valore fondamentale di efficienza di GitLab Inc, il nostro team di conformità della sicurezza mantiene un insieme di controlli di sicurezza che affrontano molteplici requisiti sottostanti. Di seguito sono annotati alcuni controlli comuni.

GitLab crittografa i miei dati in transito e a riposo?

Sì. GitLab, Inc utilizza TLS Strict, HTTPS e Universal SSL per crittografare i dati in transito. I dati vengono crittografati a riposo utilizzando Google Cloud Platform con supporto AES-256.

GitLab ha un piano di risposta agli incidenti?

Sì. GitLab, Inc dispone di un team dedicato di risposta agli incidenti di sicurezza e di un piano di gestione degli incidenti documentato che include l'identificazione, il contenimento, la correzione e la comunicazione durante l'intero ciclo di vita di un incidente.

GitLab subisce regolarmente test di penetrazione da parte di una società terza?

Sì. GitLab, Inc stipula un contratto con un fornitore di servizi terzi per condurre test di penetrazione annuali della nostra infrastruttura e del nostro prodotto. GitLab richiede che un NDA sia in vigore prima di fornire il rapporto annuale. Una lettera di impegno dettagliata è richiesta con un NDA.

GitLab ha un piano di continuità aziendale/piano di ripristino di emergenza?

Sì, GitLab ha un piano di continuità aziendale che viene rivisto e testato annualmente.

A quali dati ha accesso GitLab (personali e aziendali)?

GitLab, Inc richiede informazioni per la creazione dell'account utente, inclusi, tra gli altri, nome, email e indirizzi IP. Le informazioni aziendali aggiuntive, come il nome dell'azienda e il numero di dipendenti, saranno accessibili per supportare la fatturazione e la stipula di contratti. Le informazioni personali possono essere eliminate dal vostro profilo e le richieste di cancellazione dei dati possono essere effettuate in qualsiasi momento. GitLab, Inc è il responsabile del trattamento e i nostri clienti sono titolari del trattamento. Altre informazioni che possono essere fornite, ma non sono obbligatorie, sono elencate di seguito:

Dettagli personali (inclusi, tra gli altri):

  • Città
  • Codice postale
  • Paese
  • Stato o territorio

GitLab esegue backup?

Sì. GitLab esegue backup con dati incrementali continui. I backup vengono crittografati e testati regolarmente.

Quali sono i tempi RTO e RPO di GitLab?

GitLab attualmente non ha un RTO/RPO dichiarato per il ripristino di emergenza di GitLab.com. L'istituzione di obiettivi dichiarati come parte delle nostre capacità di ripristino è un obiettivo importante per GitLab. In conformità con il nostro impegno verso la trasparenza, forniremo questi valori solo quando potranno essere affidabili sulla base dei risultati effettivi dei test di scenari di ripristino di emergenza simulati. Vi invitiamo a familiarizzarvi con la nostra architettura SaaS nonché con il modo in cui monitoriamo la disponibilità.

Sicurezza dei prodotti GitLab

Come gestisce GitLab i rilasci di sicurezza?

GitLab rilascia patch per le vulnerabilità nei rilasci di sicurezza dedicati. Esistono due tipi di rilasci di sicurezza:

  • Rilascio di sicurezza programmato mensilmente che dovrebbe essere rilasciato una settimana dopo il rilascio della funzionalità (che viene distribuito ogni mese)
  • Rilasci di sicurezza ad hoc per vulnerabilità critiche. La correzione per ogni vulnerabilità viene sottoportata al rilascio corrente e alle 2 versioni major.minor precedenti.

Per aiutarvi a comprendere le vulnerabilità che sono state corrette, un post di blog accompagna ogni rilascio di sicurezza e include una breve descrizione, le versioni interessate e l'ID CVE assegnato per ogni vulnerabilità. I post di blog sui rilasci di funzionalità e sicurezza si trovano nella sezione releases del nostro blog. Inoltre, i problemi che descrivono in dettaglio ogni vulnerabilità vengono resi pubblici 30 giorni dopo il rilascio in cui sono stati corretti. Si consiglia vivamente a tutti i clienti di eseguire l'aggiornamento almeno all'ultimo rilascio di sicurezza per la loro versione supportata.

Per essere notificati quando viene rilasciato un rilascio di sicurezza, sono disponibili i seguenti canali:

GitLab può fornire un preavviso ai clienti riguardante un rilascio di sicurezza?

Non offriamo ai clienti un preavviso dei rilasci di sicurezza. Abbiamo due ragioni principali per questo:

  • Come abbiamo menzionato sopra, i rilasci di sicurezza regolari sono destinati a essere rilasciati una settimana dopo il nostro rilascio di funzionalità (che viene distribuito ogni mese). Impostiamo la data dei rilasci di sicurezza dopo il rilascio della funzione, e non siamo sempre in grado di identificare con precisione una data di rilascio esatta entro quella finestra di sette giorni (a causa di processi manuali che ancora esistono e potenziali ritardi imprevisti che possono verificarsi).
  • Spesso eseguiamo rilasci di sicurezza critici ad hoc, specialmente nei casi che comportano una grande urgenza. In questi scenari, fornire un preavviso è difficile e potrebbe persino ritardare una correzione critica, mettendo a rischio i nostri clienti. Invece, in genere rilasciamo non appena abbiamo una correzione e notifichiamo tramite la nostra mailing list degli avvisi di sicurezza.

Comprendiamo che i rilasci di sicurezza e le correzioni critiche non sono sempre convenienti per i nostri utenti. Continuiamo a rivedere e perfezionare i nostri processi di comunicazione relativi agli incidenti di sicurezza critici e abbiamo stabilito l'obiettivo di una finestra di 6 ore per il turnaround sulle comunicazioni con i clienti relative a una vulnerabilità di gravità S1 per mettere le informazioni critiche nelle mani degli utenti il prima possibile.

Il modo migliore per stare al passo con i rilasci di sicurezza e le correzioni critiche è iscriversi alla nostra mailing list degli avvisi di sicurezza.

I membri del team di GitLab possono accedere ai repository privati?

Sì. Il supporto clienti di GitLab, Inc richiede l'accesso ai repository dei clienti ospitati su gitlab.com; tuttavia, i membri del team non accederanno ai repository privati a meno che non sia necessario per il supporto e la risoluzione dei problemi. Le forme di accesso includono, tra le altre, rappresentazione. Quando si lavora su un problema di supporto, ci sforziamo di rispettare la vostra privacy il più possibile. Una volta verificata la proprietà dell'account, accediamo solo ai file e alle impostazioni necessari per risolvere il vostro problema. Il supporto può accedere al vostro account per accedere alle configurazioni, ma limiteremo l'ambito della nostra revisione all'accesso minimo necessario per risolvere il vostro problema. Nel caso in cui abbiamo bisogno di estrarre un clone del vostro codice, lo faremo solo con il vostro consenso. Tutti i repository clonati vengono eliminati non appena il problema di supporto viene risolto. Ci sono due eccezioni a questa politica di accesso ai repository privati: stiamo indagando su una presunta violazione dei nostri termini di servizio o siamo obbligati ad accedere ai repository come parte di una questione legale o di sicurezza.

GitLab può essere rafforzato?

Sì. GitLab può essere rafforzato e abbiamo rilasciato informazioni al riguardo. È disponibile nei post di blog e nella nostra documentazione. Consultare Rafforzamento dell'istanza di GitLab per ulteriori informazioni.

Ottenere ulteriori informazioni

Il Pacchetto di garanzia del cliente è stato progettato per consentire a chiunque di rivedere e valutare il profilo di sicurezza di GitLab.

Questo FAQ si applica solo al nostro software come servizio (SaaS); GitLab.com.

Potete iscrivervi agli avvisi di sicurezza sulla pagina di contatto.