Sicurezza
GitLab fornisce test statici della sicurezza delle applicazioni (SAST), test dinamici della sicurezza delle applicazioni (DAST), analisi dei container e analisi delle dipendenze, per aiutarti a realizzare applicazioni sicure e a soddisfare i requisiti di conformità delle licenze.
Categorie di prodotti
SAST
Il test statico della sicurezza delle applicazioni (SAST) analizza il codice sorgente e i file binari dell'applicazione per individuare potenziali vulnerabilità prima del deployment utilizzando strumenti open-source integrati all'interno della piattaforma GitLab. Le vulnerabilità vengono mostrate in linea per ogni richiesta di merge e i risultati sono raccolti e presentati in un unico report.
Code Quality
Analizza automaticamente il tuo codice sorgente per individuare i ticket e valutare se la qualità sta migliorando o peggiorando con l'ultimo commit eseguito.
DAST
Il test dinamico della sicurezza delle applicazioni (DAST) analizza un'applicazione web operativa per individuare vulnerabilità note che possono manifestarsi durante l'esecuzione dell'applicazione stessa. Esegue attacchi in tempo reale contro un'app di revisione, un'applicazione di cui è stato eseguito il deployment all'esterno o un'API attiva, creata per ogni richiesta di merge nel contesto delle funzionalità di CI/CD offerte da GitLab. Gli utenti possono fornire credenziali HTTP per testare le aree private. Le vulnerabilità vengono mostrate in linea per ogni richiesta di merge. I test possono inoltre essere eseguiti al di fuori delle pipeline di CI/CD utilizzando analisi DAST on-demand.
Sicurezzza delle API
La sicurezza delle API riguarda il collaudo e la protezione delle API. Effettuando test mirati per rilevare le vulnerabilità conosciute (tramite metodologie DAST) e sconosciute (mediante il fuzzing dell'API), il protocollo di sicurezza delle API viene eseguito su un'API operativa o su un'app di revisione per individuare le vulnerabilità che si manifestano solo dopo il deployment dell'API. Gli utenti possono fornire credenziali per testare le API autenticate. Le vulnerabilità vengono mostrate in linea per ogni richiesta di merge.
Test di fuzzing
I test di fuzzing aumentano le possibilità di ottenere risultati utilizzando payload arbitrari in luogo di quelli noti.
Analisi delle dipendenze
Analizza le dipendenze esterne, ad esempio librerie e gem in Ruby, per individuare le vulnerabilità note in ogni commit di codice con la CI/CD di GitLab. Questa analisi si basa su strumenti open-source e sull'integrazione con la tecnologia Gemnasium (ora parte di GitLab) per mostrare, in linea per ogni richiesta di merge, le dipendenze vulnerabili che necessitano di un aggiornamento. I risultati vengo raccolti e aggregati in un unico report.
Scansione dei container
Controlla le immagini Docker per individuare vulnerabilità note nell'ambiente applicativo. Esamina i contenuti delle immagini rispetto ai database di vulnerabilità pubblici utilizzando Clair, uno strumento open-source in grado di analizzare qualsiasi tipo di immagine Docker tradizionale o di altre applicazioni simili. Le vulnerabilità vengono mostrate in linea per ogni richiesta di merge.
Conformità delle licenze
Una volta eseguito il commit del codice, le dipendenze vengono analizzate per verificare la presenza di licenze autorizzate e inserite in blacklist. Tali licenze sono definite secondo criteri personalizzati e specifici per ciascun progetto. Le licenze software in uso vengono identificate se non sono conformi ai criteri prestabiliti. Questa analisi si basa sullo strumento open-source LicenseFinder e i risultati vengono mostrati tempestivamente per ogni richiesta di merge in modo da risolvere immediatamente eventuali problemi di incompatibilità.
Scopri di più sulla nostra roadmap delle funzionalità in arrivo nella pagina delle implementazioni future.