Secure

Lo Static Application Security Testing scansiona il codice sorgente e i binari dell'applicazione per individuare potenziali vulnerabilità prima del deployment utilizzando strumenti open source installati come parte di GitLab. Le vulnerabilità vengono mostrate in linea con ogni merge request e i risultati vengono raccolti e presentati come un unico report.

Controlli le credenziali e i segreti nei commit.

Analizzi automaticamente il suo codice sorgente per individuare problemi e verificare se la qualità sta migliorando o peggiorando con l'ultimo commit.

Il Dynamic Application Security Testing analizza la sua applicazione web in esecuzione per individuare vulnerabilità di runtime note. Esegue attacchi live contro una Review App, un'applicazione distribuita esternamente o un'API attiva, creata per ogni merge request come parte delle funzionalità CI/CD di GitLab. Gli utenti possono fornire credenziali HTTP per testare aree private. Le vulnerabilità vengono mostrate in linea con ogni merge request. I test possono anche essere eseguiti al di fuori delle pipeline CI/CD utilizzando scansioni DAST on-demand.

API Security si concentra sul test e sulla protezione delle API. Testando le vulnerabilità note con DAST API e le vulnerabilità sconosciute con API Fuzzing, API Security viene eseguito contro un'API live o una Review App per scoprire vulnerabilità che possono essere scoperte solo dopo che l'API è stata distribuita. Gli utenti possono fornire credenziali per testare API autenticate. Le vulnerabilità vengono mostrate in linea con ogni merge request.

Il fuzz testing aumenta le possibilità di ottenere risultati utilizzando payload arbitrari invece di quelli noti.

Analizzi le dipendenze esterne (ad esempio librerie come i gem Ruby) per individuare vulnerabilità note ad ogni commit del codice con GitLab CI/CD. Questa scansione si basa su strumenti open source e sull'integrazione con la tecnologia Gemnasium (ora parte di GitLab) per mostrare, in linea con ogni merge request, le dipendenze vulnerabili che necessitano di aggiornamento. I risultati vengono raccolti e sono disponibili come un unico report.

Controlli le immagini Docker per individuare vulnerabilità note nell'ambiente dell'applicazione. Analizzi i contenuti delle immagini rispetto ai database di vulnerabilità pubblici utilizzando lo strumento open source Clair, in grado di scansionare qualsiasi tipo di immagine Docker (o App). Le vulnerabilità vengono mostrate in linea con ogni merge request.

Al momento del commit del codice, le dipendenze del progetto vengono cercate per individuare licenze approvate e in blacklist definite da policy personalizzate per progetto. Le licenze software utilizzate vengono identificate se non sono conformi alla policy. Questa scansione si basa su uno strumento open source, LicenseFinder, e i risultati dell'analisi delle licenze vengono mostrati in linea per ogni merge request per una risoluzione immediata.