Secure

Static Application Security Testingは、GitLabの一部としてインストールされるオープンソースツールを使用して、デプロイ前にアプリケーションのソースコードとバイナリをスキャンし、潜在的な脆弱性を発見します。脆弱性はすべてのマージリクエストにインラインで表示され、結果は収集されて単一のレポートとして提示されます。

コミット内の認証情報とシークレットをチェックします。

ソースコードを自動的に分析して問題を表面化し、最新のコミットで品質が向上しているか悪化しているかを確認します。

Dynamic Application Security Testingは、実行中のWebアプリケーションを分析し、既知のランタイム脆弱性を検出します。GitLabのCI/CD機能の一部として各マージリクエストに対して作成されるReview App、外部にデプロイされたアプリケーション、またはアクティブなAPIに対してライブ攻撃を実行します。ユーザーはHTTP認証情報を提供してプライベートエリアをテストできます。脆弱性はすべてのマージリクエストにインラインで表示されます。また、オンデマンドDASTスキャンを利用することで、CI/CDパイプラインの外部でもテストを実行できます。

API Securityは、APIのテストと保護に焦点を当てています。DAST APIによる既知の脆弱性とAPI Fuzzingによる未知の脆弱性のテストを行い、API SecurityはライブAPIまたはReview Appに対して実行され、APIがデプロイされた後にのみ発見できる脆弱性を検出します。ユーザーは認証情報を提供して認証済みAPIをテストできます。脆弱性はすべてのマージリクエストにインラインで表示されます。

Fuzz Testingは、既知のペイロードではなく任意のペイロードを使用することで、結果を得る可能性を高めます。

GitLab CI/CDを使用して、各コードコミット時に外部依存関係（Ruby gemsなどのライブラリなど）の既知の脆弱性を分析します。このスキャンは、オープンソースツールとGemnasiumテクノロジー（現在はGitLabの一部）の統合に依存し、各マージリクエストにインラインで、更新が必要な脆弱な依存関係を表示します。結果は収集され、単一のレポートとして利用できます。

アプリケーション環境内の既知の脆弱性についてDockerイメージをチェックします。あらゆる種類のDocker（またはApp）イメージをスキャンできるオープンソースツールClairを使用して、公開脆弱性データベースに対してイメージの内容を分析します。脆弱性はすべてのマージリクエストにインラインで表示されます。

コードコミット時に、プロジェクトごとのカスタムポリシーで定義された承認済みライセンスとブラックリストライセンスについて、プロジェクトの依存関係が検索されます。使用されているソフトウェアライセンスがポリシーに準拠していない場合に識別されます。このスキャンは、オープンソースツールLicenseFinderに依存しており、ライセンス分析結果は各マージリクエストにインラインで表示され、即座に解決できます。