Secure
GitLabの静的アプリケーションセキュリティテスト(SAST)、動的アプリケーションセキュリティテスト(DAST)、コンテナのスキャン、および依存関係スキャンを使用すると、ライセンスコンプライアンスを実現しながら、安全なアプリケーションを提供できます。
製品カテゴリ
SAST
静的アプリケーションセキュリティテストは、GitLabの一部としてインストールされているオープンソースツールを使用し、デプロイ前にアプリケーションのソースコードとバイナリをスキャンして潜在的な脆弱性を特定するものです。脆弱性はマージリクエストごとにインラインで表示され、結果は単一のレポートとして収集および表示されます。
DAST
動的アプリケーションセキュリティテスト(DAST)は、既知のランタイムの脆弱性について実行中のWebアプリケーションを分析します。GitLabのCI/CD機能の一部であるすべてのマージリクエストに対して作成されたReview Apps、外部デプロイアプリケーション、またはアクティブなAPIに対してライブ攻撃を実行します。ユーザーはプライベートエリアをテストするためにHTTP認証情報を提供できます。脆弱性はマージリクエストごとにインラインで表示されます。オンデマンドDASTスキャンを利用して、CI/CDパイプライン外部でテストを実行することもできます。
APIセキュリティ
APIセキュリティは、APIのテストと保護に重点を置くものです。DAST APIを使用した既知の脆弱性とAPIファジングを使用した未知の脆弱性のテスト、APIセキュリティはライブAPIまたはReview Appsに対して実行され、APIがデプロイされた後にのみ発見できる脆弱性を検出します。ユーザーは認証されたAPIをテストするための認証情報を提供できます。脆弱性はマージリクエストごとにインラインで表示されます。
Dependency Scanning
GitLab CI/CDを使用し、各コードコミットの既知の脆弱性について外部の依存関係(Ruby gemsなどのライブラリ)を分析します。このスキャンはオープンソースツールとGemnasiumテクノロジー(現在はGitLabの一部)とのインテグレーションに依存しており、マージリクエストごとにインラインで、更新が必要な脆弱な依存を表示します。結果は収集され、単一のレポートとして利用できます。
今後のロードマップと追加予定の機能については方向性ページをご覧ください。