Segurança - Perguntas frequentes

Perguntas frequentes sobre segurança do GitLab

Você está preocupado com a segurança nos serviços em nuvem? Você está interessado em aprender mais sobre o programa de segurança do GitLab? Você está confuso sobre o que é um modelo de responsabilidade compartilhada? Você não está sozinho!

Para saber mais, comece baixando nosso Pacote de garantia do cliente da comunidade. Ele inclui 2 questionários de segurança comuns preenchidos: o questionário CSA CAIQ nível 1 e o questionário leve de coleta de informações padrão (SIG). Esses dois questionários documentam mais de 300 perguntas de segurança frequentes e fornecem aos nossos clientes e prospects um único local para coletar essas informações. Também reunimos algumas perguntas frequentes abaixo para ajudar nas análises de segurança.

Relatórios de conformidade e garantia de segurança

O GitLab tem um programa de segurança da informação?

Sim. GitLab, Inc mantém um programa de segurança da informação documentado que inclui políticas e procedimentos incluindo, mas não limitado a, gerenciamento de acesso, classificação e proteção de dados e resposta a incidentes. Os links para esses documentos estão disponíveis no site do Pacote de garantia do cliente.

O programa de segurança do GitLab está alinhado com os padrões da indústria?

Sim. GitLab, Inc mantém um departamento formal de garantia de segurança responsável por monitorar e relatar a conformidade do GitLab com vários frameworks de segurança. Para obter a lista mais atualizada de frameworks de segurança atuais e certificações, certificações no roteiro e instruções para obter documentação de garantia, consulte a página do manual de certificações e atestações de segurança do GitLab. GitLab documentou controles de segurança que atendem aos padrões comuns da indústria.

O GitLab possui atestações de conformidade de terceiros?

Sim. GitLab, Inc atualmente possui um relatório SOC2 tipo 2, certificação ISO 27001 e várias auto-atestações da indústria que podem ser fornecidas sob NDA. Para obter a lista mais atualizada, consulte a página do manual de certificações e atestações de segurança do GitLab.

Segurança na nuvem

O GitLab.com depende de provedores de nuvem para suportar os serviços ao cliente?

Sim. GitLab.com é implantado na infraestrutura Google Cloud Platform (GCP) como serviço (IaaS), bem como em vários outros subprocessadores. Para obter uma arquitetura detalhada, consulte nossa arquitetura de produção

Estrutura de controle do GitLab

No espírito do valor fundamental de eficiência da GitLab Inc, nossa equipe de conformidade de segurança mantém um conjunto de controles de segurança que abordam múltiplos requisitos subjacentes. Alguns controles comuns são observados abaixo.

O GitLab criptografa meus dados em trânsito e em repouso?

Sim. GitLab, Inc utiliza TLS Strict, HTTPS e Universal SSL para criptografar dados em trânsito. Os dados são criptografados em repouso usando Google Cloud Platform com suporte a AES-256.

O GitLab tem um plano de resposta a incidentes?

Sim. GitLab, Inc possui uma equipe dedicada de resposta a incidentes de segurança e um plano de gerenciamento de incidentes documentado que inclui identificação, contenção, remediação e comunicação durante todo o ciclo de vida de um incidente.

O GitLab realiza testes de penetração regularmente por uma empresa terceira?

Sim. GitLab, Inc contrata com um provedor de serviços terceiros para realizar testes de penetração anuais de nossa infraestrutura e produto. GitLab exige que um NDA esteja em vigor antes de fornecer o relatório anual. Uma carta de compromisso detalhada é solicitada com um NDA.

O GitLab tem um plano de continuidade de negócios/plano de recuperação de desastres?

Sim, GitLab possui um plano de continuidade de negócios que é revisado e testado anualmente.

A quais dados o GitLab tem acesso (pessoais e comerciais)?

GitLab, Inc exige informações para criação de conta de usuário, incluindo, mas não limitado a, nome, email e endereços IP. Informações comerciais adicionais, como nome da empresa e número de funcionários, estarão acessíveis para suportar faturamento e contratação. As informações pessoais podem ser excluídas do seu perfil e as solicitações de exclusão de dados podem ser feitas a qualquer momento. GitLab, Inc é o processador de dados e nossos clientes são controladores de dados. Outras informações que podem ser fornecidas, mas não são obrigatórias, estão listadas abaixo:

Detalhes pessoais (incluindo, mas não limitado a):

  • Cidade
  • CEP
  • País
  • Estado ou território

O GitLab realiza backups?

Sim. GitLab realiza backups com dados incrementais contínuos. Os backups são criptografados e testados regularmente.

Quais são os tempos de RTO e RPO do GitLab?

GitLab atualmente não possui um RTO/RPO declarado para recuperação de desastres do GitLab.com. Estabelecer objetivos declarados como parte de nossas capacidades de recuperação é um objetivo importante para o GitLab. De acordo com nosso foco em transparência, forneceremos esses valores apenas quando puderem ser confiáveis com base nos resultados reais de testes de cenários de recuperação de desastres simulados. Convidamos você a se familiarizar com nossa arquitetura SaaS bem como com a forma como monitoramos a disponibilidade.

Segurança do produto GitLab

Como o GitLab lida com versões de segurança?

GitLab lança patches para vulnerabilidades em versões de segurança dedicadas. Existem dois tipos de versões de segurança:

  • Versão de segurança programada mensalmente que deve ser lançada uma semana após a versão do recurso (que é implantada a cada mês)
  • Versões de segurança ad hoc para vulnerabilidades críticas. A correção de cada vulnerabilidade é retroportada para a versão atual e as 2 versões major.minor anteriores.

Para ajudá-lo a entender as vulnerabilidades que foram corrigidas, um post de blog acompanha cada versão de segurança e inclui uma breve descrição, as versões afetadas e o ID CVE atribuído para cada vulnerabilidade. Os posts de blog de versões de recursos e segurança estão localizados na seção releases do nosso blog. Além disso, os tíquetes que detalham cada vulnerabilidade são tornados públicos 30 dias após a versão em que foram corrigidos. É altamente recomendado que todos os clientes façam a atualização para pelo menos a versão de segurança mais recente para sua versão suportada.

Para ser notificado quando uma versão de segurança for lançada, os seguintes canais estão disponíveis:

O GitLab pode fornecer aviso prévio aos clientes sobre uma versão de segurança?

Não oferecemos aos clientes aviso prévio de versões de segurança. Temos duas razões principais para isso:

  • Como mencionamos acima, as versões de segurança regulares são direcionadas para serem lançadas uma semana após nossa versão de recurso (que é implantada a cada mês). Definimos a data das versões de segurança após a versão do recurso, e nem sempre conseguimos identificar com precisão uma data de lançamento exata dentro dessa janela de sete dias (devido a processos manuais que ainda existem e possíveis atrasos imprevistos que podem surgir).
  • Frequentemente realizamos versões de segurança críticas ad hoc, especialmente em casos envolvendo grande urgência. Nesses cenários, fornecer um pré-aviso é difícil e pode até atrasar uma correção crítica, colocando nossos clientes em risco. Em vez disso, normalmente lançamos assim que temos uma correção e notificamos através de nossa lista de discussão de avisos de segurança.

Entendemos que as versões de segurança e as correções críticas nem sempre são convenientes para nossos usuários. Continuamos revisando e refinando nossos processos de comunicação em torno de incidentes de segurança críticos e estabelecemos uma meta de uma janela de 6 horas para resposta em comunicações com clientes relacionadas a uma vulnerabilidade de gravidade S1 para colocar informações críticas nas mãos dos usuários o mais rápido possível.

A melhor maneira de se manter atualizado sobre versões de segurança e correções críticas é se inscrever em nossa lista de discussão de avisos de segurança.

Os membros da equipe do GitLab podem acessar repositórios privados?

Sim. O suporte ao cliente do GitLab, Inc requer acesso aos repositórios de clientes hospedados no gitlab.com; no entanto, os membros da equipe não acessarão repositórios privados a menos que seja necessário para suporte e solução de problemas. As formas de acesso incluem, mas não se limitam a, representação. Ao trabalhar em um problema de suporte, nos esforçamos para respeitar sua privacidade o máximo possível. Depois de verificar a propriedade da conta, acessamos apenas os arquivos e configurações necessários para resolver seu problema. O suporte pode fazer login em sua conta para acessar as configurações, mas limitaremos o escopo de nossa revisão ao acesso mínimo necessário para resolver seu problema. Caso precisemos extrair um clone do seu código, faremos isso apenas com seu consentimento. Todos os repositórios clonados são excluídos assim que o problema de suporte é resolvido. Existem duas exceções a esta política de acesso a repositórios privados: estamos investigando uma violação suspeita de nossos termos de serviço ou somos obrigados a acessar repositórios como parte de uma questão legal ou de segurança.

O GitLab pode ser endurecido?

Sim. O GitLab pode ser endurecido e lançamos informações sobre isso. Está disponível em posts de blog e nossa documentação. Consulte Endurecendo sua instância do GitLab para obter mais informações.

Obter mais informações

O Pacote de garantia do cliente foi projetado para permitir que qualquer pessoa revise e avalie a postura de segurança do GitLab.

Este FAQ se aplica apenas ao nosso software como serviço (SaaS); GitLab.com.

Você pode se inscrever para avisos de segurança na página de contato.