Automação integrada e aplicação de políticas

O Identity and Access Management (IAM) é um dos maiores vetores de ataque na cadeia de suprimentos de software. Proteja o acesso com o GitLab autenticando, autorizando e validando continuamente todas as identidades humanas e de máquinas que operam no seu ambiente.

• Implemente o controle de acesso incluindo autenticação de 2 fatores detalhado
• Estabeleça políticas de expiração de token
• Estabeleça políticas de acordo com as regras organizacionais ou regulamentares
• Gere relatórios de auditoria e governança abrangentes para garantir a conformidade
• Implemente aprovações de duas pessoas para verificações de integridade adicionais

Garanta a segurança e a integridade do seu código-fonte gerenciando quem tem acesso a ele e como as alterações nele são revisadas e mescladas.

• Estabeleça o controle de versão, [histórico de código](https://docs.gitlab.com/ee/user/project/repository/git_history.html?_gl=11ngzpgw_gaNTg0MjExODQyLjE2MTk1MzkzOTQ._ga_ENFH3X7M5Y* MTY2NDUzNDg3My4xMjkuMS4xNjY0NTM4MjQ3LjAuMC4w) e controle de acesso ao seu código-fonte
• Use testes automatizados de qualidade do código para analisar o impacto das mudanças no desempenho
• Implemente a revisão e regras de aprovação para controlar o que é enviado para produção
• Execute análises de segurança automatizadas para capturar vulnerabilidades antes que o código seja mesclado
• Garanta que senhas e informações confidenciais não estejam no seu código-fonte por meio da [detecção de segredos] (https://docs.gitlab.com/ee/user/application_security/secret_detection/) automatizada
• Implemente commits assinados para evitar a representação do desenvolvedor

Verifique se todas as dependências de código aberto usadas nos seus projetos não contêm vulnerabilidades divulgadas, vêm de uma fonte confiável e não foram adulteradas.

• Gere uma lista de materiais de software de forma automatizada para identificar as dependências dos seus projetos
• Identifique automaticamente vulnerabilidades em qualquer software dependente usado por meio de [análise de composição de software] (https://docs.gitlab.com/ee/user/application_security/dependency_scanning/) automatizada
• Execute análises de conformidade de licenças para garantir que seu projeto use software com licenças em conformidade com as políticas da sua empresa

Evite que agentes mal-intencionados injetem código mal-intencionado no processo de compilação e obtenham controle do software criado por meio do pipeline ou de acesso a segredos usados no pipeline.

• Isole seu ambiente de compilação para impedir o acesso não autorizado ou a execução de código mal-intencionado
• Guarde evidências de lançamento para tudo o que está incluído no lançamento
• Garanta que seus artefatos de compilação não sejam comprometidos com o atestado de artefatos de compilação

Impeça que invasores explorem pontos fracos no design ou nas configurações de uma aplicação para roubar dados privados, obter acesso não autorizado a contas ou se passar por usuários legítimos.

• Estabeleça uma conexão segura com seu cluster para entregar os artefatos de lançamento
• Identifique vulnerabilidades de segurança na execução de aplicações antes da implantação
• Garanta que as suas interfaces de API não exponham sua aplicação durante a execução