Secure

O Static Application Security Testing escaneia o código-fonte e os binários da aplicação para identificar potenciais vulnerabilidades antes do deployment usando ferramentas de código aberto instaladas como parte do GitLab. As vulnerabilidades são mostradas em linha com cada merge request e os resultados são coletados e apresentados como um único relatório.

Verifique credenciais e segredos nos commits.

Analise automaticamente seu código-fonte para identificar problemas e ver se a qualidade está melhorando ou piorando com o último commit.

O Dynamic Application Security Testing analisa sua aplicação web em execução para identificar vulnerabilidades de runtime conhecidas. Ele executa ataques ao vivo contra uma Review App, uma aplicação implantada externamente ou uma API ativa, criada para cada merge request como parte dos recursos de CI/CD do GitLab. Os usuários podem fornecer credenciais HTTP para testar áreas privadas. As vulnerabilidades são mostradas em linha com cada merge request. Os testes também podem ser executados fora dos pipelines de CI/CD utilizando scans DAST sob demanda.

O API Security se concentra em testar e proteger APIs. Testando vulnerabilidades conhecidas com DAST API e vulnerabilidades desconhecidas com API Fuzzing, o API Security é executado contra uma API ao vivo ou uma Review App para descobrir vulnerabilidades que só podem ser descobertas após a API ter sido implantada. Os usuários podem fornecer credenciais para testar APIs autenticadas. As vulnerabilidades são mostradas em linha com cada merge request.

O fuzz testing aumenta as chances de obter resultados usando payloads arbitrários em vez de conhecidos.

Analise dependências externas (por exemplo, bibliotecas como gems Ruby) para identificar vulnerabilidades conhecidas em cada commit de código com o GitLab CI/CD. Este scan depende de ferramentas de código aberto e da integração com a tecnologia Gemnasium (agora parte do GitLab) para mostrar, em linha com cada merge request, dependências vulneráveis que precisam de atualização. Os resultados são coletados e disponibilizados como um único relatório.

Verifique imagens Docker para identificar vulnerabilidades conhecidas no ambiente da aplicação. Analise o conteúdo da imagem em relação a bancos de dados de vulnerabilidades públicos usando a ferramenta de código aberto Clair, que é capaz de escanear qualquer tipo de imagem Docker (ou App). As vulnerabilidades são mostradas em linha com cada merge request.

No commit de código, as dependências do projeto são pesquisadas para identificar licenças aprovadas e na lista negra definidas por políticas personalizadas por projeto. As licenças de software sendo usadas são identificadas se não estiverem dentro da política. Este scan depende de uma ferramenta de código aberto, LicenseFinder, e os resultados da análise de licenças são mostrados em linha para cada merge request para resolução imediata.