Segurança
O GitLab oferece Testes Estáticos de Segurança de Aplicações (SAST), Teste Dinâmicos de Segurança de Aplicações (DAST), análise de contêineres e Dependency Scanning para ajudar você a entregar aplicações seguras e com conformidade de licença.
Categorias de produtos
SAST
Os testes estáticos de segurança de aplicações verificam o código-fonte e os binários da aplicação para detectar possíveis vulnerabilidades antes da implantação usando ferramentas de código aberto instaladas como parte do GitLab. As vulnerabilidades são mostradas inline com cada solicitação de merge, e os resultados são coletados e apresentados como um único relatório.
Code Quality
Analise automaticamente seu código-fonte para descobrir problemas e ver se a qualidade está melhorando ou piorando com o commit mais recente.
DAST
Os testes dinâmicos de segurança de aplicações analisam seu aplicativo da Web em execução em busca de vulnerabilidades de runtime conhecidas. Eles executam ataques ao vivo contra um Review App, uma aplicação implantada externamente ou uma API ativa, criado para cada solicitação de merge como parte dos recursos de CI/CD do GitLab. Os usuários podem fornecer credenciais HTTP para testar áreas privadas. As vulnerabilidades são mostradas inline com cada solicitação de merge. Os testes também podem ser executados fora dos pipelines de CI/CD utilizando análises DAST sob demanda.
Segurança de API
A segurança de API tem como objetivo testar e proteger as APIs. Para testar vulnerabilidades conhecidas com a API DAST e vulnerabilidades desconhecidas com o Fuzzing de API, a segurança de API é executada em uma API ativa ou em um Review App para descobrir vulnerabilidades que só podem ser descobertas após a implantação da API. Os usuários podem fornecer credenciais para testar APIs autenticadas. As vulnerabilidades são mostradas inline com cada solicitação de merge.
Teste de fuzz
O teste de fuzz aumenta as chances de obter resultados usando cargas arbitrárias em vez de conhecidas.
Dependency Scanning
Analise dependências externas (por exemplo, bibliotecas como Ruby Gems) em busca de vulnerabilidades conhecidas a cada commit de código com o CI/CD do GitLab. Essa análise utiliza ferramentas de código aberto e integração com a tecnologia Gemnasium (agora parte do GitLab) para mostrar, inline com cada solicitação de merge, as dependências vulneráveis que precisam ser atualizadas. Os resultados são coletados e disponibilizados como um único relatório.
Análise de contêiner
Verifique as imagens Docker em busca de vulnerabilidades conhecidas no ambiente de aplicações. Analise o conteúdo da imagem por meio da comparação com bancos de dados públicos de vulnerabilidades usando a ferramenta de código aberto Clair, que consegue verificar qualquer tipo de imagem Docker (ou de App). As vulnerabilidades são mostradas inline com cada solicitação de merge.
Conformidade de licença
Após o commit de código, as dependências do projeto são pesquisadas para identificar licenças aprovadas e em listas de bloqueio definidas por políticas personalizadas para cada projeto. As licenças de software utilizadas são identificadas se não estiverem em conformidade com a política. Essa análise utiliza uma ferramenta de código aberto, o LicenseFinder, e os resultados da análise de licenças são mostrados inline para cada solicitação de merge para resolução imediata.
Saiba mais sobre o nosso roadmap para futuros recursos na nossa página de Direção.