IBM AppScan vs GitLab

GitLab compared to other tools

IBM AppScanとGitLab Ultimateの両方がオープンソースコンポーネントのセキュリティスキャンとアプリケーションの静的・動的セキュリティテストを提供します。IBM AppScanは成熟した製品ですが、GitLab Ultimateのような、コンテナスキャンを提供しません。

FEATURES

静的アプリケーションセキュリティテスト

GitLabのCI/CDパイプラインでは、静的アプリケーションセキュリティテスト(SAST)を簡単に実行できます。 静的アプリケーションテストでは、ソースコードの脆弱性やアプリケーションが使用するライブラリに存在する既知のセキュリティバグをチェックできます。テスト結果はマージリクエストおよびパイプラインの画面に表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

静的アプリケーションセキュリティテストの詳細

依存性スキャン

GitLabはアプリケーションが使用するライブラリに存在する既知のセキュリティバグを自動的に検出し、アプリケーションを脆弱性から保護します。 依存性スキャンの結果はマージリクエストおよびパイプラインの画面に表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

依存性スキャンの詳細

コンテナスキャン

アプリケーションのDockerイメージをビルドする際に、コードをデプロイする環境に既知の脆弱性が存在しないかGitLabで確認できます。 コンテナスキャンの結果はマージリクエストとパイプラインに表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

コンテナスキャンの詳細

動的アプリケーションセキュリティテスト

オンラインのアプリケーションに対して、GitLabのCI/CDパイプラインで動的アプリケーションセキュリティテスト(DAST)を実行できます。 これにより、アプリケーションにXSSや認証フローの不備のような脆弱性が存在しないかをテストできます。 テスト結果はマージリクエストとパイプラインに表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

コンテナのアプリケーションセキュリティの詳細

双方向なアプリケーションセキュリティテスト

[IAST](https://blogs.gartner.com/neil_macdonald/2012/01/30/interactive-application-security-testing/) は静的 / 動的アプリケーションセキュリティテスト方法の要素を組み合わせて、結果の全体的な品質を改善します。通常 IAST はライブラリの呼び出しなどを監視するために、エージェントを使用してアプリケーションを計測します。GitLab はまだこの機能を提供していません。

ランタイムアプリケーションのセキュリティテスト

RASP は本番稼働中のアプリケーションにおけるライブラリの呼び出しを監視するために、エージェントを使用してアプリケーションを計測します。他のセキュリティツールとは異なり、RASP はリアルタイムで脅威をブロックするアクションをとることができます。また、Web アプリケーションのファイアウォールに似ていますが、ネットワーク層ではなくアプリケーションのランタイム環境内から実行できます。GitLab はまだこの機能を提供していません。

ライセンス管理

依存関係のライセンスがアプリケーションと互換性があることを確認し、それらを承認またはブラックリストに登録します。結果はマージリクエストおよびパイプラインの画面に表示されます。

ライセンス管理の詳細