AnchoreとGitLabの比較

このページのコンテンツ

要約

Anchore is a company that offers security scanning for Docker containers, Docker container registries, and Kubernetes clusters. They offer an Open Source, Enterprise, and Federal version of their products. They leverage public vulnerability feeds to scan customers' environments for vulnerabilities and alert them so end users can take action.

Comparison to GitLab

Although Anchore does software composition analysis well, they do very little beyond that narrow scope. Comparatively, GitLab provides a superior experience for ALL types of security scanning - not only container scanning, but also SAST, DAST, Fuzz Testing, and others. This approach maximizes the kinds of vulnerabilities that can be detected while only incurring the maintenance costs of a single tool.

Anchore leverages publicly-available vulnerability feeds to identify their vulnerabilities. GitLab does this as well; however, GitLab is also a CVE Numbering Authority, which means that security researchers can work directly with GitLab on any security issues they find. GitLab's commitment to leveraging the latest vulnerability feeds is also publicly visible to customers at advisories.gitlab.com.

Finally, GitLab provides a superior experience for developers in viewing, correcting, and responding to vulnerabilities. Because GitLab’s scanning capabilities are integrated with the rest of GitLab, the vulnerabilities appear as part of the developer’s regular workflow, inline within their MRs. This visibility is critical to be able to effectively shift security left. With Anchore, developers will need to look at an external tool to see the details about their vulnerabilities, making them much less likely to correct them before the code goes to production.

Anchore can be complementary to GitLab if users have already bought both. GitLab supports integration with tools that customers are already using and plays well with others.

Software Composition Analysis (SCA)

Strengths and Weaknesses

  GitLab Anchore
Strengths   •     Integrated security as part of DevOps workflow for all developers
  •     High-quality container security by leveraging all the latest feeds for vulnerabilities
  •     Supports on-premise deployments including disconnected, offline, or air-gapped environments
  •     Security leadership by being a CVE Numbering Authority and a recognized in the Gartner AST magic quadrant
  •     End-to-end DevOps offering from SCM to CI to CD to Security and more
  •     Single-focused, purpose built container scanning product
  •     Can work with many CI/CD providers (e.g. GitHub, GitLab, BitBucket)
Weaknesses   •     Pricing requires buying all of GitLab Ultimate, not just Container Scanning   •     Narrow product offering only focused on one type of scanning
  •     It is difficult to justify the cost of maintaining an entire security tool when the tool addresses such limited scope (SCA only)

Feature Lineup

  GitLab Anchore
Vulnerability Scanning
Secrets and Passwords
Open Source & Third Party Package Audit
Air-gapped Support
Security results shown to developers as part of their daily work  
機能

機密情報の検出

CORE
STARTER
PREMIUM
ULTIMATE
FREE
BRONZE
SILVER
GOLD

GitLab では、CI/CD パイプラインで機密情報の検出を行い、意図せずにコミットされた機密情報をチェックします。 結果はマージリクエストやパイプラインビューに表示されます。 この機能は Auto DevOps の一部として提供されています。

機密情報の検出の詳細

依存関係の脆弱性スキャン

CORE
STARTER
PREMIUM
ULTIMATE
FREE
BRONZE
SILVER
GOLD

GitLabはアプリケーションが使用するライブラリに存在する既知のセキュリティバグを自動的に検出し、アプリケーションを脆弱性から保護します。 依存性スキャンの結果はマージリクエストおよびパイプラインの画面に表示されます。 この機能はAuto DevOpsの一部として利用できます。

依存関係の脆弱性スキャンの詳細

コンテナの脆弱性スキャン

CORE
STARTER
PREMIUM
ULTIMATE
FREE
BRONZE
SILVER
GOLD

アプリケーションのDockerイメージをビルドする際に、コードをデプロイする環境に既知の脆弱性が存在しないかGitLabで確認できます。 コンテナスキャンの結果はマージリクエストとパイプラインに表示されます。 この機能はAuto DevOpsの一部として利用できます。

コンテナの脆弱性スキャンの詳細

* このページの情報は最新ではありません。最新の情報は 公式サイト をご確認ください。

GitLabはGitLab, Inc.の商標です。その他のすべての商標・ロゴマークの権利はそれぞれの所有者に帰属します。

GitLabはオープンコア

GitLabの競合製品のほとんどはソースコードを公開していませんが、GitLabはオープンコア製品です。 GitLabコミュニティエディションは完全なオープンソースで、 GitLabエンタープライズエディションはオープンコア(プロプライエタリ)です。

ソースコードにアクセス

クローズドソースなソフトウェアと異なり、 コミュニティエディションエンタープライズエディションの ソースコードを確認したり、修正することができます。 機能の追加やカスタマイズのために、サーバーのソースコードを修正したり、GitLabのリポジトリをフォークすることができます。 独自に実施した変更はメインのソースコードにフィードバックし、マージされるように挑戦することを推奨します。 それにより、他のユーザーの役に立つ上に、自身のインスタンスのアップデート作業を簡単に保つことができます。

コミュニティからの貢献

GitLabには毎月数百人からの貢献があります。 顧客・ユーザー・GitLab社員のすべてが毎月のリリースに貢献しています。 このことは、簡単に使用できる便利なユーザー管理のような、 組織にとって本当に必要な機能の開発に役立っています。

長期利用に最適

GitLabは、数十万の組織が利用し、頻繁にソフトウェアへ貢献しています。 GitLabには堅牢なコミュニティが存在します。 つまり、GitLabは単一企業のサポートに依存していないので、 長期利用に適しています。

毎月、新しい安定版がリリース

毎月、機能の改善と新機能の追加と不具合の修正のすべてが適用された、 GitLabの新しい安定版がリリースされます。 これにより、GitLabはとても迅速に顧客の要望に応えることができます。

Gitlab x icon svg