Veracode vs GitLab

GitLab compared to other DevOps tools

このページのコンテンツ

要約

Both Veracode and GitLab Ultimate offer open source component scanning along with Static and Dynamic Application Security Testing. Veracode is a mature product with a hefty price tag. Veracode offers a separate SAST-lite product that integrates in the developer's IDE offering spell-check-like functionality to flag vulnerabilities as the developer types.

GitLab Ultimate には、静的/動的アプリケーションセキュリティテストを含むすべてのコードコミット、依存関係スキャン、コンテナスキャン、ライセンス管理を含む広範なセキュリティスキャンが自動的に含まれます。

Note: In November 2018, the private equity firm Thoma Bravo acquired Veracode from Broadcom. Veracode now functions as an independent company within the Thoma Bravo portfolio of companies. Between March 2017 and July 2018 Veracode was part of CA Technologies. For a brief period, from July 2018 to November 2018, Veracode was part of Broadcom following CA Technologies' acquisition by Broadcom

Comparison to GitLab

Veracode is a well established player in the Application Security Testing (AST) market. Although they offer a range of products, including SAST, DAST, IAST, and SCA, each of these products are sold and licensed separately. GitLab offers simplicity and a high level of integration by including all of these types of scanning capabilities within a single product. Additionally, GitLab has tightly integrated the scanning results with the rest of the SLDC, including the merge request review process.

Additionally, organizations that have concerns about using a cloud-hosted scanning solution, or that use GitLab’s self managed offering, will find that GitLab is a clear winner as Veracode does not have an on-premise offering.

Security Scanning

Strengths and Weaknesses

  GitLab Veracode
Strengths   •     Tight out-of-the-box integration with the rest of the SDLC, including the merge request review process
  •     GitLab’s recent acquisitions of Peach Tech and Fuzzit provide Fuzzing capabilities that Veracode lacks
  •     Supports on-premise deployments including disconnected, offline, or air-gapped environments
  •     Strong offering across scanning types
  •     Nice, clean UX and design
  •     Strong offering across scanning types
  •     Tight integration with IDEs
  •     Strong offering across scanning types
  •     False positive rates are better than average
Weaknesses   •     GitLab’s SAST offering only scans code repositories today and cannot scan compiled binaries   •     Only available as a SaaS tool and cannot be deployed on-premise
  •     Not natively integrated into merge requests or the SDLC

Feature Lineup

  GitLab Veracode
SAST
DAST
IAST  
SCA: Vulnerability Scanning
SCA: Open Source Audit
Fuzz Testing  
FEATURES

静的アプリケーションセキュリティテスト

GitLab では、CI/CD パイプラインで静的アプリケーションセキュリティテスト (SAST) を簡単に実行することができます。 アプリケーションに含まれるライブラリの中に脆弱なソースコードや よく知られたセキュリティバグがないかどうかをチェックします。 結果はマージリクエストとパイプラインビューに表示されます。 この機能は [Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/stages.html#auto-sast) の一部として利用可能で、デフォルトでのセキュリティを提供しています。

静的アプリケーションセキュリティテストの詳細

機密情報の検出

GitLab では、CI/CD パイプラインで機密情報の検出を行い、意図せずにコミットされた機密情報をチェックします。 結果はマージリクエストやパイプラインビューに表示されます。 この機能は [Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/) の一部として提供されています。

機密情報の検出の詳細

依存関係の脆弱性スキャン

GitLabはアプリケーションが使用するライブラリに存在する既知のセキュリティバグを自動的に検出し、アプリケーションを脆弱性から保護します。 依存性スキャンの結果はマージリクエストおよびパイプラインの画面に表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

依存関係の脆弱性スキャンの詳細

コンテナの脆弱性スキャン

アプリケーションのDockerイメージをビルドする際に、コードをデプロイする環境に既知の脆弱性が存在しないかGitLabで確認できます。 コンテナスキャンの結果はマージリクエストとパイプラインに表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

コンテナの脆弱性スキャンの詳細

動的アプリケーションセキュリティテスト

オンラインのアプリケーションに対して、GitLabのCI/CDパイプラインで動的アプリケーションセキュリティテスト(DAST)を実行できます。 これにより、アプリケーションにXSSや認証フローの不備のような脆弱性が存在しないかをテストできます。 テスト結果はマージリクエストとパイプラインに表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

コンテナのアプリケーションセキュリティの詳細

双方向なアプリケーションセキュリティテスト

[IAST](https://blogs.gartner.com/neil_macdonald/2012/01/30/interactive-application-security-testing/) は静的 / 動的アプリケーションセキュリティテスト方法の要素を組み合わせて、結果の全体的な品質を改善します。通常 IAST はライブラリの呼び出しなどを監視するために、エージェントを使用してアプリケーションを計測します。GitLab はまだこの機能を提供していません。

ライセンスコンプライアンス

依存関係のライセンスがアプリケーションと互換性があることを確認し、それらを承認またはブラックリストに登録します。結果はマージリクエストおよびパイプラインの画面に表示されます。

ライセンスコンプライアンスの詳細