Rapid7とGitLabの比較 | GitLab.JP

このページでは、Rapid7とGitLabを比較しています。それぞれの強みや不足部分を確認して、判断材料にしてください。

Rapid7 は Web アプリケーションをクロールおよび評価し、オンプレミスやクラウドで提供されるサービスの脆弱性を特定できます。Rapid7 の InsightAppSecは、PCI-DSS、HIPAA、OWASP Top Ten 及びその他の規制要件に対する Web アプリケーションのコンプライアンスを評価および報告します。Atlassian Jira との統合により、開発者は既存のワークフロー内で完全な可視性を得ることができ、Attack Replay 機能では開発者が独自に脆弱性を検証し、ソースコードパッチをテストできます。GitLab Ultimate には、静的/動的アプリケーションセキュリティテストを含むすべてのコードコミット、依存関係スキャン、コンテナスキャン、ライセンス管理を含む広範なセキュリティスキャンが自動的に含まれます。

FEATURES

静的アプリケーションセキュリティテスト

GitLabのCI/CDパイプラインでは、静的アプリケーションセキュリティテスト(SAST)を簡単に実行できます。 静的アプリケーションテストでは、ソースコードの脆弱性やアプリケーションが使用するライブラリに存在する既知のセキュリティバグをチェックできます。テスト結果はマージリクエストおよびパイプラインの画面に表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

静的アプリケーションセキュリティテストの詳細

依存関係のスキャン

GitLabはアプリケーションが使用するライブラリに存在する既知のセキュリティバグを自動的に検出し、アプリケーションを脆弱性から保護します。 依存性スキャンの結果はマージリクエストおよびパイプラインの画面に表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

依存性スキャンの詳細

コンテナスキャン

アプリケーションのDockerイメージをビルドする際に、コードをデプロイする環境に既知の脆弱性が存在しないかGitLabで確認できます。 コンテナスキャンの結果はマージリクエストとパイプラインに表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

コンテナスキャンの詳細

動的アプリケーションセキュリティテスト

オンラインのアプリケーションに対して、GitLabのCI/CDパイプラインで動的アプリケーションセキュリティテスト(DAST)を実行できます。 これにより、アプリケーションにXSSや認証フローの不備のような脆弱性が存在しないかをテストできます。 テスト結果はマージリクエストとパイプラインに表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

コンテナのアプリケーションセキュリティの詳細

双方向なアプリケーションセキュリティテスト

[IAST](https://blogs.gartner.com/neil_macdonald/2012/01/30/interactive-application-security-testing/) は静的 / 動的アプリケーションセキュリティテスト方法の要素を組み合わせて、結果の全体的な品質を改善します。通常 IAST はライブラリの呼び出しなどを監視するために、エージェントを使用してアプリケーションを計測します。GitLab はまだこの機能を提供していません。

クラウドネイティブのネットワークファイアウォール

クラウドネイティブのネットワークファイアウォールは、コンテナレベルでのネットワークのマイクロセグメンテーションを提供します。これにより、コンテナネットワーク通信を分離し、特定のコンテナまたはマイクロサービスへの "blast radius" (障害の深刻さ) を制限します。機械学習を利用して、クラスタ内のアプリコンポーネント間の有効なトラフィックフローを自動的に識別するコンテナ対応仮想ファイアウォール。攻撃者が環境の一部をすでに侵害している場合、攻撃者が環境内を移動できないようにすることで、被害を抑えます。GitLab ではこの機能をまだ提供していません。

脆弱性管理

GitLab's vulnerability management is about ensuring assets and applications are scanned for vulnerabilities. It also includes the processes to record, manage, and mitigate those vulnerabilities. Vulnerability management helps identify meaningful sets of vulnerabilities, in both your assets and application code, that can be mitigated, managed, and acted upon by your whole team—not just the security organization. It also provides a unified interface to the systems teams are already using for managing results from the ~"devops::secure" stage so there is always a single source of truth and single place for managing security results.

Learn more about Vulnerability Management

License Compliance

依存関係のライセンスがアプリケーションと互換性があることを確認し、それらを承認またはブラックリストに登録します。結果はマージリクエストおよびパイプラインの画面に表示されます。

Learn more about License Compliance