Sonatype Nexus PlatformとGitLabの比較 | GitLab.JP

このページでは、Sonatype Nexus PlatformとGitLabを比較しています。それぞれの強みや不足部分を確認して、判断材料にしてください。

Sonatype Nexus プラットフォームは、Sonatype Nexus のセキュリティ機能に貢献する複数の製品で構成されています。これらの製品は Nexus Lifecycle, Nexus Auditor, Nexus Firewall, Nexus Repository Pro, Nexus Intelligence サービスです。アプリケーションセキュリティの分野において、Sonatype Nexus はセキュリティの脆弱性に関するオープンソースコンポーネントのスキャン、コンテナスキャン、ライセンス管理を提供します。Fortify は、依存関係のスキャンを Sonatype に依存しています。GitLab には、静的/動的アプリケーションセキュリティテストを含むすべてのコードコミット、依存関係スキャン、コンテナスキャン、ライセンス管理を含む広範なセキュリティスキャンが自動的に含まれます。パッケージのデプロイメントでは、Sonatype と GitLab のどちらもコンテナレジストリを提供しますが、Sonatype は Nexus リポジトリの形式で完全なバイナリリポジトリも提供します (OSSとProの両方で利用可能)。

FEATURES

静的アプリケーションセキュリティテスト

GitLabのCI/CDパイプラインでは、静的アプリケーションセキュリティテスト(SAST)を簡単に実行できます。 静的アプリケーションテストでは、ソースコードの脆弱性やアプリケーションが使用するライブラリに存在する既知のセキュリティバグをチェックできます。テスト結果はマージリクエストおよびパイプラインの画面に表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

静的アプリケーションセキュリティテストの詳細

依存関係のスキャン

GitLabはアプリケーションが使用するライブラリに存在する既知のセキュリティバグを自動的に検出し、アプリケーションを脆弱性から保護します。 依存性スキャンの結果はマージリクエストおよびパイプラインの画面に表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

依存性スキャンの詳細

コンテナスキャン

アプリケーションのDockerイメージをビルドする際に、コードをデプロイする環境に既知の脆弱性が存在しないかGitLabで確認できます。 コンテナスキャンの結果はマージリクエストとパイプラインに表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

コンテナスキャンの詳細

動的アプリケーションセキュリティテスト

オンラインのアプリケーションに対して、GitLabのCI/CDパイプラインで動的アプリケーションセキュリティテスト(DAST)を実行できます。 これにより、アプリケーションにXSSや認証フローの不備のような脆弱性が存在しないかをテストできます。 テスト結果はマージリクエストとパイプラインに表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

コンテナのアプリケーションセキュリティの詳細

双方向なアプリケーションセキュリティテスト

[IAST](https://blogs.gartner.com/neil_macdonald/2012/01/30/interactive-application-security-testing/) は静的 / 動的アプリケーションセキュリティテスト方法の要素を組み合わせて、結果の全体的な品質を改善します。通常 IAST はライブラリの呼び出しなどを監視するために、エージェントを使用してアプリケーションを計測します。GitLab はまだこの機能を提供していません。

クラウドネイティブのネットワークファイアウォール

クラウドネイティブのネットワークファイアウォールは、コンテナレベルでのネットワークのマイクロセグメンテーションを提供します。これにより、コンテナネットワーク通信を分離し、特定のコンテナまたはマイクロサービスへの "blast radius" (障害の深刻さ) を制限します。機械学習を利用して、クラスタ内のアプリコンポーネント間の有効なトラフィックフローを自動的に識別するコンテナ対応仮想ファイアウォール。攻撃者が環境の一部をすでに侵害している場合、攻撃者が環境内を移動できないようにすることで、被害を抑えます。GitLab ではこの機能をまだ提供していません。

License Compliance

依存関係のライセンスがアプリケーションと互換性があることを確認し、それらを承認またはブラックリストに登録します。結果はマージリクエストおよびパイプラインの画面に表示されます。

Learn more about License Compliance