Synopsys vs GitLab

GitLab compared to other DevOps tools

このページのコンテンツ

要約

Synopsys owns a portfolio of several scanning tools, including Coverity (SAST), Black Duck (SCA), Seeker (IAST), Defensics (Fuzzing), and recently acquired Tinfoil (DAST).

  • BlackDuck does Software Composition Analysis (SCA) including dependency scanning, container scanning, and license management.

  • Coverity for SAST includes spell-checker-like capability with an IDE plug-in that alerts the developer to vulnerable phrases as they code. It also has a dashboard that pulls in IAST from Seeker for a unified view. Coverity covers 20 programming languages. Our research indicates that Coverity costs around $12k USD per year for 5 users.

  • Seeker for IAST employs an agent to test the application for vulnerabilities. It is used during functional testing so that security tests are done in the normal course of other testing. Seekers has an API to integrate with Dev IDEs. Seeker works with Java/all JVM languages. Seeker is only available on premise.

Comparison to GitLab

Although Synopsys can integrate with IDE's and DevOps tools via the API, complete testing coverage requires multiple software licenses and a heavy integration and maintenance effort. GitLab Ultimate automatically includes a full suite of broad security scanning with every code commit. GitLab's scan results are provided to the developer inline in their Merge Requests with no integration required.

GitLab security scanning includes not only SAST but also DAST, Container and Dependency scanning, License Compliance scanning, and Secrets detection. All of these are included in GitLab Ultimate and integrated directly into the developer's workflow. Finding vulnerabilities is only the beginning. Delivering those findings to the developer for immediate remediation is key to shifting left to reduce both cost and risk.

Strengths and Weaknesses

  GitLab Synopsys
Strengths   •     Licensing and management is much simpler as it is all included in a single tool
  •     No special integration is required to surface vulnerabilities as part of development’s regular MR workflow
  •     Widespread recognition as a security testing leader by Gartner and across the industry
  •     Strong managed services offering for customers who are looking to outsource their security scanning
  •     Polaris Software Integrity Platform provides a single console to manage all of Synopsys’ testing products
  •     Good integration with IDEs and local developer environments
Weaknesses   •     GitLab is much newer to the security testing space and does not yet have the feature depth or market recognition held by Synopsys
  •     No managed services offering
  •     Poor visualization of vulnerabilities and limited fix recommendations
  •     Each kind of testing is a separate piece of software that must be licensed and integrated with the DevOps lifecycle separately
  •     Professional services engagements are pushed by sales and can be costly for customers

Feature Lineup

  GitLab Synopsys
SAST
DAST recently acquired a startup
IAST  
SCA: Vulnerability Scanning
SCA: Open Source Audit
Fuzz Testing
FEATURES

静的アプリケーションセキュリティテスト

GitLab では、CI/CD パイプラインで静的アプリケーションセキュリティテスト (SAST) を簡単に実行することができます。 アプリケーションに含まれるライブラリの中に脆弱なソースコードや よく知られたセキュリティバグがないかどうかをチェックします。 結果はマージリクエストとパイプラインビューに表示されます。 この機能は [Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/stages.html#auto-sast) の一部として利用可能で、デフォルトでのセキュリティを提供しています。

静的アプリケーションセキュリティテストの詳細

機密情報の検出

GitLab では、CI/CD パイプラインで機密情報の検出を行い、意図せずにコミットされた機密情報をチェックします。 結果はマージリクエストやパイプラインビューに表示されます。 この機能は [Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/) の一部として提供されています。

機密情報の検出の詳細

依存関係の脆弱性スキャン

GitLabはアプリケーションが使用するライブラリに存在する既知のセキュリティバグを自動的に検出し、アプリケーションを脆弱性から保護します。 依存性スキャンの結果はマージリクエストおよびパイプラインの画面に表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

依存関係の脆弱性スキャンの詳細

コンテナの脆弱性スキャン

アプリケーションのDockerイメージをビルドする際に、コードをデプロイする環境に既知の脆弱性が存在しないかGitLabで確認できます。 コンテナスキャンの結果はマージリクエストとパイプラインに表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

コンテナの脆弱性スキャンの詳細

動的アプリケーションセキュリティテスト

オンラインのアプリケーションに対して、GitLabのCI/CDパイプラインで動的アプリケーションセキュリティテスト(DAST)を実行できます。 これにより、アプリケーションにXSSや認証フローの不備のような脆弱性が存在しないかをテストできます。 テスト結果はマージリクエストとパイプラインに表示されます。 この機能は[Auto DevOps](https://docs.gitlab.com/ee/topics/autodevops/#auto-sast)の一部として利用できます。

コンテナのアプリケーションセキュリティの詳細

双方向なアプリケーションセキュリティテスト

[IAST](https://blogs.gartner.com/neil_macdonald/2012/01/30/interactive-application-security-testing/) は静的 / 動的アプリケーションセキュリティテスト方法の要素を組み合わせて、結果の全体的な品質を改善します。通常 IAST はライブラリの呼び出しなどを監視するために、エージェントを使用してアプリケーションを計測します。GitLab はまだこの機能を提供していません。

ライセンスコンプライアンス

依存関係のライセンスがアプリケーションと互換性があることを確認し、それらを承認またはブラックリストに登録します。結果はマージリクエストおよびパイプラインの画面に表示されます。

ライセンスコンプライアンスの詳細