Product Section Direction - Security

1. 表示中のページ:
2. GitLab Direction
3. Product Section Direction - Security

このページのコンテンツ

• Section Overview
  • Groups
  • Resourcing and Investment
• 3 Year Section Themes
• 3 Year Strategy
• 1 Year Plan
  • What's Next for Sec
  • What We're Not Doing
• Key Performance Metrics
• Target audience
  • Today
  • Medium Term (1-2 years)
• Key Themes
• Stages and Categories
• Categories
  • SAST
  • DAST
  • IAST
  • ファズテスト
  • 依存関係スキャニング
  • コンテナスキャニング
  • ライセンスコンプライアンス
  • シークレット検出
  • 脆弱性データベース
  • セキュリティベンチマーク
  • アタックエミュレーション
  • マルウェアスキャニング
  • PKI管理
  • 脆弱性管理
• Categories
  • WAF
  • コンテナホストセキュリティ
  • コンテナネットワークセキュリティ
  • UEBA

Security visibility from development to operations to minimize risk

Section Overview

GitLab Security Direction is provided by the Sec Product Team.

Groups

The Security Section is made up of two DevOps stages, Secure and Defend, and eight groups supporting the major categories of DevSecOps including:

• Static Analysis - Assess your applications and services by scanning your source code for vulnerabilities and weaknesses.
• Dynamic Analysis - Assess your applications and services while they are running by leveraging the Review App available as part of GitLab’s CI/CD functionality.
• Composition Analysis - Assess your applications and services by analyzing dependencies for vulnerabilities and weaknesses, confirming only approved licenses are in use, and scanning your containers for vulnerabilities and weaknesses.
• Fuzz Testing - Assess your applications and services by inputting unexpected, malformed, and/or random data to measure response or stability by monitoring for unexpected behavior or crashes.
• Threat Insights - Holistically view, manage, and reduce potential risks across the entire DevSecOps lifecycle including Security Merge Request Views, Pipeline Security Reports, and Security Dashboards at the Project, Group, and Instance level.
• Container Security - Monitor and protect your cloud-native applications and services by leveraging context-aware knowledge to improve your overall security posture.
• Insider Threat - onitor and protect against misuse of your GitLab deployment at the project, group, and instance level including SCM actions and CI/CD pipeline runners.
• Vulnerability Research - Leverage GitLab research to empower your Secure results by connecting security findings to industry references like CVE IDs.

Resourcing and Investment

The existing team members for the Secure Stage can be found in the links below:

• Development
• User Experience
• Product Management
• Quality Engineering

The existing team members for the Defend Stage can be found in the links below:

• Development
• User Experience
• Product Management
• Quality Engineering

3 Year Section Themes

3 Year Strategy

1 Year Plan

What's Next for Sec

What We're Not Doing

Key Performance Metrics

Target audience

GitLab identifies who our DevSecOps application is built for utilizing the following categorization. We list our view of who we will support when in priority order.

• 🟩- Targeted with strong support
• 🟨- Targeted but incomplete support
• ⬜️- Not targeted but might find value

Today

To capitalize on the opportunities listed above, the Secure Stage has features that make it useful to the following personas today.

1. 🟩 Developers / Development Teams
2. 🟩 Security Teams
3. 🟨 SecOps Teams
4. 🟨 QA engineers / QA Teams
5. ⬜️ Security Consultants

Medium Term (1-2 years)

As we execute our 3 year strategy, our medium term (1-2 year) goal is to provide a single DevSecOps application that enables collaboration between developers, security teams, SecOps teams, and QA Teams.

1. 🟩 Developers / Development Teams
2. 🟩 Security Teams
3. 🟩 SecOps Teams
4. 🟩 QA engineers / QA Teams
5. 🟨️ Security Consultants

Key Themes

• Auto remediation
• Static application security testing (SAST)
• Secret detection
• Bill of materials (dependency list)
• Runtime application self-protection (RASP)
• Security dashboard

Stages and Categories

The Sec section is composed of two stages, each of which contains several categories. Each stage has an overall strategy statement below, aligned to the themes for Sec. Each category within each stage has a dedicated direction page plus optional documentation, marketing pages, and other materials linked below.

Categories

There are a few product categories that are critical for success here; each one is intended to represent what you might find as an entire product out in the market. We want our single application to solve the important problems solved by other tools in this space - if you see an opportunity where we can deliver a specific solution that would be enough for you to switch over to GitLab, please reach out to the PM for this stage and let us know.

Each of these categories has a designated level of maturity; you can read more about our category maturity model to help you decide which categories you want to start using and when.

SAST

静的アプリケーションセキュリティテストでは、GitLabの一部としてインストールされているオープンソースツールを使用して、デプロイ前にアプリケーションのソースコードやバイナリをスキャンして潜在的な脆弱性を発見します。脆弱性はマージリクエストごとに表示され、結果は収集されて単一のレポートとして表示されます。 This category is at the "complete" level of maturity.

Priority: high • Documentation • Direction

DAST

動的アプリケーションセキュリティテストでは、実行中のウェブアプリケーションの脆弱性を分析します。 GitLab CI/CDの一部として、マージリクエストごとに作成された レビューアプリ に対して実際に攻撃を実行します。 ユーザーは、HTTP認証情報を提供してプライベート領域をテストすることができます。 脆弱性は、マージリクエストごとにインラインで表示されます。 This category is at the "complete" level of maturity.

Priority: high • Documentation • Direction

IAST

対話型アプリケーションセキュリティテストでは、コードを計測してエラー状態をチェックすることで、アプリケーションの実行時の動作をチェックします。 これは、アプリケーション環境内に常駐するエージェントと、対話型の処理で意図しない結果を引き起こすことができる、DASTのような外部コンポーネントで構成されています。

Priority: low • Direction

ファズテスト

ファズテストでは、一般的なペイロード以外の、任意のペイロードを使用することで様々な結果を取得できます。 This category is at the "viable" level of maturity.

Priority: high • Documentation • Direction

依存関係スキャニング

GitLab CI/CDを使用して、（Ruby gemsなどのライブラリのような）外部依存関係を分析し、コードコミットごとに既知の脆弱性が存在しないか確認します。このスキャンは、オープンソースツールや（現在はGitLabの一部の）Gemnasiumとのインテグレーションに依存しており、マージリクエストごとに脆弱性が存在し更新が必要な依存関係を表示します。結果は集約され、単一のレポートとして提供されます。 This category is at the "complete" level of maturity.

Priority: high • Documentation • Direction

コンテナスキャニング

Dockerイメージにアプリケーション環境の既知の脆弱性が存在ないかチェックします。あらゆる種類のDockerイメージをスキャンできるオープンソースツールのClairを使用して、公開されている脆弱性データベースとイメージの内容を分析します。脆弱性はマージリクエストごとにインラインで表示されます。 This category is at the "complete" level of maturity.

Priority: medium • Documentation • Direction

ライセンスコンプライアンス

コードがコミットされると、プロジェクトの依存関係が検索され、プロジェクトごとのカスタムポリシーで定義された承認済みのライセンスとブラックリストに登録されたライセンスが検索されます。 使用されているソフトウェアライセンスがポリシーの範囲内にない場合は、そのライセンスが特定されます。 このスキャンは、オープン ソースツールのLicenseFinderを使用しており、ライセンス分析結果は、マージリクエストごとにインラインで表示され、ライセンスの問題を迅速に解決できます。 This category is at the "complete" level of maturity.

Priority: medium • Documentation • Direction

シークレット検出

コミットに認証情報やシークレットが含まれていないかをチェックします。 This category is at the "complete" level of maturity.

Priority: medium • Documentation • Direction

脆弱性データベース

GitLabは、プロプライエタリなアプリケーションとオープンソースのセキュリティスキャンツールをインテグレーションしています。これらのスキャンの有効性を維持するために、それらの脆弱性データベースを最新の状態に保つように努めています。

Priority: high • Direction

セキュリティベンチマーク

セキュリティの有効性を測定するためのGitLab Secureステージベンチマークでセキュリティの問題を検出できます。

Direction

アタックエミュレーション

攻撃対象の弱点を特定するための実世界をエミュレートした自動化シナリオを用いて、アプリケーションやサービスがセキュリティの脅威に対して脆弱ではないことを継続的に評価します。

Priority: low

マルウェアスキャニング

マルウェアなどの悪意のあるコードからプロジェクトを保護します。

Priority: low

PKI管理

Priority: medium • Direction

脆弱性管理

アプリケーションで検出された脆弱性を表示、トリアージ、トレンドを分析、追跡、解決できます。 This category is at the "viable" level of maturity.

Priority: high • Documentation • Direction

Categories

There are a few product categories that are critical for success here; each one is intended to represent what you might find as an entire product out in the market. We want our single application to solve the important problems solved by other tools in this space - if you see an opportunity where we can deliver a specific solution that would be enough for you to switch over to GitLab, please reach out to the PM for this stage and let us know.

Each of these categories has a designated level of maturity; you can read more about our category maturity model to help you decide which categories you want to start using and when.

WAF

Web Application Firewall（WAF）は、ウェブアプリケーションに送信されるトラフィックを調べ、 悪意のあるトラフィックが到達する前に検出してブロックします。 Auto DevOpsを使用すると、ModSecurity WAFがKubernetesクラスターのIngressコントローラの背後にインストールされます。 デフォルトでは、OWASP ModSecurityのコアルールセットを実行するように設定されています。 This category is at the "minimal" level of maturity.

Priority: medium • Documentation • Direction

コンテナホストセキュリティ

Kubernetes、ネットワーク、ホストレベルでのセキュリティ脅威を検出し、対応できます。 This category is at the "minimal" level of maturity.

Priority: high • Documentation • Direction

コンテナネットワークセキュリティ

コンテナネットワークセキュリティでは、Kubernetesにネットワークポリシーを実装して、 ポッド間やクラスターとインターネット間の不正なネットワークトラフィックを検出してブロックすることができます。 This category is at the "minimal" level of maturity.

Priority: medium • Documentation • Direction

UEBA

UEBA（User and Entity Behavior Analytics）は、機械学習など技術を活用して、の ユーザーやシステムの異常な振る舞いを検知し、アラートを出し、ブロックするソリューションです。

Priority: high • Direction

Last Reviewed: 2020-07-09
Last Updated: 2020-07-09