SAST
静的アプリケーションセキュリティテストでは、GitLabの一部としてインストールされているオープンソースツールを使用して、デプロイ前にアプリケーションのソースコードやバイナリをスキャンして潜在的な脆弱性を発見します。脆弱性はマージリクエストごとに表示され、結果は収集されて単一のレポートとして表示されます。
詳細 → DAST
動的アプリケーションセキュリティテストでは、実行中のウェブアプリケーションの脆弱性を分析します。 GitLab CI/CDの一部として、マージリクエストごとに作成された *レビューアプリ* に対して実際に攻撃を実行します。 ユーザーは、HTTP認証情報を提供してプライベート領域をテストすることができます。 脆弱性は、マージリクエストごとにインラインで表示されます。
詳細 → 依存関係スキャニング
GitLab CI/CDを使用して、(Ruby gemsなどのライブラリのような)外部依存関係を分析し、コードコミットごとに既知の脆弱性が存在しないか確認します。このスキャンは、オープンソースツールや(現在はGitLabの一部の)Gemnasiumとのインテグレーションに依存しており、マージリクエストごとに脆弱性が存在し更新が必要な依存関係を表示します。結果は集約され、単一のレポートとして提供されます。
詳細 → コンテナスキャニング
Dockerイメージにアプリケーション環境の既知の脆弱性が存在ないかチェックします。あらゆる種類のDockerイメージをスキャンできるオープンソースツールのClairを使用して、公開されている脆弱性データベースとイメージの内容を分析します。脆弱性はマージリクエストごとにインラインで表示されます。
詳細 → ライセンスコンプライアンス
コードがコミットされると、プロジェクトの依存関係が検索され、プロジェクトごとのカスタムポリシーで定義された承認済みのライセンスとブラックリストに登録されたライセンスが検索されます。 使用されているソフトウェアライセンスがポリシーの範囲内にない場合は、そのライセンスが特定されます。 このスキャンは、オープン ソースツールのLicenseFinderを使用しており、ライセンス分析結果は、マージリクエストごとにインラインで表示され、ライセンスの問題を迅速に解決できます。
詳細 →