本文来源:about.gitlab.com
作者:Sandra Gittlen
译者:极狐(GitLab) 市场部内容团队
应用程序安全测试(AST)对于应用程序研发来说,是一个正在快速发展并且十分重要的领域。DevOps 方法论提到:需要将测试集成到开发人员的工作流中。GitLab 相信在软件研发中,AST 越成熟,应用程序就会越安全,同时企业也能够更容易满足合规要求。相信 DevSecOps 平台化战略,也就是将安全嵌入到 DevOps 生命周期即从计划到上线全过程,能够比传统应用程序安全测试,提供更高的效率和价值。
2022 年 Gartner 应用程序安全测试魔力象限中,GitLab 位列挑战者象限。根据 Gartner 的说法:“支撑企业落地实践 DevSecOps 以及云原生转型,是 AST 市场发展的主要驱动力。”
这是 GitLab 连续三年在 Gartner 应用程序安全测试魔力象限中获得认可。
“我们很高兴看到,将安全嵌入 DevOps 工作流程这种独特方法,具有持续的发展势头。”GitLab 产品管理总监 Hillary Benson 表示,“我们相信,挑战者魔力象限的认可,代表市场对 DevSecOps 方法和价值的深入理解,这种方法赋能开发人员发现和修复漏洞,并通过 DevOps 平台提升便利性。”
GitLab 一体化 DevOps 平台提供了 DevOps 所需的自动化,以及安全专家所需的策略和漏洞管理功能。极狐GitLab 作为 GitLab 中国发行版,极狐GitLab / GitLab 提供了一系列已集成的、可审查、可管理的扫描器,满足现代应用程序研发以及云原生环境下的安全合规需求。
独特的 AST 方法
GitLab 在应用程序安全领域持续创新。让我们来看看,GitLab 和传统 AST 厂商有何不同。正是这些差异带来了使用一体化平台来实现 DevOps 和安全的众多好处。例如:
GitLab 将更全面的扫描集成到 CI 流水线中,以便构建出更具有交互性的测试环境。
这是一种独特的方法,有别于将产品重点放在基于工具的交互式 AST。在 GitLab 上,开发人员能够更加全面地了解安全漏洞的产生,这也让开发人员能够更高效地去解决这些安全问题。
同样,虽然 Gartner 分析师将重点放在类似拼写检查的轻量级 SAST 功能上,但我们发现这些功能对于 GitLab 用户来说,并不是那么重要。当然,这也是因为 GitLab 将功能内置了。打个比方:我们习惯于经常保存文件,这样编辑的文件就不会丢失。开发人员开发软件时也在做同样的事情:变更被频繁 “提交” 到代码仓库。
点击 “提交” 按钮后,GitLab 会对代码变更做一次真正的 SAST 扫描,为开发人员提供了更及时和完整的反馈。
DevOps 团队可以选择启用 DAST 扫描,该扫描使用 GitLab 审核特性来评估合并前的变更。
并且,依赖项扫描、容器扫描、基础设施即代码以及更多其他的扫描,也会在点击提交按钮时进行。
此外,GitLab 还关注为 DevOps 团队提供关于漏洞挖掘和修复的培训教育。
▶ 极狐GitLab 将为开发者提供一系列清晰明了的培训,诸如如何减少创建安全漏洞的风险等,有助于开发者学习正确的编码技能,而不是仅仅标记问题以待日后解决。敬请期待。
专注于合规
将合规左移并将其嵌入到软件开发生命周期中,也就是持续的软件合规性,是 GitLab 的优先事项。
“我们赋能组织创建与其合规政策相符合的策略,并确保这些策略能够贯穿到应用开发整个流程中。” Benson 说道,“你无需兼顾多个策略执行应用程序,只需要拥有一个对整个生命周期的可见性视角。”
比如,公司可以制定精细化的合规性流水线策略,即要求特定项目中的每个 MR 都要进行 SAST 扫描和每个开发人员都无法避免的 MR 审核。
“这些通用的控制形态和职责分离,有效简化了软件安全审计,加速了应用程序部署。” Benson 补充道。
全球领先企业选择 GitLab
至今,GitLab 已经拥有 30000000+ 注册用户, 100000+ 企业实例,服务了包括富士通、西门子、喜利得、HackerOne、The Zebra 等全球领先企业,帮助客户充分利用一体化 DevSecOps 平台 ,实现更快、更高质量和更安全的开发和发布周期。
GitLab 应用程序安全测试有助于我们在 GitLab 安全仪表板中清晰查看和分析源代码漏洞。它可以通过 Docker 轻松配置,在项目中创建新的合并请求后,立即显示完整的漏洞报告,并根据关键、高、低、中等级别对漏洞进行优先级排序,这有助于我们团队有计划地专注于最重要的事情。
——高级软件工程师
GitLab 的应用程序测试功能对于扫描应用程序中的漏洞非常有用,并且有多种测试功能供选择。我们主要使用这些工具来扫描 Docker 容器、依赖项、源代码和 Web 应用程序的漏洞。
—— Android 应用程序开发人员
我们从使用 GitLab 开始,真正尝试引入开源文化,到目前为止,我们真的成功了。使用 CI/CD,我们每个月有 50 万次构建。整个文化已经完全改变了。
——Fabio Huser,西门子智能基础设施软件架构师
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。