Outre le contrôle de version et CI/CD, GitLab propose également une variété de tests de sécurité sur votre code propriétaire (que vous développez) ou le code externe que vous utilisez (c’est-à-dire open source), ainsi que des capacités de conformité de code – pour vous aider à valider que vous faites correctement et l’utilisation légale des bibliothèques open source et des extraits de code que vous pouvez utiliser.
En fait, dans GitLab, vous pouvez également exécuter les tests sur le code lui-même, puis tout voir à l’aide d’un tableau de bord central qui montre tout organisé, et vous permet également d’exécuter certaines actions sur les résultats et les conclusions, et de partager les informations entre toutes les parties prenantes. (ou celui qui est autorisé à le regarder dépend des autorisations).
Les tests peuvent être exécutés à partir de GitLab CI (l’outil CI/CD intégré fourni avec GitLab) et peuvent également être connectés à d’autres outils CI tels que Jenkins.
Les tests peuvent être exécutés même si le code se trouve dans un autre outil SCM (tel que git, GitHub, Bitbucket, etc.).
Certains des tests sont dynamiques, ce qui signifie qu’ils ne s’exécutent pas sur le code lui-même mais sur l’application ou le site Web qui exécute le code.
Il peut être exécuté à la fois à partir d’un serveur GitLab privé (auto-hébergé) ou à partir du cloud / SaaS (par exemple, gitlab dot com).
Vous pouvez voir ici un aperçu des fonctionnalités d’analyse de sécurité pertinentes :
Remarque : la plupart des fonctionnalités ici nécessitent une licence GitLab Ultimate. Si vous avez besoin d’un devis, contactez-nous (nos coordonnées sont ci-dessous).
Fonction |
Description |
| Container Scanning | Exécutez une analyse de sécurité pour vous assurer que les images Docker de votre application ne présentent aucune vulnérabilité connue dans l’environnement dans lequel votre code est expédié |
| Dependency List | Identifiez les composants inclus dans votre projet en accédant à la liste des dépendances (également appelée nomenclature ou nomenclature), qui est souvent demandée par les équipes de sécurité et de conformité |
| Dependency Scanning | Protégez votre application des vulnérabilités qui affectent les dépendances dynamiques en détectant automatiquement les bogues de sécurité bien connus dans vos bibliothèques incluses. |
| Static Application Security Testing (SAST) | Recherche de code source vulnérable ou de bogues de sécurité bien connus dans les bibliothèques incluses par l’application. Les résultats sont ensuite affichés dans la demande de fusion et dans la vue Pipeline. Ce test est compatible avec les langages de code suivants : C/C++, Apex, .NET, Java, Go, JS, Python, PHP, Swift, TypeScript, NodeJS, etc. |
| Dynamic Application Security Testing (DAST) | Assurez-vous de ne pas être exposé aux vulnérabilités des applications Web telles que l’authentification interrompue, les scripts intersites ou l’injection SQL |
| Secret Detection | Vérification des secrets et des informations d’identification commis involontairement dans le code git et l’historique |
| API Fuzzing | Testez les API dans vos applications pour trouver les vulnérabilités et les bogues qui manquent aux processus d’assurance qualité traditionnels |
| Coverage Fuzzing | Trouvez des failles de sécurité et des bugs dans votre application que les processus d’assurance qualité traditionnels manquent, prenant en charge C/C++, Go, Java, JS, Python et d’autres langages de code. |
| Security Dashboard | Gagnez en visibilité sur les correctifs prioritaires en identifiant et en suivant les tendances des risques de sécurité dans l’ensemble de votre organisation |
| License Compliance | Vérifiez que les licences de vos dépendances sont compatibles avec votre application (par exemple, licences GPL, BSD, Apache, MIT, etc.), et approuvez-les ou refusez-les |
ALM-Toolbox est le représentant officiel de GitLab dans de nombreux pays dont la France , Pour plus de détails, contactez-nous :+33(0)1 84 17 53 28, devops.fr@almtoolbox.com
Last update: December 2021
