Sécurité et conformité du code avec GitLab

 

gitlab logo security devsecops

Outre le contrôle de version et le CI/CD, GitLab propose également une variété de tests de sécurité sur votre code propriétaire (code que vous développez) ou sur le code externe que vous utilisez (c’est-à-dire open source), ainsi que des capacités de conformité du code – pour vous aider à vous assurer que vous faites l’utilisation appropriée et légale de toutes les bibliothèques open source et des extraits de code.

En fait, dans GitLab, vous pouvez également exécuter les tests sur le code lui-même, puis tout voir à l’aide d’un tableau de bord central qui montre tout organisé.
Le tableau de bord de GitLab vous permet également d’exécuter certaines actions sur les résultats et les découvertes, et de partager les informations entre toutes les parties prenantes (ou quiconque est autorisé à les regarder en fonction des autorisations).

gitlab security dashboard
Tableau de bord de sécurité de GitLab (vue au niveau du groupe). Cliquez pour agrandir.

Les tests peuvent être exécutés à partir de GitLab CI (l’outil CI/CD intégré fourni avec GitLab) et peuvent également être connectés à d’autres outils CI tels que Jenkins.

Les tests peuvent être exécutés même si le code se trouve dans un autre outil SCM (tel que git, GitHub, Bitbucket, etc.).

Certains des tests sont dynamiques, ce qui signifie qu’ils ne s’exécutent pas sur le code lui-même, mais sur l’application ou le site Web qui exécute le code.

Les tests peuvent être exécutés à la fois depuis un serveur GitLab privé (auto-hébergé) ou depuis le cloud / SaaS (par exemple, gitlab dot com).

Vous pouvez voir ici un aperçu des fonctionnalités d’analyse de sécurité pertinentes :

Remarque : la plupart des fonctionnalités ici nécessitent une licence GitLab Ultimate. Si vous avez besoin d’un devis, contactez-nous (nos coordonnées sont ci-dessous).

Feature

Description

Container Scanning Exécutez une analyse de sécurité pour vous assurer que les images Docker de votre application ne présentent aucune vulnérabilité connue dans l’environnement où votre code est livré.
Dependency List Identifiez les composants inclus dans votre projet en accédant à la liste des dépendances (également appeléeBill of Material ou BOM), qui est souvent demandée par les équipes de sécurité et de conformité.
Dependency Scanning Protégez votre application des vulnérabilités qui affectent les dépendances dynamiques en détectant automatiquement les bogues de sécurité bien connus dans vos bibliothèques incluses.
Static Application Security Testing (SAST) Recherche de code source vulnérable ou de bogues de sécurité bien connus dans les bibliothèques incluses dans l’application. Les résultats sont ensuite affichés dans la demande de fusion et dans la vue Pipeline.
Ce test prend en charge les langages de code suivants:  C/C++, Apex, .NET, Java, Go, JS, Python, PHP, Swift, TypeScript, NodeJS et plus.
Dynamic Application Security Testing (DAST) Assurez-vous que vous n’êtes pas exposé aux vulnérabilités des applications Web telles que l’authentification cassée, les scripts intersites ou l’injection SQL.
Secret Detection Vérification des secrets et des informations d’identification involontairement commis dans le code git et l’historique.
API Fuzzing Testez les API dans vos applications pour trouver les vulnérabilités et les bogues qui manquent aux processus d’assurance qualité traditionnels.
Coverage Fuzzing Trouvez des vulnérabilités de sécurité et des bogues dans votre application que les processus d’assurance qualité traditionnels manquent, prenant en charge
C/C++, Go, Java, JS, Python et autres langages de code.
Security Dashboard Gagnez en visibilité sur les correctifs prioritaires en identifiant et en suivant les tendances des risques de sécurité dans l’ensemble de votre organisation.
License Compliance Vérifiez que les licences de vos dépendances sont compatibles avec votre application(e.g. GPL, BSD, Apache, MIT licenses etc.), et les approuver ou les refuser.

 

ALMtoolbox est le  représentant officiel de GitLab, Hashicorp  en France et dans d’autres pays.

Contactez pour toute question, un devis ou même une license d’évaluation:
par email  devops.fr@almtoolbox.com ou +33 1 84 17 53 28
 Nous fournissons des conseils GitLab, la migration, aidons les clients à choisir les licences les mieux adaptées, un hébergement privé, un support de qualité et rapide, le développement de modules complémentaires GitLab et nous soutenons et vendons une variété d’outils DevSecOps et ALM.

 

First release: December 2021