Tag: compliance

Comment obtenir la conformité logicielle en utilisant GitLab ?

Gitlab France AdminLeave a comment

Dans cet article, j’expliquerai ce qu’est la conformité logicielle et comment le système GitLab peut vous aider à y parvenir efficacement. À la fin de l’article, il est également possible de télécharger un tableau à jour et détaillé que nous avons préparé, détaillant toutes les fonctionnalités de conformité incluses dans GitLab.

software compliance checklist

Qu’est-ce que la conformité logicielle ?

Il s’agit d’un processus dans lequel vous vous assurez que vous développez un logiciel ou utilisez d’autres logiciels selon un ensemble défini de règles que vous devez respecter. Il peut s’agir de normes de développement de code que vous devez respecter, de normes de sécurité des informations que vous devez respecter ou du respect de l’utilisation légale de codes ou de bibliothèques tiers conformément à la politique de licence en vertu de laquelle ils ont été publiés. Il est également possible que votre organisation doive se conformer à certaines normes (telles que ISO, SOC2 et autres) afin que vous puissiez développer le logiciel pour vos clients, le déployer dans le cloud et en général respecter les conditions de licence, certaines normes, toute réglementation. ou toute exigence de sécurité. Le travail continu pour parvenir à une telle conformité implique de surveiller les réglementations et l’utilisation, de conserver strictement la documentation et de comprendre les termes des licences de logiciels. Il s’agit donc parfois d’un travail continu et long qui nécessite beaucoup de temps de travail et de main d’œuvre.

Conformité et GitLab

Dans GitLab, vous disposez de dizaines de fonctionnalités qui vous aideront à assurer la conformité de manière efficace et pratique. Certains via l’automatisation et d’autres via des rapports et un affichage de l’état en temps réel. L’utilisation de ces fonctionnalités peut vous faire gagner beaucoup de temps de travail et libérer vos collaborateurs pour qu’ils puissent s’occuper d’autres tâches. Nous avons récemment préparé un tableau à jour et complet sur ce sujet, qui comprend toutes les fonctionnalités de conformité incluses dans GitLab, notamment : (cette liste est partielle – vous pouvez télécharger la liste entièrement détaillée)

    • Policy management
        • Inventaire des informations d’identification
        • Rôles d’utilisateur granulaires et autorisations flexibles
        • Fusionner les approbations des demandes
        • Règles de transmission
        • Séparation des tâches par succursales protégées
        • Rôles et autorisations des utilisateurs granulaires
    • Automatisation conforme des flux de travail
        • Cadres de conformité
        • Pipelines de conformité
        • Étiquettes de projet du cadre de conformité
    • Audit management
        • Audit events
        • Audit reports
        • Auditor users
        • Compliance Center
    • Gestion des vulnérabilités et des dépendances
        • Tableaux de bord de sécurité
        • Nomenclature du logiciel
    • Général
        • Vérifications d’état externes
        • Génération des rapports sur les niveaux d’autorisation des utilisateurs
        • Politiques d’approbation des licences
        • Verrouiller l’adhésion du projet au groupe
        • Synchronisation de groupe LDAP
        • Restriction  les clés SSH

(La liste ci-dessus est partielle – la liste complète peut être téléchargée ci-dessous)

Pour chacune de ces capacités (et plus encore), le tableau que nous avons préparé répertorie :

    • La fonctionnalité est-elle disponible au niveau du serveur (instance GitLab), au niveau des groupes GitLab ou au niveau des projets GitLab (certaines capacités sont disponibles à tous les niveaux, et d’autres ne le sont pas)
    • À partir de quelle édition la fonctionnalité est-elle disponible (édition gratuite / premium / ultime) ? Certaines sont disponibles dans l’édition gratuite et d’autres uniquement dans les éditions payantes (Pour une liste complète de toutes les fonctionnalités de GitLab en fonction de la disponibilité des versions, vous pouvez nous contacter [par e-mail – détails ci-dessous] ou télécharger à partir du lien ci-dessus)
    • La fonctionnalité est-elle disponible en Autogéré (installation dans un réseau fermé ou dans un cloud privé/service géré)
    • Est disponible sur GitLab SaaS (cloud public)
    • Description de chaque fonctionnalité
    • Une URL pour plus d’informations techniques
    • A partir de quelle version la capacité existe (ce qui représente parfois son niveau de maturité)

Il s’agit du dernier contenu que nous avons préparé, sur la base de nos connaissances accumulées et il est ajouté aux informations du fabricant. Voici une partie du tableau :

Vous pouvez télécharger le tableau complet et le plus récent ici :

Pour télécharger le tableau complet (une feuille Excel), vous pouvez laisser un email ici, et il vous sera envoyé immédiatement à l’adresse email que vous avez indiquée :

Error: Contact form not found.

Certains commentaires:

    • Veuillez noter que certaines fonctionnalités ne sont pas disponibles dans GitLab SaaS (cloud public) en raison des limitations technologiques de cette solution, alors que toutes les fonctionnalités sont disponibles dans GitLab autogéré. Si vous préférez une solution cloud, vous pouvez toujours obtenir toutes les fonctionnalités en utilisant GitLab dans un cloud privé (locataire unique / dédié) en tant que service géré – nous fournissons cette solution – contactez-nous.
    • Veuillez noter que certaines fonctionnalités ne sont pas disponibles dans GitLab SaaS (cloud public) en raison des limitations technologiques de cette solution, alors que toutes les fonctionnalités sont disponibles dans GitLab autogéré. Si vous préférez une solution cloud, vous pouvez toujours obtenir toutes les fonctionnalités en utilisant GitLab dans un cloud privé (locataire unique / dédié) en tant que service géré – nous fournissons cette solution – contactez-nous.
    • Le document complet est actuellement à jour jusqu’à l’édition 16.5 (publiée le 22/10/2023)

L’article a été rédigé par ALM-Toolbox – les représentants officiels de GitLab en France depuis 2016. Nous fournissons du conseil, du support, des services gérés (y compris un cloud privé en Israël), des licences et des formations pour GitLab et des outils complémentaires. Pour plus de détails, contactez-nous : gitlab.fr@almtoolbox.com ou +33 (1)184 17 53 28

    • Liens Utiles

Sécurité et conformité du code avec GitLab

Jean-Michel BonnetLeave a comment

 

gitlab logo security devsecops

Outre le contrôle de version et le CI/CD, GitLab propose également une variété de tests de sécurité sur votre code propriétaire (code que vous développez) ou sur le code externe que vous utilisez (c’est-à-dire open source), ainsi que des capacités de conformité du code – pour vous aider à vous assurer que vous faites l’utilisation appropriée et légale de toutes les bibliothèques open source et des extraits de code.

En fait, dans GitLab, vous pouvez également exécuter les tests sur le code lui-même, puis tout voir à l’aide d’un tableau de bord central qui montre tout organisé.
Le tableau de bord de GitLab vous permet également d’exécuter certaines actions sur les résultats et les découvertes, et de partager les informations entre toutes les parties prenantes (ou quiconque est autorisé à les regarder en fonction des autorisations).

gitlab security dashboard
Tableau de bord de sécurité de GitLab (vue au niveau du groupe). Cliquez pour agrandir.

Les tests peuvent être exécutés à partir de GitLab CI (l’outil CI/CD intégré fourni avec GitLab) et peuvent également être connectés à d’autres outils CI tels que Jenkins.

Les tests peuvent être exécutés même si le code se trouve dans un autre outil SCM (tel que git, GitHub, Bitbucket, etc.).

Certains des tests sont dynamiques, ce qui signifie qu’ils ne s’exécutent pas sur le code lui-même, mais sur l’application ou le site Web qui exécute le code.

Les tests peuvent être exécutés à la fois depuis un serveur GitLab privé (auto-hébergé) ou depuis le cloud / SaaS (par exemple, gitlab dot com).

Vous pouvez voir ici un aperçu des fonctionnalités d’analyse de sécurité pertinentes :

Remarque : la plupart des fonctionnalités ici nécessitent une licence GitLab Ultimate. Si vous avez besoin d’un devis, contactez-nous (nos coordonnées sont ci-dessous).

Feature

Description
Container Scanning Exécutez une analyse de sécurité pour vous assurer que les images Docker de votre application ne présentent aucune vulnérabilité connue dans l’environnement où votre code est livré.
Dependency List Identifiez les composants inclus dans votre projet en accédant à la liste des dépendances (également appeléeBill of Material ou BOM), qui est souvent demandée par les équipes de sécurité et de conformité.
Dependency Scanning Protégez votre application des vulnérabilités qui affectent les dépendances dynamiques en détectant automatiquement les bogues de sécurité bien connus dans vos bibliothèques incluses.
Static Application Security Testing (SAST) Recherche de code source vulnérable ou de bogues de sécurité bien connus dans les bibliothèques incluses dans l’application. Les résultats sont ensuite affichés dans la demande de fusion et dans la vue Pipeline.
Ce test prend en charge les langages de code suivants:  C/C++, Apex, .NET, Java, Go, JS, Python, PHP, Swift, TypeScript, NodeJS et plus.
Dynamic Application Security Testing (DAST) Assurez-vous que vous n’êtes pas exposé aux vulnérabilités des applications Web telles que l’authentification cassée, les scripts intersites ou l’injection SQL.
Secret Detection Vérification des secrets et des informations d’identification involontairement commis dans le code git et l’historique.
API Fuzzing Testez les API dans vos applications pour trouver les vulnérabilités et les bogues qui manquent aux processus d’assurance qualité traditionnels.
Coverage Fuzzing Trouvez des vulnérabilités de sécurité et des bogues dans votre application que les processus d’assurance qualité traditionnels manquent, prenant en charge
C/C++, Go, Java, JS, Python et autres langages de code.
Security Dashboard Gagnez en visibilité sur les correctifs prioritaires en identifiant et en suivant les tendances des risques de sécurité dans l’ensemble de votre organisation.
License Compliance Vérifiez que les licences de vos dépendances sont compatibles avec votre application(e.g. GPL, BSD, Apache, MIT licenses etc.), et les approuver ou les refuser.

 

ALMtoolbox est le  représentant officiel de GitLab, Hashicorp  en France et dans d’autres pays.

Contactez pour toute question, un devis ou même une license d’évaluation:
par email  devops.fr@almtoolbox.com ou +33 1 84 17 53 28
 Nous fournissons des conseils GitLab, la migration, aidons les clients à choisir les licences les mieux adaptées, un hébergement privé, un support de qualité et rapide, le développement de modules complémentaires GitLab et nous soutenons et vendons une variété d’outils DevSecOps et ALM.

 

First release: December 2021