Peu de gens le savent, mais GitLab a également la possibilité d’effectuer une variété de contrôles de sécurité sur le code que vous développez et / ou utilisez (open source), ainsi que des capacités de conformité du code – c’est-à-dire de vous assurrez de faire une utilisation correcte et légale de l’open source que vous utilisez.
En fait, dans GitLab, vous pouvez également exécuter les tests sur le code, puis tout voir à l’aide d’un tableau de bord central qui affiche tout de manière ordonnée, et vous permet également d’effectuer des actions sur les résultats et les constatations et de partager réellement les informations entre tous les projets. personnes (ou quiconque est autorisé à le consulter).
Les tests peuvent être exécutés à partir de GitLab CI (qui est l’outil CI / CD fourni avec GitLab) et peuvent également être connectés à d’autres outils CI tels que Jenkins.
En fait, les tests peuvent être exécutés même si le code est dans un autre outil SCM (tel que git, GitHub, Bitbucket, etc.).
Certains des tests ne concernent pas le code lui-même, mais l’application ou le site Web qui exécute le code.
Il peut être exécuté à la fois à partir d’un serveur GitLab privé (c’est-à-dire auto-hébergé) et à partir du cloud.
Voici une courte liste de ces fonctionnalités:
Fonctionnalité / test
|
Description
|
Container Scanning |
Conteneurs vides (docker) pour les faiblesses connues |
Dependency List |
Afficher une liste des dépendances de projet et des vulnérabilités connues |
Dependency Scanning |
Analyse des dépendances concernant les faiblesses connues |
Static Application Security Testing (SAST) |
Scan du code (analyse statique) pour les vulnérabilités connues. C / C ++, Apex, .NET, Java, Go, JS, Python, PHP, Swift, TypeScript, NodeJS pris en charge et plus encore |
Dynamic Application Security Testing (DAST) |
Check des Application Web et sites Web vides pour détecter les vulnérabilités connues |
Secret Detection |
Scan גו code et de l’historique (de git) pour trouver des secrets et les informations sensibles |
API Fuzzing |
Decouverte des bugs et des vulnérabilités inconnus dans l’API Web (c’est-à-dire l’API que vous fournissez à vos clients) à l’aide de la technologie FUZZING |
Coverage Fuzzing |
Détection de bugs et de vulnérabilités qui ne sont parfois pas détectés dans la phase d’assurance qualité (comme une entrée inattendue et une entrée aléatoire). Support de C / C ++, Go, Java, JS, Python et plus |
Security Dashboard |
Vue centrale de toutes les conclusions dans tous les projets et groupes |
License Compliance |
Détectetion des dépendances open source dans votre code et savoir si le code et les répertoires dont nous dépendons sont légalement utilisés (tels que GPL, BSD, Apache, MIT, etc.) comme définis dans le projet |
Questions courantes:
- Question: Est-il possible de le connecter à des systèmes CI non GitLab?
Réponse: Oui – c’est généralement possible (en fonction de l’utilisation et de la situation – cela doit être testé)
- Question: Est-il possible d’exécuter les tests même sur des réseaux déconnectés d’Internet?
Réponse: Certains des tests peuvent être exécutés hors ligne. Nous proposons également une assistance et une licence d’outils supplémentaires (en plus de GitLab) spécialement conçus pour les réseaux privés.
ALMtoolbox est spécialisée dans le développement et le test pour DevOps et pour l’amélioration des processus de travail comprenant outils de développement, tests, CI / CD, transfert en production et travail sur le cloud, tels que GitLab, Kubernetes, Spotinst, Terraform, Vault, Consul, Rancher et autres., Nous offrons des services de Consultant et vente de licences d’outils.
ALMtoolbox est le représentant officiel de GitLab, Hashicorp en France et dans d’autres pays.
Contactez pour nous toute question, un devis ou même une license d’évaluation.
ALMtoolbox : 01 84 17 53 28, devops.fr@almtoolbox.com