解决方案 
定价
人工智能产品新
按用例分类
持续集成/持续交付(CI/CD)→使一切自动化,加速部署。
源代码管理→通过共享历史构建未来。
Auto DevOps →一键提交,即可开启 DevOps。
DevSecOps →集成安全性,更快地持续交付。
敏捷开发 →保存方法,增加功能。
通过 GitLab 实现 DevSecOps
极狐 GitLab将安全性内置在持续集成(CI)流水线中,且可开箱即用。每次代码提交后它都会进行自动扫描,以检测代码中的安全漏洞和依赖性,然后将可执行的结果传送到开发人员的本地工作流中,以便他们进行快速修复。
设置Auto DevOps
增强开发人员创建安全代码的能力
如果将安全性与 DevOps 工作流程分开,应用程序安全性就很难保证。传统上,安全一直是开发生命周期的最后一关。迭代式的开发工作流程会使安全性成为发布的瓶颈。与其在开发流程的最后阶段才考虑安全问题,您可以将其无缝纳入开发人员的工作流程。
为什么集成对 DevSecOps 至关重要
- 对每一段提交的代码进行安全威胁测试,不会造成成本叠加。
- 开发人员可以在仍在处理代码时立即进行补救,或一键创建问题。
- 安全专家可以对软件开发过程中的副产品——识别的未解决漏洞进行查看和管理。
- 单一可信数据源可将协作重点放在修复上,规避翻译和指责。
- 单一工具可降低整个 DevOps 流程中购买、集成和维护点解决方案的成本。
简化 DevSecOps 的 DevOps 平台
极狐 GitLab 以业界领先的源代码管理(SCM)和持续集成(CI)而闻名。开发人员希望使用极狐 GitLab。我们让安全和合规变得简单。使您专注于应用程序,而非工具维护,同时以可预测的成本提高协作性和透明度。极狐 GitLab 内置安全和治理功能。
- 应用程序安全测试和修复。在每次代码提交时,极狐 GitLab 都会向开发人员提供可执行的漏洞发现,同时帮助安全专家通过解决方案管理其余漏洞。
- 云原生应用程序保护。极狐 GitLab 可帮助您监控和保护已部署的应用程序。
- 策略合规性和可审计性。极狐 GitLab 的 MR 审批、端到端透明度(谁在何时何地更改了哪些内容)以及合规性仪表板和通用控件可帮助您满足合规性需求。
- SDLC 平台安全。了解我们如何确保 极狐 GitLab 软件的安全。
简化 DevSecOps
持续安全测试功能
包含在极狐 GitLab 的所有层级中
静态应用程序安全测试(SAST,所有层级)
- 在代码提交时,即代码合并之前扫描应用程序以发现潜在漏洞。
- 秘密检测(Secret Detection)可防止秘密意外泄露到 Git 历史记录中。
包括在极狐 GitLab 最高层级中
动态应用程序安全测试 (DAST)
- 利用极狐 GitLab 审查应用程序的 CI/CD 功能,在 SDLC 的早期阶段进行动态扫描。
- 测试运行中的网络应用程序是否存在已知的运行时漏洞。
- 用户可提供 HTTP 凭据来测试私人区域。
依赖扫描
- 利用极狐 GitLab的CI/CD,在每次代码提交时分析外部依赖(如库)是否存在已知漏洞。
- 找出需要更新的易受攻击的依赖项。
- 依赖关系列表(物料清单)显示项目中使用的所有依赖关系。
容器扫描
- 在应用环境中检查 Docker 镜像是否存在已知漏洞。
- 避免通过容器镜像导致漏洞复现。
许可证合规性
- 自动搜索项目依赖项,查看是否存在政策规定的已批准和未批准的许可证。
- 每个项目可自定义许可证策略。
- 许可证分析结果与安全漏洞一起显示在合并请求流水线中,以便立即解决。
其他功能
- 自动修复: 自动修复旨在自动开启漏洞解决方案流程,并自动创建修复程序。然后对修复程序进行测试,如果修复程序通过了为应用程序定义的所有测试,就会将其部署到生产环境中。
- 模糊测试:模糊测试已与合并请求流水线中的其他扫描器集成在一起。应用这项强大的技术,通过覆盖率指导的模糊测试和 API 模糊测试,自动测试未知的安全漏洞。
令人兴奋的新功能!
欢迎您对我们的愿景和路线图提出反馈意见并做出贡献
资源
了解如何在 CI/CD 流水线中添加安全性
使用极狐 GitLab 安全仪表板有效管理漏洞和风险
管理应用程序依赖关系
在 Jenkins 中使用极狐 GitLab 应用程序安全功能
了解我们与其他安全工具的比较
