人们总在试图更好地命名一个术语:有人提议DevSecOps,有人推荐SecDevOps,有人甚至建议完全放下 "sec",因为它应该是无处不在的。极狐(GitLab)强烈推荐使用DevSecOps,这寓意将安全置于DevOps工作的中心位置。虽然安全是显而易见的,也是流程中自然存在的一部分,但其的重要性足以让它成为每个人的责任。随着流程和政策的自动化,开发人员和安全专家可以更轻易的获取所需信息,以履行这一职责。
我们的DevSecOps平台是一个端到端的安全解决方案,它可以帮助你计划、创建、部署、保护和管理你的现代化软件和它所依赖的基础设施。极狐GitLab提供了必要的可见性和控制,以保护你的“软件创新工厂”及其交付物的完整性。
在DevSecOps与传统应用安全测试的演变方面,极狐GitLab一直是变革的催化剂。让我们来看看这种演变意味着什么:
安全测试
-
过往:安全测试是由安全专家使用他们自己的工具进行,通常是在开发周期的最后。
-
极狐GitLab:安全测试在CI流水线内自动进行,当开发者还在对代码进行迭代时,测试结果就会同时交付。测试结果仅限于代码更改中引入的新漏洞,这使开发人员能够非常清楚地修复他们产生的安全缺陷,而无需应对积压已久的bug和技术债。
CI和安全扫描器
-
过往:CI脚本可能被用来调用安全扫描器,并将结果拉入CI流水线。然而,这两个工具是分开的,通常某些部分缺失并且高度依赖集成。CI工具和扫描器的也因各不相同到许可而导致难以管理,特别是当它们按不同的变量(用户、应用程序、代码大小)收费时。
-
极狐GitLab:单一平台,没有昂贵的集成需要维护,只需管理一个许可证即可。
修复措施
-
过往:安全专家必须不断跟踪关键漏洞(风险)的修复状态。调查结果在一个工具里,但修复工作则依靠开发团队内部急性,这使得两个团队处于持续的摩擦和低效的沟通状态。
-
极狐GitLab:通过共享统一的工具,安全专家可以在他们的仪表板上看到特定漏洞的修复状态。而且,两个团队可以通过使用极狐GitLab议题进行合作,共同执行修复工作。
我们为我们对行业变革的影响和我们带来的进展感到自豪,并邀请您了解更多关于极狐GitLab安全和合规的能力和好处。
在2021年Gartner应用安全测试魔力象限中, GitLab(极狐GitLab是GitLab的中国发行版)因其执行能力和完整愿景被认定为行业领先者。我们相信,这是对直接将扫描结果交到能够进行修复的人手中的价值的一种肯定。Gartner在其魔力象限报告*中开宗明义地指出:"现代化应用设计和DevSecOps的持续采用正在扩大AST的市场范围。安全和风险管理领导者可以通过在软件交付生命周期中无缝整合AST并使其自动化,来满足更紧张的交付期限要求,并测试更复杂的应用程序"。 极狐GitLab为开发者提供多种扫描类型的公司,包括SAST、DAST、依赖项扫描、容器扫描、秘密检测、许可证合规、API模糊测试和覆盖率引导的模糊测试。我们还提供依赖列表和漏洞管理。我们正在定期替换许多现有的应用安全供应商,不仅为开发团队增加价值,而且带来极狐GitLab新的扫描方法以满足现代应用架构的需求,从而为疲惫不堪的应用安全行业带来创新。
真正的DevSecOps代表了软件安全的新时代,其范围比传统的App Sec要广得多。我们相信极狐GitLab已经引领了市场的发展,并将持续这样做。
*Gartner应用安全测试魔力象限,Dale Gardner, Mark Horvath, Dionisio Zumerle, 2021年5月27日。
*本文翻译自GitLab博客GitLab is setting the standard for DevSecOps