本文来源:about.gitlab.com 作者:Joseph Longo 译者:武让 极狐GitLab 高级解决方案架构师

作为一体化平台,通过极狐GitLab 可以很容易实现 DevSecOps 全生命周期管理。极狐GitLab 使开发人员能够更快地构建更好的软件应用。但是,它的能力还不仅限于 DevSecOps。

2022 年 10 月,ISO 组织发布了 ISO 27001 标准的最新版本。ISO/IEC 27001:2022 与其之前的版本相比,包含了一些变化,其中在附件 A 中新增了对安全编码和配置管理的要求。

利用极狐GitLab 产品的功能特性来支持极狐GitLab 企业内部的安全合规计划,这是我们内部称为 DogFooding 的企业文化。极狐GitLab 维护的合规和保证凭证概述可以在极狐GitLab 的信任中心页面查看。

接下来我们可以一起回顾,如何使用极狐GitLab 以支持您的 ISO 27001 合规之旅。

1. 组织控制

控制ID 控制描述
5.3 职责分离 应分离冲突职责和冲突责任领域。
5.15 访问控制 应根据业务和信息安全要求建立和实施控制物理和逻辑访问信息和其他相关资产的规则。
5.16 身份管理 应管理身份的全部生命周期。
8.2 特权访问权 应限制和管理特权访问权的分配和使用。
8.4 对源代码的访问 应适当管理对源代码、开发工具和软件库的读写访问。

通过极狐GitLab,您可以在将用户添加到项目或群组时为他们分配角色。用户的角色确定他们在极狐GitLab 实例内可以执行的操作。可分配的角色如下:

极狐GitLab 的角色使您能够根据最小特权原则和您的业务和信息安全要求来限制用户的权限。

通过极狐GITLAB SAML SSO集成,极狐GitLab 使您能够集中进行身份验证和责任授权,从而支持GitLab 实例的身份验证和授权。极狐GitLab 可以与多种身份提供者集成(如Auth0、ADFS、Okta、Oauth2.0、LDAP),以支持客户多样的技术栈。极狐GitLab 还支持跨域身份管理系统(SCIM)。通过极狐GitLab 的SSO和SCIM集成,您可以以安全和高效的方式自动化用户身份的生命周期管理。

对于私有化部署的极狐GitLab,SSOSCIM也是可用的。

注意: ISO/IEC 27001:2022附件A中关于技术控制的8.2和8.4也包含在上面的图表中,因为它们与组织控制的5.3、5.15和5.16密切相关。极狐GitLab 的功能同样可用于支持这些控制要求。

控制ID 控制描述
5.8 项目管理中的信息安全 应将信息安全集成到项目管理中。

使用极狐GitLab,您可以使用我们的计划工具来支持项目管理工作,并确保在项目生命周期的所有阶段都适当考虑了信息安全。

scoped-labels

2. 技术控制

控制ID 控制描述
8.8 技术漏洞的管理 应获取信息系统中技术漏洞的信息,评估组织对这些漏洞的曝露,并采取适当的措施。
8.9 配置管理 应建立、记录、实施、监控和审查硬件、软件、服务和网络的配置,包括安全配置。
8.25 安全开发生命周期 应建立和应用软件和系统安全开发的规则。
8.26 应用安全要求 在开发或采购应用程序时,应确定、规定和批准信息安全要求。
8.27 安全系统架构和工程原则 应建立、记录、维护和应用到任何信息系统开发活动中的安全系统工程原则。

使用极狐GitLab,您可以存储您的硬件和软件配置,保持版本控制,通过合并请求更新您的配置,并利用极狐GitLab 的 CI/CD流水线将这些配置推送到您的应用程序和基础设施。极狐GitLab 使组织能够通过单一平台实施 GitOps

极狐GitLab 的基础设施即代码扫描功能使您能够扫描您的IaC配置文件以查找已知漏洞。极狐GitLab 的 IaC 扫描支持多种IaC配置文件和语言,使其适应不同的技术栈。

对于合规专业人员,极狐GitLab 使您能够通过合规框架合规流水线实施统一的、强制的自动化流程,从而支持您的安全规范,并促进遵守组织内部和外部的合规要求。

对于 Ultimate(旗舰版)客户,极狐GitLab 的合规中心提供了对组合规中项目中应用的不同合规框架的集中视图。您可以看到您的项目是否符合极狐GitLab 标准

控制ID 控制描述
8.15 记录 应生成、存储、保护和分析记录活动、异常、故障和其他相关事件的记录。
8.16 监控活动控制 应监控网络、系统和应用程序以寻找异常行为,并采取适当措施评估潜在的信息安全事件。

使用极狐GitLab,您可以使用审计事件来跟踪重要事件,包括谁执行了相关操作以及何时执行的。审计事件涵盖了广泛的类别,包括:

example-of-an-audit-event

对于 Ultimate(旗舰版)客户,可以启用审计事件流。审计事件流使用户能够为顶级组或实例设置流目的地,以接收有关组、子组和项目的所有审计事件的结构化JSON。

控制ID 控制描述
8.28 安全编码 应将安全编码原则应用于软件开发。
8.29 开发和验收中的安全测试 应在开发生命周期中定义和实施安全测试流程。

您可以使用极狐GitLab 的安全阶段中的功能来增强您的软件开发生命周期并提高产品的安全性。极狐GitLab 的 Secure 阶段功能包括:

以及更多!

code-quality-findings

敏感信息泄露是安全漏洞的主要问题之一。极狐GitLab 的秘钥检测功能可以扫描您的代码库,防止您的敏感信息被泄露。

极狐GitLab 的安全策略功能使用户能够自定义扫描执行策略扫描结果策略。这些策略将安全阶段的扫描结果与合并请求批准功能结合,形成安全门禁,可以进一步满足合规要求。

综合来看,极狐GitLab 的安全功能为安全的软件开发生命周期程序打下了基础,并使您能够根据组织的要求实践安全编码原则。

控制ID 控制描述
8.32 变更管理 应按照变更管理程序对信息处理设施和信息系统的更改进行管理。

极狐GitLab 提供了许多功能,以支持全面的变更管理。

极狐GitLab 的源代码管理功能使用户能够使用受保护分支。受保护分支允许极狐GitLab 用户对重要分支施加限制,实现:

代码库中的默认分支(如master、main分支)会自动指定为受保护分支。

protected-branches-settings-within-gitlab

合并请求(MR)是软件开发生命周期的核心组成部分。极狐GitLab 用户可以配置他们的合并请求,以便变更必须获得批准后才能合并。合并请求批准允许用户自定义审批流程,包括:

正如之前提到的,议题任务可用于记录和协作变更请求。描述模板使用户能够将一致的信息描述应用于议题或合并请求,实现对变更的统一管理。

3. 了解更多

作为一体化DevSecOps平台,极狐GitLab 支持更广泛的需求。ISO在2022年的ISO标准中增加了围绕安全编码和配置管理的附加控制。这表明认证机构对软件整体的安全性有了进一步关注。作为战略合作伙伴,极狐GitLab 可以帮助您更好的支持ISO 27001标准,并帮助您更快的开发更好的软件。

要了解更多信息,请查看我们的tutorials库。

60天免费试用极狐GitLab专业版

极狐GitLab不仅是源代码管理或CI/CD工具,它是一个覆盖完整软件开发生命周期和DevOps的开放式一体化平台。

企业版试用
售前咨询
联系电话
在线支持
预约演示