DevOps 解决方案资源 - DevSecOps

1. 你在这里:
2. 极狐 Handbook
3. 市场部
4. product- marketing
5. solutions-goto-market
6. DevOps 解决方案资源 - DevSecOps

• 寻找面向客户的 极狐 GitLab DevSecOps 能力概述？参见DevSecOps 解决方案
• 市场角度
• DevSecOps
  • 为什么需要 DevSecOps ？
  • 预期业务结果
  • 画像
    • 用户画像
    • 买家画像
• 市场需求(按优先级排序)
• 极狐 GitLab 解决方案
• 极狐 GitLab如何满足市场需求
• 顶端差异
  • 极狐 GitLab DevOps 平台如何帮助实现 DevSecOps
  • 极狐 GitLab的优势是什么？
• 信息屋
• 竞争力的比较
• 不同版本的核心价值
  • 免费社区版和专业版
  • 旗舰版
• 技术伙伴
• 销售 DevSecOps 解决方案
• 发现问题
• 潜在的争议
• 采用引导
  • Playbook 步骤
  • 采用建议

---

寻找面向客户的 极狐 GitLab DevSecOps 能力概述？参见DevSecOps 解决方案

下面的页面旨在使 极狐 GitLab 的销售和营销工作与我们围绕 DevSecOps 的市场投入工作的事实来源保持一致。

市场角度

DevSecOps

DevSecOps 用例适用于那些试图在其 DevOps 方法中 “左移” 以更早地发现安全漏洞但未能实现预期结果的客户。

当安全性与 DevOps 流程分离时，应用程序安全性就很难实现。安全性传统上是开发生命周期中的最后一个障碍。迭代开发工作流会使安全性成为发布瓶颈。客户没有足够的安全人员来测试他们所有的代码，雇佣更多的安全分析师也不会自动减少应用安全部门和工程团队之间的摩擦。只测试主要版本，或将测试限制在某些应用程序上，会留下黑客可以利用的弱点。他们需要一种平衡风险和业务敏捷性的方法。他们希望将安全性包含在 DevOps 工作流中，而不是在开发流程的末尾等待安全性检查。这通常被称为 DevSecOps 。

DevSecOps 在 CI 流水线中集成了自动化的安全扫描和合规控制。极狐 GitLab通过在 DevOps 平台中无缝地嵌入安全性和合规性进一步推进了这一方法，提供了简单性、可视性和可控性。

为什么需要 DevSecOps ？

开发人员的数量总是比安全专家多。要扩展应用程序安全工作，必须允许开发人员在编写代码时自行查找和修复软件安全漏洞。

应用程序安全测试仍然是基础，而现在整个软件工厂的可见性和控制更加重要。可以把它看作 DevSecOps 2.0。极狐 GitLab 的 DevOps 平台方法为满足这些新的、更广泛的 DevSecOps 需求提供了明显的优势。

预期业务结果

• 左移，以便在成本较低的情况下更早地发现和修复漏洞
• 已经尝试用现有工具左移——无法扩展——寻找一个更简单的解决方案
• 通过不将漏洞引入生产环境来降低风险和技术债务
• 在DevOps、高速度、迭代环境中，应用安全成本更可预测
• 更安全的软件供应链，更好的端到端治理，以降低安全和合规风险

画像

用户画像

用户包括开发人员和安全专家。我们为我们对软件漏洞和它们的解决状态有一个统一的看法而感到自豪。

开发人员 主要在 MR 流水线报告中使用极狐 GitLab

开发人员关心安全性，但不想成为安全专家。他们编写安全代码的主要动机是保护他们的个人/职业声誉。他们不想因为自己编写的易受攻击的代码而让公司破产。与此同时，他们的目标主要是快速生成满足用户需求的代码。它们通常不是根据安全缺陷来衡量的。安全似乎是一个必要的麻烦。适合他们的工作流程，没有上下文切换的工具是最可接受的。极狐 GitLab 通过在代码提交时报告漏洞而提供的清晰度是有帮助的。

安全专家最关心的是管理企业/机构的风险。他们从广泛的角度看待过程，寻找过程改进领域，以降低风险并避免重复错误。因为他们关心风险，所以他们希望识别未解决的漏洞、它们的严重程度以及它们的补救状态。他们关心的是一段时间内的趋势和总体改进趋向。通常他们的指标是补救的平均时间。很少有安全人员自己能够修复软件安全缺陷；他们依赖于开发人员来做到这一点。这种目标不一致通常是团队之间摩擦的原因。在传统的应用程序安全环境中，测试是在 SDLC 结束时完成的，他们可能会花费大量时间跟踪和报告漏洞状态，审查并发现问题，并将其分类给开发团队。在开发更加自动化的情况下，他们可能能够更专注于设置策略并允许工具执行它们。他们通常希望避免将任何新的关键/高漏洞转移到生产中，并倾向于破坏构建来强制执行这一点。

虽然开发人员和 DevOps 团队喜欢使用 极狐 GitLab 来实现安全，但安全专家经常持怀疑态度，将其与他们最喜欢的现有工具进行比较。他们可能已经建立了自己的复杂仪表盘，并在他们最喜欢的工具上投入了职业生涯。他们通常不愿意替换它，即使它可以简化他们以及开发人员的工作。

买家画像

安全经理或 CISO 通常是决策层的买家

安全负责人可能把自己的职业生涯押在了证明 Fortify 或 Veracode 等非常昂贵的工具的正确性上，并且经常不愿意更换它，即使它可以简化开发人员和安全部门的工作。

赢得他们的心的关键是专注于简单和可控。

复杂是 CISO 主要抱怨的问题之一。使用一个工具在一个地方提供广泛的扫描结果，而不需要进行持续的集成/维护，可以大大简化工作。

CISO 可能会感到失控，或者至少在不断变化的威胁、引人注目的网络攻击、新的合规问题和开发工具蔓延中感到安全压力。会感到很难管理这些软件风险。通过一个单一的平台来控制您的软件开发，该平台为您的所有软件开发需求提供端到端的简单性、可见性和可控—选择 极狐 GitLab。

市场需求(按优先级排序)

市场需求	描述	典型的功能启用特性	价值/ ROI
通用合规性控制	保护软件开发和部署过程的完整性所必需的控制	基于角色的访问、 MR 批准等	简化审核和合规，降低不合规风险。
扫描开发人员的结果	为了让开发人员在编码时找到并修复漏洞，漏洞扫描结果必须在其原生工作流中提供给开发人员。可以自动更正的发现应该使用自动化来应用修复程序并测试结果。	增量扫描用于快速、迭代扫描。将扫描结果集成到 CI 流水线中。自动修复，自动创建修复，消除开发人员的工作。	允许在成本较低的情况下尽早修复安全缺陷，消除场景切换，并通过防止漏洞进入生产环境将风险降至最低。
代码和组件的应用程序安全性测试	通常被称为软件组合分析(SCA)，它测试所有代码组件(自定义代码和开放源代码)，无论它位于何处(例如在容器中)。极狐 GitLab 调查显示依赖扫描是最常用的扫描类型。	SAST、依赖项扫描、容器扫描、秘密检测和(可选)许可证性	降低安全性和合规性风险。
对正在运行的应用程序进行安全测试	扫描，在代码执行时查找易受攻击的代码行为。	DAST, IAST，输入模糊，UEBA/威胁建模，移动应用程序安全测试	降低安全性和合规性风险。
安全治理	解决方案自动对代码应用安全策略，以确保只承担适当的风险。应用程序漏洞(代表风险)被跟踪、管理和报告。该解决方案支持安全实践的例行评估，以评估风险、性、审计和流程改进机会(通常用于教育目的)。	安全策略自动化，风险和合规报告，审计报告，各种安全指标和过程报告，漏洞数据库和管理	有效监控、管理和降低风险。能够识别异常并随着时间的推移改进策略。
安全护栏(预防性-预 CI/CD)	预防性应用程序安全性使用护栏来帮助团队始终如一地构建从一开始就安全的东西。	类似拼写检查的功能，将不安全的短语识别为开发人员类型，限制开发人员选择预先批准的代码库的材料清单，以及自动发现所有第三方代码的目录。	防止产生新的漏洞。
使用现有的和不同的工具	安全扫描仪必须集成到可能使用第三方 CI 的和/或安全扫描仪的现有环境中	API 和插件	允许继续使用现有投资，并避免了rip-n-replace 场景。

极狐 GitLab 解决方案

极狐 GitLab如何满足市场需求

极狐 GitLab DevSecOps用例概述

市场需求	极狐 GitLab 如何交付	极狐 GitLab类别	样例
通用合规性控制	极狐 GitLab 在整个 SDLC 中提供了许多通用控件	管理阶段中的访问和合规性
扫描开发人员的结果	增量扫描用于快速、迭代扫描。将扫描结果集成到 CI 流水线中。自动修复以自动创建修复。	CI (用于 MR 流水线)，自动修复
代码和组件的应用程序安全性测试	SAST、依赖项扫描、容器扫描、秘密检测和许可证性	SAST、依赖项扫描、容器扫描、秘密检测和许可证性
对正在运行的应用程序进行安全测试	极狐 GitLab使用它在CI期间创建的审查应用程序来运行动态应用程序安全测试。最近的收购将提供多维模糊测试，对 API 扫描有用。移动应用程序安全测试可以在我们的语言扫描能力范围内的任何应用程序上执行	DAST, Input Fuzzing，手机应用程序安全测试(需要合作伙伴)
安全治理	安全策略自动化，合规性评估，安全风险评估，审计评估，安全流程改进/评估，漏洞管理，咨询数据库	安全仪表板，漏洞管理，审计事件合规管理
安全护栏(预防性-预CI/CD)	极狐 GitLab提供了显示依赖性的材料清单。我们还没有使用它来限制开发人员只使用预先批准的依赖项	物料清单功能
使用现有的和不同的工具	极狐 GitLab 允许集成外部 CI 工具，与 极狐 GitLab 的 CI 一起运行，使 Jenkins用户也可以使用极狐 GitLab 安全功能。类似地，用户可能已经购买了第三方安全扫描器，或者可能需要另一个扫描器来检测 极狐 GitLab 没有覆盖的语言。我们已经使第三方扫描仪更容易集成到 极狐 GitLab MR 和安全仪表板中	CI (用于 MR 流水线)，自动修复

顶端差异

差异	价值	Proof Point	样例
从特征分支创建的 MR 中显示的详细和可操作的扫描结果	极狐 GitLab 在代码合并之前执行安全扫描，如 SAST、许可证性、依赖项扫描，让开发人员有机会在上下文切换到其他活动之前识别和修复安全漏洞。这改善了周期时间和开发成本，因为解决缺陷和漏洞的时间和成本在开发周期中越晚被检测到，就会成倍增加	Gartner -将安全集成到 DevSecOps 工具链解释了如何将安全包含在 DevSecOps 生命周期中，以可操作的小步骤进行，开发人员可以快速采取行动，并将其集成到缺陷跟踪工作流中，以使安全修复的速度与开发的速度相匹配。
基于安全策略的区域 MR	通过允许安全团队事先应用组织安全策略，并在代码合并之前审查/批准安全异常，使开发团队和安全团队更加紧密	-
合规管理	极狐 GitLab 通过一个数据存储为 Dev、Sec 和 Ops 提供单一的真相来源，从而使合规变得更容易。所有内容都要进行审计，对于每个更改，都有一个线程包含每个决策和操作的完整审计日志，从而使审计性变得轻而易举	Glympse 的审计员注意到，在他 20 年的职业生涯中，该公司比他之前合作过的任何其他公司都更快地解决了安全问题。在短短两周的时间内，Glympse 就能够使用 极狐 GitLab 的CI模板在他们所有的存储库中实现安全任务
覆盖引导的模糊测试	极狐 GitLab提供了使用源代码中的上下文信息来更好地通知模糊测试，并帮助将模糊测试崩溃的结果直接与易受攻击的代码区域关联起来。这极大地缩短了从最初的模糊测试到崩溃再到脆弱区域更新的周期时间。
离线环境	极狐 GitLab 提供了多种扫描器，可以在脱机或连接受限的环境中运行。此功能允许在脱机环境中的代码中检测安全漏洞	-

极狐 GitLab DevOps 平台如何帮助实现 DevSecOps

简单性/效率

• 每一段代码都在提交时测试安全威胁，没有增加成本，为补救提供了明确的问责制。
• 开发人员现在可以补救，当他们仍然在代码中工作时，或者通过单击创建一个问题。
• 漏洞作为软件开发的副产品被捕获，并可以通过安全性进行管理，使用单一的事实来源进行更好的协作。
• 单一平台避免了在整个 DevOps 流水线中购买、集成和维护点解决方案的成本和精力。

可视化

• 安全专业人员的仪表板提供早期洞察合并时未解决的漏洞。
• 单个平台的改进使组织可以看到谁在整个SDLC中更改了什么、在哪里以及何时更改了什么。

可控性

• 安全策略可以自动应用到所有流水线，以实现一致性、合规性并简化审计 。
• 基于角色的访问控制提供职责分离，并防止恶意内部威胁和意外事件
• 大量附加的法规遵循控制提供了对软件开发、交付和使用的高级治理。

极狐 GitLab的优势是什么？

平台的方法。 通过整个 SDLC 的单一平台，极狐 GitLab 实现了嵌入式安全扫描的简单性，以及点解决方案无法实现的端到端可见性和可控性。漏洞可以成为问题，只需单击即可进行跟踪。补救状态总是明显的。对代码及其所依赖的云原生环境的更改将被跟踪。当使用 极狐 GitLab 时，应用程序 sec 和计价、 CI/CD 等之间不需要额外的集成。

与 DevOps 流程一致。 与主要供安全专家使用的传统应用程序安全工具不同，极狐 GitLab的安全扫描内置在开发人员所在的CI/CD工作流中。我们授权开发人员识别漏洞并在开发周期的早期删除它们。同时，我们为安全专业人员提供跨项目和组评估、分类和管理开发人员未解决的漏洞的能力。

全面适用于现代应用。 极狐 GitLab Ultimate不仅包括SAST、DAST和依赖项扫描(这是任何软件安全程序的基础)，还包括对当今云原生应用程序至关重要的全面扫描。扫描包括基础设施即代码(IaC)、api、容器、Kubernetes集群映像和模糊测试。所有这些都代表了新的攻击面，必须作为软件供应链的一部分加以保护。

一致性和可控性。 除了自动扫描，重要的是自动化策略以提供护栏，允许开发人员快速而安全地运行。合规性的通用控制，连同批准规则，以及集中管理的合规性流水线工作流一起工作，以帮助您保护软件供应链。

信息屋

DevSecOps 的信息屋提供了一个结构来描述和讨论用例的值和区别。

竞争力的比较

我们的安全治理与其他竞品的比较:

1. 基于角色的访问控制 (RBAC)，用于职责分离。竞争产品的角色更广泛，当一个人改变角色时，他/她的权限必须手动改变。为什么这很重要？如果有人拥有 push to prod 的权限，但被降级或调到另一个组，您希望权限自动更改，以避免内部威胁。
2. 没有影响速度的人工检查。从本质上讲，我们也将合规性前置。
3. 外部状态检查是受监管行业的一个重要特性。更改被批准，并且必须在给定的时间范围内推动到生产。延误会导致审批过程重新开始。
4. 在 极狐 GitLab 中，我们有项目和组，其中项目从组继承策略。竞争对手无法像 极狐 GitLab 那样灵活地构建策略，而 极狐 GitLab 是企业用户的一个重要特性。例如组级运行程序。
5. 合规流水线允许极狐 GitLab用户选择他们的合规框架(例如 PCI, HIPPA 等)，并且使用这些策略-开发人员不能禁用它(由于 RBAC)。

不同版本的核心价值

免费社区版和专业版

为什么 DevSecOps 选择 极狐 GitLab 免费版或专业版？安全对每个人都很重要，我们致力于降低实现完全安全、合规的 SDLC 的障碍。这就是为什么我们将Brakeman SAST 扫描和秘密检测迁移到免费的原因，每个产品层的开发人员都可以扫描他们的源代码以查找已知的漏洞。

免费/专业 DevSecOps 的主要功能：

• 静态应用程序安全测试——通过评估静态代码来检查潜在的安全问题。
• 秘密检测—避免暴露秘密和凭证以供潜在的利用。

旗舰版

为什么 DevSecOps 选择 极狐 GitLab 旗舰版？ 通过企业级应用程序安全功能实现高级 DevOps 成熟度。

• 通过项目、组和实例级别的漏洞报告和安全仪表板进行漏洞管理，可以在SDLC中更早地查看应用程序风险，以及查看其补救状态。
• 合并请求中的安全批准
• 极狐 GitLab Secure 帮助您左移，使开发人员能够尽早发现并修复漏洞。多面扫描包括 SAST、DAST、容器和依赖项扫描、秘密检测、覆盖引导的模糊测试、API 模糊和许可证性检查，所有这些都在极狐 GitLab合并请求 CI 流水线中，并在代码提交时将结果提供给开发人员。漏洞发现是可操作的，并在开发人员仍在处理代码时提供补救建议。
• 更多的企业级性控制

此外，可以享受旗舰版的这些优势：

• 企业级优先级支持，包括24/7正常运行时间支持，一个命名的客户成功经理(CSM)，以及升级协助都包含在旗舰版中。
• 将安全性和性嵌入到CI流水线中。
• 保护您的IP并获得免费的客户用户。

DevSecOps 的关键功能:

• 动态应用程序安全测试——分析审查应用程序以识别潜在的安全问题。
• 依赖项扫描——评估第三方依赖项以识别潜在的安全问题。
• 容器扫描——分析 Docker 映像并检查潜在的安全问题。
• 安全仪表板——可视化项目的安全状态。
• 漏洞管理
• 许可证合规性——确定项目中包含的新软件许可证的存在，并跟踪项目依赖关系。批准或拒绝包含特定的许可证。
• 合规性仪表板——查看合并请求是否被批准，以及由谁批准。

技术伙伴

我们与主要的行业供应商合作，以扩展极狐 GitLab的能力，以满足客户需求和市场需求。 WhiteSource 是最早将扫描结果集成到 极狐 GitLab 安全仪表板和 极狐 GitLab CI 流水线中的合作伙伴之一。

• 他们将扫描语言支持扩展到近 200 种其他语言，并提供更深入的依赖关系洞察。

更完整的技术合作伙伴列表可以在我们的安全合作伙伴页面上找到。 如果您或您的客户希望将第三方集成到 极狐 GitLab 中，请将他们发送到合作伙伴集成页面以获取指示。

销售 DevSecOps 解决方案

发现问题

下面建议的发现问题旨在帮助您在与目前没有使用极狐 GitLab进行安全/保护的潜在客户或客户交谈时发现机会。它们按主题或入口点分组。不要尝试全部使用，只使用那些与客户最相关的。 对它们的过程挖掘得越深，使用 极狐 GitLab 的好处就越多。欢迎投稿!

初始探测方向。哪里是痛点

将应用程序安全测试集成到敏捷DevOps软件开发中是很困难的，有许多潜在的挑战。用这6个问题来探究一下哪些方面是你最关心的，然后再深入探讨这些话题。

1. 寻找安全漏洞——您的安全扫描能否跟上您的迭代编码速度？项目停止等待安全扫描的频率是多少？
2. 协作/可视化——开发者和 SEC 之间是否存在摩擦？您能在 SDLC 的任何一点上看到安全风险吗？
3. 补救——将sec发现的内容转化为开发人员需要完成的内容，并跟踪已经完成的工作，这浪费了多少时间？您能否快速查看安全补救措施的状态？
4. 在DevOps环境中管理风险——你当前扫描的代码占多大比例？是否存在攻击者更容易进入并横向穿越的洞？扫描所有代码要多花多少钱？
5. 策略自动化——安全策略是否自动地将安全需求构建到开发过程中？还是大多数项目的担保每次都略有不同？
6. 工具——您的组织是在短期内还是长期内投资提高应用程序安全性？是否有明确的战略或时间表？你是否致力于将app sec工具集成到DevOps工具链中？

当与 C-级对象谈话时，询问他们关于治理和控制的挑战。

1. 查找安全漏洞
   • 你多久依赖笔测试作为你发现漏洞的主要手段？(表示自动化程度低;我们的开箱即用扫描可以让他们快速开始)
   • 你是否在DevOps过程中自动化了应用安全测试？你能告诉我更多的情况吗？
   • 哪些应用程序安全扫描对您最重要？(SAST, DAST, IAST，依赖项扫描，容器扫描，秘密检测，许可证性？手机应用测试？模糊测试？)您是否希望能够运行多种类型的扫描进行纵深防御？如果你不是今天，是什么阻止了它？
   • 您采取了哪些步骤使开发人员能够自己发现并修复漏洞？扫描结果是否在CI流水线中？
   • 如果您的开发人员能够在代码离开他们的手中之前自己发现并修复更多的漏洞，那么该有多大的价值呢？
   • 如果您正在使用安全“拼写检查器”来帮助开发人员，那么它的有效性如何？在代码合并后，您是否仍然在静态测试中发现漏洞？(重点是这一点是不够的)
2. 协作/可视化
   • 项目延迟是因为团队之间的低效交接，系统之间缺乏可见性，或者缺乏计划和考虑？
   • 在安全工具发现、计划/开发工具和问题跟踪之间转换或协调是否浪费了时间？
   • 安全责任和改善安全的能力之间是否存在矛盾？
   • 如果安全性和开发都有一个真相来源来发现和管理漏洞，那么您的过程将如何简化？
   • 开发人员和安全人员是否可以轻松地跟踪漏洞，以查看它们在代码中的位置、创建它们的人、采取的操作(已创建的问题、已消除的问题、未解决的问题)以及它们的补救状态？获取这些信息需要多少时间？
3. 修复效率
   • 在漏洞到达可以补救的开发人员之前，需要多少步骤？在开发和安全之间的这些步骤上浪费了多少时间？
   • 如果在开发人员仍在编写代码时发现了漏洞，那么您认为有多大比例的漏洞可以被开发人员立即修复？如果它更多，它会节省你的时间和金钱吗？
4. 风险管理
   • 你最关心的是 OWASP 前 10 名吗？如果您能够为每一次代码更改找到 OWASP 前 10 名，并通过整理他们的任务来专注于他们刚刚创建的漏洞，而不是过去的工作所产生的技术债务，从而避免产生新的技术债务，从而解放您的开发工作流，会怎么样呢？这会帮助您避免新的技术债务并降低风险吗？
   • 您是否专注于修复关键和高漏洞？你们的补救措施中有多少是针对中低等级的？您知道大多数漏洞都是针对中等风险漏洞的吗？如果您可以帮助开发人员在产生每个漏洞时找到并修复它们会怎么样？
   • 您当前扫描的代码百分比是多少？是否存在攻击者更容易进入并横向穿越的洞？扫描所有代码要多花多少钱？
   • 如果你正在使用容器、协调器和/或微服务/API，你如何在生产过程中扫描它们的漏洞并监控它们？
   • 发现的需要补救的漏洞实际上得到补救的百分比是多少？多快？(平均补救时间)
   • 您可以看到开发人员是如何处理发现的漏洞的吗？在生命周期早期对漏洞及其风险进行可见性是否有价值？这对你的安全审计有帮助吗？
   • 安全团队有多少时间花在跟踪漏洞、对漏洞进行分类和跟踪以查看漏洞是否已得到修复上？
5. 自动策略
   • 自动化执行安全标准吗？安全策略是否自动地将安全需求构建到开发过程中？还是大多数项目的担保每次都略有不同？需要多少人工干预？
   • 评估策略和漂移/例外的性有多难？
   • 应定期评估合规性并审查例外情况。自动化过于严格的策略可能不利于业务目标，并且可能无法实际实现，因此在性和效率之间找到平衡非常重要。
     • 您是否具有访问控制、报告和更改日志的可见性？
     • 你知道政策例外被批准的频率吗？
6. 工具
   • 您正在使用多少种不同的安全工具(哪些？)
   • 您是否将安全工具集成到 CI 流水线中，以便安全扫描自动运行或手动启动？集成是脆弱的吗？复杂吗？费时间吗？该流程需要多久更新一次？建立一个新项目需要多少努力？您如何确保扫描应用的一致性？为修复或维护安全集成而中断计划工作的频率是多少？
   • 哪一种安全扫描能够直接向开发人员提供漏洞发现？你能扫描一个特征分支吗？(在代码合并之前)您是否能够看到代码行以及哪个开发人员创建了漏洞？漏洞是否自动启动工作票/问题的创建？
   • 您的团队在大规模自动化 CI 流水线中的安全测试时是否遇到了障碍？
   • 你的应用 sec 工具成本的可预测性如何？如果你发现更多的漏洞，或者测试更多的应用程序，你的成本会更高吗？

潜在的争议

我有一个现有的工具。你的扫描结果如何？

极狐 GitLab扫描仪使用了经过验证的开源扫描仪和专有扫描仪的组合。

发现漏洞很重要，但如何处理结果也同样重要。考虑:

• 您的开发人员是否能够在每次代码提交时或至少在与其他代码合并之前看到他/她创建的漏洞？
• 扫描结果对开发人员来说是可行的吗？
• 插件管理和兼容性对你们来说是一个持续关注的问题吗？

此外，这些工具的成本有多可预测？如果你发现更多的漏洞，或者测试更多的应用程序，你的成本会更高吗？你是否因为更多的测试而受到惩罚？DevOps如何将应用程序分解为微服务并运行更频繁的流水线？事实上，Gartner 甚至在一份关于如何以低成本建立一个 AppSec 程序的报告中呼吁我们。

如果使用 Fortify, Veracode 或 Synopsys

• 您的扫描时间是否跟上或抑制了软件迭代？
• 您是否能够扫描每个代码更改？
• 你是否被大量的发现所淹没？它们都得到补救了吗？如果不是，你如何划分优先级，需要多少时间/精力？如果开发人员可以使用与安全性相同的指导方针来确定优先级，并在他/她创建漏洞时修复它们呢？
• 你有能力扫描所有的代码吗？

如果使用 Snyk, WhiteSource 或其他点解决方案

• 如何扫描API和容器？您能够在生产中监视它们吗？
• 您是否扫描了所有代码？每次提交？开发人员是否拥有补救所需的所有信息？

如果使用 GitHub Actions 和/或 Azure DevOps

• 为每个项目设置安全扫描需要多少工作？
• 在每个项目/流水线中执行安全扫描的策略/标准有多难？
• 管理基于角色的权限有多难？
• 治理控制是否如您所需要的那样细粒度？
• 你是否对市场上使用的所有工具都有可见性，以查看谁在何时何地改变了什么？

我不知道旗舰版的成本差异是否是合理的。

NIST 在 2002 年演示了左移安全性所节省的成本。左移对你来说有多远？假设，如果 50% 的漏洞可以被开发人员发现，如果其中一半可以在代码离开开发人员的手中之前被修复，那么这对您的成本和风险暴露有什么价值呢？让我们考虑以下潜在的好处:

• 需要优先级、审查、分类和跟踪的漏洞更少
• 与风险暴露相关的漏洞也更少
• 不需要停止业务创新来修复事后的安全缺陷

其他应用程序sec工具的成本如何预测？如果你发现更多的漏洞，或者测试更多的应用程序，你的成本会更高吗？你是否因为更多的测试而受到惩罚？DevOps如何将应用程序分解为微服务并运行更频繁的流水线？扫描未来的每一个代码更改的价值是什么？随着时间的推移，对技术债务的影响是什么？使用其他工具扫描每个软件更改会花费多少钱？

采用引导

以下部分提供了帮助 CSM 领导功能采用的资源，但也可以用于对采用 极狐 GitLab 阶段和类别感兴趣的潜在客户或客户。

Playbook 步骤

• 从前6个发现问题开始，确定要进一步深入的领域。

采用建议

采用 极狐 GitLab 的 DevSecOps 工作流有多种途径，这取决于客户当前状态的当前状态。 这个表显示了推荐采用的用例、到产品文档的链接、用例，以及各自的订阅版本。

特性/场景	社区版	专业版	旗舰版	产品分析	备注
采用 极狐 GitLab 流程	X	X	X
尝试/利用自动 DevOps	部分	部分	X
基于CI的自动化测试	X	X	X		所有版本只有 SAST
Review APP	X	X	X		需要在 CI/CD 流水线中运行DAST
合并请求批准流程/规则		X	X	counts.merged_merge_requests_using_approval_rules
环境保护		X	X
容器注册	X	X	X	container_registry_enabled
包裹注册	X	X	X	counts_monthly.packages
静态应用程序安全测试	X	X	X	user_sast_jobs
秘密侦查	X	X	X	user_secret_detection_jobs
DAST (Dynamic Application Security Testing，动态应用安全性测试)			X	user_dast_jobs
容器扫描			X	user_container_scanning_jobs
依赖扫描			X	user_dependency_scanning_jobs
合规执照			X	user_license_management_jobs
API Fuzzing			X	user_api_fuzzing_jobs, user_api_fuzzing_dnd_jobs on self-managed
Coverage Fuzzing			X	user_coverage_fuzzing_jobs
安全审批			X

该表包括与 极狐 GitLab 的自部署版本和云产品相关的免费/社区和付费版本。

• F/C = 免费社区版
• S/P = 专业版
• G/U = 旗舰版