下面的页面旨在使 极狐 GitLab 的销售和营销工作与我们围绕 DevSecOps 的市场投入工作的事实来源保持一致。
DevSecOps 用例适用于那些试图在其 DevOps 方法中 “左移” 以更早地发现安全漏洞但未能实现预期结果的客户。
当安全性与 DevOps 流程分离时,应用程序安全性就很难实现。安全性传统上是开发生命周期中的最后一个障碍。迭代开发工作流会使安全性成为发布瓶颈。客户没有足够的安全人员来测试他们所有的代码,雇佣更多的安全分析师也不会自动减少应用安全部门和工程团队之间的摩擦。只测试主要版本,或将测试限制在某些应用程序上,会留下黑客可以利用的弱点。他们需要一种平衡风险和业务敏捷性的方法。他们希望将安全性包含在 DevOps 工作流中,而不是在开发流程的末尾等待安全性检查。这通常被称为 DevSecOps 。
DevSecOps 在 CI 流水线中集成了自动化的安全扫描和合规控制。极狐 GitLab通过在 DevOps 平台中无缝地嵌入安全性和合规性进一步推进了这一方法,提供了简单性、可视性和可控性。
开发人员的数量总是比安全专家多。要扩展应用程序安全工作,必须允许开发人员在编写代码时自行查找和修复软件安全漏洞。
应用程序安全测试仍然是基础,而现在整个软件工厂的可见性和控制更加重要。可以把它看作 DevSecOps 2.0。极狐 GitLab 的 DevOps 平台方法为满足这些新的、更广泛的 DevSecOps 需求提供了明显的优势。
用户包括开发人员和安全专家。我们为我们对软件漏洞和它们的解决状态有一个统一的看法而感到自豪。
开发人员 主要在 MR 流水线报告中使用极狐 GitLab
开发人员关心安全性,但不想成为安全专家。他们编写安全代码的主要动机是保护他们的个人/职业声誉。他们不想因为自己编写的易受攻击的代码而让公司破产。与此同时,他们的目标主要是快速生成满足用户需求的代码。它们通常不是根据安全缺陷来衡量的。安全似乎是一个必要的麻烦。适合他们的工作流程,没有上下文切换的工具是最可接受的。极狐 GitLab 通过在代码提交时报告漏洞而提供的清晰度是有帮助的。
安全专家最关心的是管理企业/机构的风险。他们从广泛的角度看待过程,寻找过程改进领域,以降低风险并避免重复错误。因为他们关心风险,所以他们希望识别未解决的漏洞、它们的严重程度以及它们的补救状态。他们关心的是一段时间内的趋势和总体改进趋向。通常他们的指标是补救的平均时间。很少有安全人员自己能够修复软件安全缺陷;他们依赖于开发人员来做到这一点。这种目标不一致通常是团队之间摩擦的原因。在传统的应用程序安全环境中,测试是在 SDLC 结束时完成的,他们可能会花费大量时间跟踪和报告漏洞状态,审查并发现问题,并将其分类给开发团队。在开发更加自动化的情况下,他们可能能够更专注于设置策略并允许工具执行它们。他们通常希望避免将任何新的关键/高漏洞转移到生产中,并倾向于破坏构建来强制执行这一点。
虽然开发人员和 DevOps 团队喜欢使用 极狐 GitLab 来实现安全,但安全专家经常持怀疑态度,将其与他们最喜欢的现有工具进行比较。他们可能已经建立了自己的复杂仪表盘,并在他们最喜欢的工具上投入了职业生涯。他们通常不愿意替换它,即使它可以简化他们以及开发人员的工作。
安全经理或 CISO 通常是决策层的买家
安全负责人可能把自己的职业生涯押在了证明 Fortify 或 Veracode 等非常昂贵的工具的正确性上,并且经常不愿意更换它,即使它可以简化开发人员和安全部门的工作。
赢得他们的心的关键是专注于简单和可控。
复杂是 CISO 主要抱怨的问题之一。使用一个工具在一个地方提供广泛的扫描结果,而不需要进行持续的集成/维护,可以大大简化工作。
CISO 可能会感到失控,或者至少在不断变化的威胁、引人注目的网络攻击、新的合规问题和开发工具蔓延中感到安全压力。会感到很难管理这些软件风险。通过一个单一的平台来控制您的软件开发,该平台为您的所有软件开发需求提供端到端的简单性、可见性和可控—选择 极狐 GitLab。
市场需求 | 描述 | 典型的功能启用特性 | 价值/ ROI |
---|---|---|---|
通用合规性控制 | 保护软件开发和部署过程的完整性所必需的控制 | 基于角色的访问、 MR 批准等 | 简化审核和合规,降低不合规风险。 |
扫描开发人员的结果 | 为了让开发人员在编码时找到并修复漏洞,漏洞扫描结果必须在其原生工作流中提供给开发人员。可以自动更正的发现应该使用自动化来应用修复程序并测试结果。 | 增量扫描用于快速、迭代扫描。将扫描结果集成到 CI 流水线中。自动修复,自动创建修复,消除开发人员的工作。 | 允许在成本较低的情况下尽早修复安全缺陷,消除场景切换,并通过防止漏洞进入生产环境将风险降至最低。 |
代码和组件的应用程序安全性测试 | 通常被称为软件组合分析(SCA),它测试所有代码组件(自定义代码和开放源代码),无论它位于何处(例如在容器中)。极狐 GitLab 调查显示依赖扫描是最常用的扫描类型。 | SAST、依赖项扫描、容器扫描、秘密检测和(可选)许可证性 | 降低安全性和合规性风险。 |
对正在运行的应用程序进行安全测试 | 扫描,在代码执行时查找易受攻击的代码行为。 | DAST, IAST,输入模糊,UEBA/威胁建模,移动应用程序安全测试 | 降低安全性和合规性风险。 |
安全治理 | 解决方案自动对代码应用安全策略,以确保只承担适当的风险。应用程序漏洞(代表风险)被跟踪、管理和报告。该解决方案支持安全实践的例行评估,以评估风险、性、审计和流程改进机会(通常用于教育目的)。 | 安全策略自动化,风险和合规报告,审计报告,各种安全指标和过程报告,漏洞数据库和管理 | 有效监控、管理和降低风险。能够识别异常并随着时间的推移改进策略。 |
安全护栏(预防性-预 CI/CD) | 预防性应用程序安全性使用护栏来帮助团队始终如一地构建从一开始就安全的东西。 | 类似拼写检查的功能,将不安全的短语识别为开发人员类型,限制开发人员选择预先批准的代码库的材料清单,以及自动发现所有第三方代码的目录。 | 防止产生新的漏洞。 |
使用现有的和不同的工具 | 安全扫描仪必须集成到可能使用第三方 CI 的和/或安全扫描仪的现有环境中 | API 和插件 | 允许继续使用现有投资,并避免了rip-n-replace 场景。 |
极狐 GitLab DevSecOps用例概述
市场需求 | 极狐 GitLab 如何交付 | 极狐 GitLab类别 | 样例 |
---|---|---|---|
通用合规性控制 | 极狐 GitLab 在整个 SDLC 中提供了许多通用控件 | 管理阶段中的访问和合规性 | |
扫描开发人员的结果 | 增量扫描用于快速、迭代扫描。将扫描结果集成到 CI 流水线中。自动修复以自动创建修复。 | CI (用于 MR 流水线),自动修复 | |
代码和组件的应用程序安全性测试 | SAST、依赖项扫描、容器扫描、秘密检测和许可证性 | SAST、依赖项扫描、容器扫描、秘密检测和许可证性 | |
对正在运行的应用程序进行安全测试 | 极狐 GitLab使用它在CI期间创建的审查应用程序来运行动态应用程序安全测试。最近的收购将提供多维模糊测试,对 API 扫描有用。移动应用程序安全测试可以在我们的语言扫描能力范围内的任何应用程序上执行 | DAST, Input Fuzzing,手机应用程序安全测试(需要合作伙伴) | |
安全治理 | 安全策略自动化,合规性评估,安全风险评估,审计评估,安全流程改进/评估,漏洞管理,咨询数据库 | 安全仪表板,漏洞管理,审计事件合规管理 | |
安全护栏(预防性-预CI/CD) | 极狐 GitLab提供了显示依赖性的材料清单。我们还没有使用它来限制开发人员只使用预先批准的依赖项 | 物料清单功能 | |
使用现有的和不同的工具 | 极狐 GitLab 允许集成外部 CI 工具,与 极狐 GitLab 的 CI 一起运行,使 Jenkins用户也可以使用极狐 GitLab 安全功能。类似地,用户可能已经购买了第三方安全扫描器,或者可能需要另一个扫描器来检测 极狐 GitLab 没有覆盖的语言。我们已经使第三方扫描仪更容易集成到 极狐 GitLab MR 和安全仪表板中 | CI (用于 MR 流水线),自动修复 |
差异 | 价值 | Proof Point | 样例 |
---|---|---|---|
从特征分支创建的 MR 中显示的详细和可操作的扫描结果 | 极狐 GitLab 在代码合并之前执行安全扫描,如 SAST、许可证性、依赖项扫描,让开发人员有机会在上下文切换到其他活动之前识别和修复安全漏洞。这改善了周期时间和开发成本,因为解决缺陷和漏洞的时间和成本在开发周期中越晚被检测到,就会成倍增加 | Gartner -将安全集成到 DevSecOps 工具链解释了如何将安全包含在 DevSecOps 生命周期中,以可操作的小步骤进行,开发人员可以快速采取行动,并将其集成到缺陷跟踪工作流中,以使安全修复的速度与开发的速度相匹配。 | |
基于安全策略的区域 MR | 通过允许安全团队事先应用组织安全策略,并在代码合并之前审查/批准安全异常,使开发团队和安全团队更加紧密 | - | |
合规管理 | 极狐 GitLab 通过一个数据存储为 Dev、Sec 和 Ops 提供单一的真相来源,从而使合规变得更容易。所有内容都要进行审计,对于每个更改,都有一个线程包含每个决策和操作的完整审计日志,从而使审计性变得轻而易举 | Glympse 的审计员注意到,在他 20 年的职业生涯中,该公司比他之前合作过的任何其他公司都更快地解决了安全问题。在短短两周的时间内,Glympse 就能够使用 极狐 GitLab 的CI模板在他们所有的存储库中实现安全任务 | |
覆盖引导的模糊测试 | 极狐 GitLab提供了使用源代码中的上下文信息来更好地通知模糊测试,并帮助将模糊测试崩溃的结果直接与易受攻击的代码区域关联起来。这极大地缩短了从最初的模糊测试到崩溃再到脆弱区域更新的周期时间。 | ||
离线环境 | 极狐 GitLab 提供了多种扫描器,可以在脱机或连接受限的环境中运行。此功能允许在脱机环境中的代码中检测安全漏洞 | - |
简单性/效率
可视化
可控性
平台的方法。 通过整个 SDLC 的单一平台,极狐 GitLab 实现了嵌入式安全扫描的简单性,以及点解决方案无法实现的端到端可见性和可控性。漏洞可以成为问题,只需单击即可进行跟踪。补救状态总是明显的。对代码及其所依赖的云原生环境的更改将被跟踪。当使用 极狐 GitLab 时,应用程序 sec 和计价、 CI/CD 等之间不需要额外的集成。
与 DevOps 流程一致。 与主要供安全专家使用的传统应用程序安全工具不同,极狐 GitLab的安全扫描内置在开发人员所在的CI/CD工作流中。我们授权开发人员识别漏洞并在开发周期的早期删除它们。同时,我们为安全专业人员提供跨项目和组评估、分类和管理开发人员未解决的漏洞的能力。
全面适用于现代应用。 极狐 GitLab Ultimate不仅包括SAST、DAST和依赖项扫描(这是任何软件安全程序的基础),还包括对当今云原生应用程序至关重要的全面扫描。扫描包括基础设施即代码(IaC)、api、容器、Kubernetes集群映像和模糊测试。所有这些都代表了新的攻击面,必须作为软件供应链的一部分加以保护。
一致性和可控性。 除了自动扫描,重要的是自动化策略以提供护栏,允许开发人员快速而安全地运行。合规性的通用控制,连同批准规则,以及集中管理的合规性流水线工作流一起工作,以帮助您保护软件供应链。
DevSecOps 的信息屋提供了一个结构来描述和讨论用例的值和区别。
我们的安全治理与其他竞品的比较:
为什么 DevSecOps 选择 极狐 GitLab 免费版或专业版?安全对每个人都很重要,我们致力于降低实现完全安全、合规的 SDLC 的障碍。这就是为什么我们将Brakeman SAST 扫描和秘密检测迁移到免费的原因,每个产品层的开发人员都可以扫描他们的源代码以查找已知的漏洞。
免费/专业 DevSecOps 的主要功能:
为什么 DevSecOps 选择 极狐 GitLab 旗舰版? 通过企业级应用程序安全功能实现高级 DevOps 成熟度。
此外,可以享受旗舰版的这些优势:
DevSecOps 的关键功能:
我们与主要的行业供应商合作,以扩展极狐 GitLab的能力,以满足客户需求和市场需求。 WhiteSource 是最早将扫描结果集成到 极狐 GitLab 安全仪表板和 极狐 GitLab CI 流水线中的合作伙伴之一。
更完整的技术合作伙伴列表可以在我们的安全合作伙伴页面上找到。 如果您或您的客户希望将第三方集成到 极狐 GitLab 中,请将他们发送到合作伙伴集成页面以获取指示。
下面建议的发现问题旨在帮助您在与目前没有使用极狐 GitLab进行安全/保护的潜在客户或客户交谈时发现机会。它们按主题或入口点分组。不要尝试全部使用,只使用那些与客户最相关的。 对它们的过程挖掘得越深,使用 极狐 GitLab 的好处就越多。欢迎投稿!
初始探测方向。哪里是痛点
将应用程序安全测试集成到敏捷DevOps软件开发中是很困难的,有许多潜在的挑战。用这6个问题来探究一下哪些方面是你最关心的,然后再深入探讨这些话题。
当与 C-级对象谈话时,询问他们关于治理和控制的挑战。
我有一个现有的工具。你的扫描结果如何?
极狐 GitLab扫描仪使用了经过验证的开源扫描仪和专有扫描仪的组合。
发现漏洞很重要,但如何处理结果也同样重要。考虑:
此外,这些工具的成本有多可预测?如果你发现更多的漏洞,或者测试更多的应用程序,你的成本会更高吗?你是否因为更多的测试而受到惩罚?DevOps如何将应用程序分解为微服务并运行更频繁的流水线?事实上,Gartner 甚至在一份关于如何以低成本建立一个 AppSec 程序的报告中呼吁我们。
如果使用 Fortify, Veracode 或 Synopsys
如果使用 Snyk, WhiteSource 或其他点解决方案
如果使用 GitHub Actions 和/或 Azure DevOps
我不知道旗舰版的成本差异是否是合理的。
NIST 在 2002 年演示了左移安全性所节省的成本。左移对你来说有多远?假设,如果 50% 的漏洞可以被开发人员发现,如果其中一半可以在代码离开开发人员的手中之前被修复,那么这对您的成本和风险暴露有什么价值呢?让我们考虑以下潜在的好处:
其他应用程序sec工具的成本如何预测?如果你发现更多的漏洞,或者测试更多的应用程序,你的成本会更高吗?你是否因为更多的测试而受到惩罚?DevOps如何将应用程序分解为微服务并运行更频繁的流水线?扫描未来的每一个代码更改的价值是什么?随着时间的推移,对技术债务的影响是什么?使用其他工具扫描每个软件更改会花费多少钱?
以下部分提供了帮助 CSM 领导功能采用的资源,但也可以用于对采用 极狐 GitLab 阶段和类别感兴趣的潜在客户或客户。
采用 极狐 GitLab 的 DevSecOps 工作流有多种途径,这取决于客户当前状态的当前状态。 这个表显示了推荐采用的用例、到产品文档的链接、用例,以及各自的订阅版本。
特性/场景 | 社区版 | 专业版 | 旗舰版 | 产品分析 | 备注 |
---|---|---|---|---|---|
采用 极狐 GitLab 流程 | X | X | X | ||
尝试/利用自动 DevOps | 部分 | 部分 | X | ||
基于CI的自动化测试 | X | X | X | 所有版本只有 SAST | |
Review APP | X | X | X | 需要在 CI/CD 流水线中运行DAST | |
合并请求批准流程/规则 | X | X | counts.merged_merge_requests_using_approval_rules | ||
环境保护 | X | X | |||
容器注册 | X | X | X | container_registry_enabled | |
包裹注册 | X | X | X | counts_monthly.packages | |
静态应用程序安全测试 | X | X | X | user_sast_jobs | |
秘密侦查 | X | X | X | user_secret_detection_jobs | |
DAST (Dynamic Application Security Testing,动态应用安全性测试) | X | user_dast_jobs | |||
容器扫描 | X | user_container_scanning_jobs | |||
依赖扫描 | X | user_dependency_scanning_jobs | |||
合规执照 | X | user_license_management_jobs | |||
API Fuzzing | X | user_api_fuzzing_jobs, user_api_fuzzing_dnd_jobs on self-managed | |||
Coverage Fuzzing | X | user_coverage_fuzzing_jobs | |||
安全审批 | X |
该表包括与 极狐 GitLab 的自部署版本和云产品相关的免费/社区和付费版本。