Op 25 oktober 2022 tijdens KubeCon + CloudNativeCon North America, kondigde GitLab Inc. verbeteringen aan van zijn Security en Governance oplossing die organisaties in staat stelt beveiliging en compliance te integreren in elke stap van de software development lifecycle (SDLC) en hun software supply chain te beveiligen. Beveiliging van softwaretoeleveringsketens: De software supply chain is het geheel van interne en externe afhankelijkheden die worden gebruikt bij de ontwikkeling van moderne software. Om de toeleveringsketen goed te beveiligen, moeten bedrijven hulpmiddelen inzetten om niet alleen de intern gecreëerde code te beveiligen, maar ook manieren om kwetsbaarheden op te sporen die door componenten van derden kunnen worden geïntroduceerd.

Met zoveel bewegende delen kan de beveiliging van de softwaretoeleveringsketen van een organisatie complex zijn. Er moet een geautomatiseerd systeem van checks and balances zijn tijdens de gehele ontwikkelingscyclus om ervoor te zorgen dat code efficiënt en veilig wordt ingezet. De implementatie van een DevSecOps-platform kan de end-to-end beveiliging verbeteren, deels door het aantal handoffs te verminderen en de transparantie rond eigendom en toegang te verbeteren.

Software Bill of Materials (SBOM's): GitLab, eerder dit jaar geïntroduceerd, helpt organisaties SBOM's te creëren en automatisch te scannen op kwetsbaarheden binnen de ontdekte componenten, en begeleiding te bieden bij het oplossen van die kwetsbaarheden – en dat alles binnen de natuurlijke workflow van de ontwikkelaar; Ingest SBOM Reports: Deze nieuwe functie zal GitLab naar verwachting helpen om efficiënter SBOMs te maken door bestaande SBOM-gegevens van derden te parseren en op te nemen om gegevens samen te voegen voor gebruiksgemak en om de workflows van ontwikkelaars te beveiligen; Build Artifact Signing: Om de authenticiteit van de build artifact te bevestigen, verwacht het bedrijf dat deze functie GitLab in staat zal stellen om zowel de build artifact als het attestatiebestand cryptografisch te ondertekenen om te bewijzen dat ze niet zijn gewijzigd na het genereren; SLSA-2 Attestatie: Indien niet gecontroleerd, kunnen container-gebaseerde architecturen een risico introduceren van het inzetten van defecte, kwetsbare of ongeautoriseerde software. SLSA-2 attesten werden geïntroduceerd na de lancering van GitLab 15 om te beschermen tegen het knoeien met software en om integriteitsgaranties voor het bouwen toe te voegen. GitLab Runner is nu in staat om SLSA-2 attestatie metadata te genereren voor build artifacts; Proactief kwetsbaarheden identificeren: GitLab helpt ervoor te zorgen dat organisaties naar links kunnen verschuiven door proactief te scannen op kwetsbaarheden en controles te implementeren om applicaties te beveiligen.

De verbeterde functies van GitLab kunnen organisaties helpen om automatisch kwetsbaarheden te scannen in broncode, containers, afhankelijkheden en draaiende applicaties. Bovendien kunnen deze beveiligingsfuncties helpen bij het automatiseren van bedreigingsdetectie voordat en nadat applicaties in productie zijn genomen om het beveiligingsrisico te minimaliseren; DAST API en API Fuzzing: Met DAST API en API Fuzzing kunnen ontwikkelaars zowel bekende als onbekende problemen in hun toepassingen vinden door ernaar te scannen in CI/CD-pijplijnen. Met de recente toevoeging van GraphQL-schemaondersteuning in 15.4 helpen deze API-beveiligingsscans toepassingen te beveiligen met minimale configuratie in vergelijking met eerdere releases.

Aanvullende beveiligingsscanners voor toepassingen omvatten Static Application Security Testing (SAST), Secret Detection, Container Scanning, Dependency Scanning, IaC Scanning en coverage-guided fuzz testing; Integrated Security Training: Uit het DevSecOps-rapport van 2022 bleek dat 56% van de respondenten het moeilijk vond om ontwikkelaars zover te krijgen dat zij daadwerkelijk prioriteit geven aan het verhelpen van kwetsbaarheden in de code, waardoor deze bedreigingen worden overgelaten aan beveiligingsprofessionals. Met Integrated Security Training hebben ontwikkelaars toegang tot bruikbare en relevante richtlijnen voor veilig coderen binnen het GitLab-platform, wat het wisselen van context en de managementbelasting voor beveiligingsprofessionals kan verminderen. Voldoen aan normen voor naleving en regelgeving: Operations professionals identificeren het managen van compliance en audit vereisten als activiteiten binnen hun verantwoordelijkheidsgebied.

GitLab gelooft dat de nieuwe en komende functies teams zullen helpen om wijzigingen te volgen, controles te implementeren om te bepalen wat in productie gaat, en ervoor te zorgen dat ze zich houden aan licentie compliance en regelgevende kaders: Aanpasbare rollen: In een komende release, zullen GitLab Admins/Group Owners in staat zijn om nieuwe aangepaste rollen te creëren met granulaire rechten. Dit zal rolgebaseerde toegangscontrole helpen om nauwer aan te sluiten bij het beveiligingsbeleid van een organisatie en het principe van de minste privileges te ondersteunen; FIPS 140-2 Compliance: GitLab is nu FIPS 140-2 compliant, wat voor sommige GitLab klanten vereist is onder de regelgevende richtlijnen van de Amerikaanse overheid. Deze naleving toont aan dat GitLab voldoet aan goed gedefinieerde veiligheidsnormen voor de ontwikkeling en het gebruik van cryptografische modules; Wachtwoordregels: Eerder dit jaar uitgebrachte wachtwoordregels stellen eisen aan de complexiteit van wachtwoorden en kunnen voorkomen dat gebruikers onveilige publieke sleutels gebruiken om toegang te krijgen tot GitLab; Streaming Audit Events: Eerder dit jaar uitgebracht, streaming audit events leggen informatie vast over event types, tijdlijnen, gebruikers en metadata geassocieerd met betekenisvolle systeem events.

Dit stelt organisaties in staat om hun logs te consolideren in één toolset en centraal workflows te bouwen om actie te ondernemen wanneer een specifieke gebeurtenis zich voordoet; Twee-persoons goedkeuringen: GitLab is vorig jaar uitgebracht en stelt gebruikers in staat om samenvoegingsverzoekinstellingen op groepsniveau te specificeren, inclusief de mogelijkheid om te voorkomen dat een auteur zijn eigen samenvoegingsverzoek goedkeurt. Deze instelling, gecombineerd met andere GitLab functies, stelt organisaties in staat om goedkeuringen door twee personen te vereisen voordat code wordt samengevoegd.