ニュース

GitLab、ソフトウェアサプライチェーンの保護を支援するセキュリティ&ガバナンスソリューションの機能強化を発表

  • 三柳 英樹

2022年12月20日 08:00

 米GitLabは19日、ソフトウェア開発ライフサイクル(SDLC)のあらゆる段階にセキュリティとコンプライアンスを統合し、ソフトウェアサプライチェーンを保護することを可能にする、セキュリティ&ガバナンスソリューションの機能強化を発表した。

 GitLabでは、企業のセキュリティニーズの高まりに対応するために、セキュリティ&ガバナンスソリューションの機能強化を図り、セキュリティ知見やコンプライアンス要件の可視化と管理を実現するとともに、ソフトウェアサプライチェーンセキュリティエクスペリエンスを提供すると説明。企業に対する規制要件やコンプライアンス要件の厳格化に伴い、プロジェクトの依存関係、セキュリティ知見、ユーザーアクティビティを可視化することでリスクの把握を容易にするために、ガバナンスへの比重を高めているとしている。

 こうした対応には、セキュリティポリシー管理、コンプライアンス管理、監査イベント、脆弱性管理といった機能が含まれ、アプリケーション内で検出された脆弱な依存関係の追跡を支援する依存関係管理機能にも対応する予定と説明。これらのガバナンス機能は、静的アプリケーションセキュリティテスト(SAST)、シークレット検出、動的アプリケーションセキュリティテスト(DAST)、APIセキュリティ、ファズテスト(ファジング)、依存関係スキャン、ライセンスコンプライアンス、コンテナスキャンなどの包括的なセキュリティテスト機能とともに、スピードやアジリティを犠牲にすることなく、ソフトウェアサプライチェーンのセキュリティとコンプライアンスの実現に役立つとしている。

 GitLabでは、開発者の自然なワークフローの中でのソフトウェア部品表(SBOM)の作成、発見されたコンポーネント内の脆弱性の自動スキャン、およびそれらの脆弱性の解決に関するガイダンスの提供を支援する。

 また、次期機能として、サードパーティーから既存のSBOMデータを取り込み、構文解析してデータを簡単に集約できるようにすることで、SBOMの作成を効率化するとともに、開発者のワークフロー保護に役立つことが期待できるとしている。

 ビルドアーティファクト署名機能では、ビルドアーティファクトの信頼性を証明するために、GitLabでビルドアーティファクトだけでなく、生成後に変更されていないことを証明する認証ファイルも暗号署名できるようになる見込み。また、SLSA-2認証は、GitLab 15のリリース後に、ソフトウェアの改ざんを防止し、ビルドの完全性保証を追加するために導入された。

 脆弱性のプロアクティブな特定については、DAST APIおよびAPIファジングが、CI/CDパイプラインをスキャンすることにより、アプリケーション内の既知および未知の問題を発見できるようにする。GitLab 15.4でのGraphQLスキーマサポートの追加により、これらのAPIセキュリティスキャンは、従来のリリースに比べて最小限の構成でアプリケーションを保護するのに役立つとしている。追加のアプリケーションセキュリティスキャナーには、静的アプリケーションセキュリティテスト(SAST)、シークレット検出、コンテナスキャン、依存関係スキャン、IaCスキャン、カバレッジガイド付きファズテストが含まれる。

 また、統合セキュリティトレーニングにより、開発者はGitLabプラットフォーム内でのセキュアコーディングに関する実際に即した実用的なガイダンスにアクセスでき、コンテキスト切り替えの削減とセキュリティ担当者の管理負担の軽減につなげられる。

 コンプライアンスおよび規制基準の順守については、次期リリースでは、GitLab管理者/グループオーナーは権限をきめ細かく設定した新しいカスタムロールを作成できるようになる。これは、企業のセキュリティポリシーにより厳密に合致し、最小権限の原則に対応したロールベースのアクセス制御に役立つ。

 また、GitLabは、米国の政府規制ガイドラインの対象となる一部のGitLabユーザーにとっての要件であるFIPS 140-2に準拠した。この準拠は、GitLabが暗号モジュールの開発および使用に関する明確に定義されたセキュリティ標準に適合していることを示している。

 このほか、今年すでにリリースされたパスワードルールは、パスワードの複雑性要件を規定するもので、ユーザーが安全でない公開鍵を使用してGitLabにアクセスするのを防止できると説明。意味のあるシステムイベントに関連するイベントタイプ、タイムライン、ユーザー、およびメタデータに関する情報を収集するストリーミング監査イベントは、各種ログを1つのツールセットに統合し、特定のイベントが発生したときにアクションを実行するワークフローを一元的に構築できるとしている。