APP下载

GitLab 14.3专注强化安全性加入新一代SAST引擎

消息来源:baojiabao.com 作者: 发布时间:2024-11-28

报价宝综合消息GitLab 14.3专注强化安全性加入新一代SAST引擎

GitLab新版14.3来了,这个版本的重点更新项目,都为安全性功能,诸如专案层级的安全性扫描执行政策、新一代SAST引擎,以及GitLab Kubernetes代理群组权限等。

GitLab 14.3在安全政策上往前跨了一步,加入专案层级的DAST,以及秘密扫描执行政策,现在用户可以要求定期执行DAST和秘密扫描,或是使其成为持续整合工作管线的一部分,并且独立于.gitlab-ci.yml档案内容,官方提到,这允许安全团队单独管理扫描要求,且不让开发者变更这些配置。

GitLab 14.3还新增新一代SAST引擎,GitLab的SAST功能综合了十多个开源静态安全分析器,每个月都会在GitLab上,主动找出数百万个漏洞,这些分析器使用各种不同的方法辨识漏洞,从基本的正规表示式,到抽象语法树解析,但这些方法可能会产生伪阳性的问题,过去GitLab的安全工具,提供漏洞指纹比对功能,让用户能够消除这些误报。

现在官方在GitLab 14.3加入的安全性更新,是由GitLab静态分析和漏洞研究小组,所建置和维护的专有静态应用程序安全测试引擎,在目前初始阶段,该SAST工具仅针对Ruby和Rails的程式码,能够减少误报。

官方提到,他们以多年维护GitLab SAST安全工具的经验,以及先进的程序分析技术,打造这个新的SAST引擎,该引擎使用资料和控制流程分析,以及可用于侦测漏洞和误报的模式撷取语言,且该引擎还提供了一个框架,能够方便整合不同类型的安全测试,并让测试执行更加智慧。GitLab会继续扩展这个引擎,并且增加语言覆盖范围和检测功能。

而GitLab为了要让开发人员和营运人员的环境配置不会相互干扰,推出了群组层级权限受保护环境,官方解释,在大型企业中,开发人员和营运人员有明确的权限边界,开发人员会在开发环境等层级较低的环境,部署和测试应用程序,营运人员则会在生产环境中操作,要在包含数千个专案的单个群组,正确配置所有专案的受保护环境,并非一件简单的事。

因此在GitLab 14.3中,官方添加了以部署层作为标示符号的群组受保护环境,让营运人员可以将应用程序,正确地部署到生产环境中,且不会干扰专案开发人员工作。

另外,GitLab还提供Kubernetes代理和Kubernetes丛集间的安全连接功能,在14.2版本之前,CI/CD通道仅允许,将已经在Kubernetes代理注册的专案推送到丛集中,而在14.3中,代理可以被授权存取整个群组,也就是说,经授权群组下的每一个专案,都能够存取丛集,而不需要对每个专案个别进行注册。

2021-09-28 09:55:00

相关文章