DevSecOpsプラットフォームを提供するGitLabは、2023年度第1四半期(2023年2〜4月)にリリースされた「GitLab」の新機能を発表した。
これらには「AIによる脆弱(ぜいじゃく)性緩和ガイダンス」「ライセンスポリシーの設定とソフトウェアライセンスのスキャンによるコンプライアンスの確保」「個人アクセストークン(PAT)の漏えい防止」などかある。
GitLabの2023年グローバルDevSecOps調査レポート「Security Without Sacrifices(犠牲にしないセキュリティ)」によると、DevSecOpsプラットフォームを使用していないセキュリティ担当者は、修正を行える人を探すのに苦労しがちで、脆弱性の分析結果の理解にも苦しんでいることが分かった。
これに対し、脆弱性緩和ガイダンスは特定のコードベースにあるコンテキスト内で脆弱性を修正する最善の方法を見つけやすくする。大規模言語モデルの説明能力を生かした「GitLab AI」によって脆弱性に関する助言を行うもので、初期テストでは、脆弱性修正措置の決定までの時間短縮が期待される結果を得た。
コンプライアンスの確保では、新しい改良型のライセンスコンプライアンススキャナーとライセンス承認ポリシーをリリースした。新しいスキャナーは、適用するデュアルライセンスまたは複数のライセンスを含むパッケージからライセンス情報を抽出し、自動的に構文解析して500種類以上のライセンスを識別する。従来は20種類しか識別できなかったので大幅な増加となる。またライセンス承認ポリシーは、未承認のライセンスが使用されるリスクを最小限に抑え、手作業でのコンプライアンス確保に要する時間と労力を削減できる。
個人アクセストークン(PAT)の漏えい防止では、開発者がPATをコードに誤ってコミットするリスクを軽減するために、パブリックGitLabリポジトリー内の漏えいしたPATを自動的に取り消すようにした。これによりGitLabユーザーやユーザー組織が認証情報の漏えいを防止し、本番アプリケーションへのリスクを軽減できる。最近のサイバー攻撃では、漏えいした個人アクセストークンがソースコードに含まれていたことが問題の原因として指摘されることがあるという。
このほかにも、セキュリティ関連の新機能が発表された。
「セキュリティポリシーの自動適用」では、適切な承認なしにセキュリティルールが迂回されることを防止する。さまざまなプロジェクトやコードコミットにセキュリティポリシーを手動適用すると、多大な時間が必要になるが、同機能により、セキュリティチームは、さまざまなチーム(QA、ビジネス、法務など)の複数の承認者による承認の義務付け、2段階承認プロセス、ポリシー対象外ライセンスの使用に関する例外の承認などのポリシールールを迅速に設定できる。設定したポリシーは、グループまたはサブグループレベルで複数の開発プロジェクトに適用でき、一元化された単一のルールセットを容易に維持できる。
また「セキュリティテストでの誤検出の防止」では、「DAST API Analyzer」の精度を改善し、誤検出を推定78%削減した。「GitLab 2023グローバルDevSecOps調査」レポートによると、セキュリティ担当者の不満の上位3項目に過剰な誤検出が入っている。
さらにGitLabでは、まもなくリリースする予定として「グループ/サブグループレベルの依存関係リスト」や「コンテナおよび依存関係の継続的スキャン」「コンプライアンスフレームワーク管理ツール」「SBOMの取り込み」などの機能もロードマップに掲げている。
