GitLab、2023年度第1四半期にリリースされた新機能を発表

NO BUDGET

2023-06-19 07:41

 DevSecOpsプラットフォームを提供するGitLabは、2023年度第1四半期(2023年2〜4月)にリリースされた「GitLab」の新機能を発表した。

 これらには「AIによる脆弱(ぜいじゃく)性緩和ガイダンス」「ライセンスポリシーの設定とソフトウェアライセンスのスキャンによるコンプライアンスの確保」「個人アクセストークン(PAT)の漏えい防止」などかある。

 GitLabの2023年グローバルDevSecOps調査レポート「Security Without Sacrifices(犠牲にしないセキュリティ)」によると、DevSecOpsプラットフォームを使用していないセキュリティ担当者は、修正を行える人を探すのに苦労しがちで、脆弱性の分析結果の理解にも苦しんでいることが分かった。

 これに対し、脆弱性緩和ガイダンスは特定のコードベースにあるコンテキスト内で脆弱性を修正する最善の方法を見つけやすくする。大規模言語モデルの説明能力を生かした「GitLab AI」によって脆弱性に関する助言を行うもので、初期テストでは、脆弱性修正措置の決定までの時間短縮が期待される結果を得た。

 コンプライアンスの確保では、新しい改良型のライセンスコンプライアンススキャナーとライセンス承認ポリシーをリリースした。新しいスキャナーは、適用するデュアルライセンスまたは複数のライセンスを含むパッケージからライセンス情報を抽出し、自動的に構文解析して500種類以上のライセンスを識別する。従来は20種類しか識別できなかったので大幅な増加となる。またライセンス承認ポリシーは、未承認のライセンスが使用されるリスクを最小限に抑え、手作業でのコンプライアンス確保に要する時間と労力を削減できる。

 個人アクセストークン(PAT)の漏えい防止では、開発者がPATをコードに誤ってコミットするリスクを軽減するために、パブリックGitLabリポジトリー内の漏えいしたPATを自動的に取り消すようにした。これによりGitLabユーザーやユーザー組織が認証情報の漏えいを防止し、本番アプリケーションへのリスクを軽減できる。最近のサイバー攻撃では、漏えいした個人アクセストークンがソースコードに含まれていたことが問題の原因として指摘されることがあるという。

 このほかにも、セキュリティ関連の新機能が発表された。

 「セキュリティポリシーの自動適用」では、適切な承認なしにセキュリティルールが迂回されることを防止する。さまざまなプロジェクトやコードコミットにセキュリティポリシーを手動適用すると、多大な時間が必要になるが、同機能により、セキュリティチームは、さまざまなチーム(QA、ビジネス、法務など)の複数の承認者による承認の義務付け、2段階承認プロセス、ポリシー対象外ライセンスの使用に関する例外の承認などのポリシールールを迅速に設定できる。設定したポリシーは、グループまたはサブグループレベルで複数の開発プロジェクトに適用でき、一元化された単一のルールセットを容易に維持できる。

 また「セキュリティテストでの誤検出の防止」では、「DAST API Analyzer」の精度を改善し、誤検出を推定78%削減した。「GitLab 2023グローバルDevSecOps調査」レポートによると、セキュリティ担当者の不満の上位3項目に過剰な誤検出が入っている。

 さらにGitLabでは、まもなくリリースする予定として「グループ/サブグループレベルの依存関係リスト」や「コンテナおよび依存関係の継続的スキャン」「コンプライアンスフレームワーク管理ツール」「SBOMの取り込み」などの機能もロードマップに掲げている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]