GitLab Sicherheit und Compliance

GitLab Security & Compliance – eine Reihe von Funktionen, die bei der Umsetzung des DevSecOps-Ansatzes helfen: Sicherheit wird Teil des Standardentwicklungszyklus und nicht zu einem „separaten Schritt am Ende”. Die Überprüfungen werden zusammen mit dem Code und den Pipelines gestartet, sodass Schwachstellen und Risiken früher erkannt werden, wenn ihre Behebung noch kostengünstiger und schneller ist.

Die Sicherheit umfasst verschiedene Arten von automatisierten Prüfungen: statische Analyse, dynamische Prüfungen, Suche nach Geheimnissen, Analyse von Abhängigkeiten und Containern. Die Ergebnisse werden in übersichtlichen Berichten zusammengefasst und helfen bei der Priorisierung von Korrekturen: Das Team sieht, was genau gefunden wurde, wo das Problem liegt und wie es sich auf das Produkt auswirkt.

Der Bereich Compliance verbessert die Kontrollierbarkeit: Richtlinien und Standards werden festgelegt und konsequent angewendet, während Audits und Rückverfolgbarkeit interne Überprüfungen vereinfachen. In Kombination mit GitLab CI/CD entsteht so ein einheitlicher Prozess, in dem Qualität, Sicherheit und Compliance systematisch überprüft werden.

Die wichtigsten Funktionen

• Sicherheitsscans in Pipelines: Automatischer Start von Überprüfungen bei jeder Änderung.
• SAST/DAST und andere Arten von Sicherheitstests: Abdeckung verschiedener Risikoklassen.
• Secret Detection: Suche nach Lecks von Schlüsseln und Tokens, bevor sie in die Produktion gelangen.
• Dependency/Container-Scanning: Aufdeckung von Schwachstellen in Abhängigkeiten und Images.
• Verwaltung von Schwachstellen: zentralisierte Übersicht, Priorisierung und Statusüberwachung.
• Richtlinien und Regeln: Anforderungen an Überprüfungen, Reviews und Bedingungen für Mergers/Releases.
• Compliance-Frameworks: Standardisierung von Anforderungen und Kontrolle ihrer Einhaltung.
• Audit und Rückverfolgbarkeit: Bestätigung, dass die Regeln eingehalten wurden.