AccueilActualités informatiqueGestion des versions : GitLab 14.3 étend l'analyse de sécurité

Gestion des versions : GitLab 14.3 étend l’analyse de sécurité

GitLab a publié la version mensuelle 14.3 de sa plateforme de gestion de versions. Les innovations se trouvent principalement dans les variantes commerciales et couvrent, entre autres, l’analyse statique du code et les fonctions de sécurité. En outre, la version s’accompagne de nouvelles politiques de groupe et offre des ajouts pour le pipeline CI/CD (intégration continue, livraison continue).

Sommaire

Dans la version 10.3, GitLab a introduit l’analyse de sécurité via SAST (Static Application Security Testing). De nombreux outils open source pour différents langages de programmation et plateformes servent de base. De nouveaux outils sont ajoutés régulièrement, et le dernier ajout majeur a été Semgrep en avril.

Avec la version actuelle de la plateforme, GitLab introduit son propre moteur SAST, initialement conçu pour Ruby et Rails. La raison pour laquelle l’accent a été mis sur le langage de programmation et le framework web basé sur celui-ci est probablement que la plateforme de gestion de versions a été développée en Ruby on Rails depuis ses débuts il y a une dizaine d’années.

Le moteur interne SAST est censé aider à détecter les faux positifs, entre autres choses.

(Image : GitLab)

Le nouveau moteur SAST se concentre, entre autres, sur l’analyse des flux de données et de contrôle. Il comprend également un langage d’extraction de motifs qui peut être utilisé pour l’analyse des vulnérabilités et pour éliminer les faux positifs signalés par d’autres outils de sécurité. En outre, le moteur peut probablement intégrer des outils de test externes.

GitLab 14.3 étend également l’intégration de Dynamic Application Security Testing (DAST). Dans la version Ultimate, les politiques de sécurité peuvent désormais être définies pour DAST ainsi que pour la détection des secrets. GitLab a introduit cette dernière dans la version 11.9 : Les équipes peuvent l’utiliser pour rechercher dans leurs référentiels les informations qui doivent rester secrètes, comme les mots de passe, les clés SSH ou API, afin d’éviter la publication accidentelle d’informations d’identification pendant les commits.

Les politiques de sécurité sont mises en place au niveau du projet et peuvent éventuellement être mises à jour dans un cycle de temps défini ou dans le cadre de pipelines C via Sécurité et conformité – Politiques implémenter indépendamment de la configuration de CI dans le fichier .gitlab-ci.yml.

D’autres innovations proposent des valeurs par défaut ou des droits d’accès par groupe. Entre autres choses, l’agent Kubernetes de GitLab introduit dans la version 13.11 peut désormais accorder l’accès aux groupes autorisés. Auparavant, l’accès n’était possible qu’à partir du projet pour lequel l’agent est enregistré. Les droits d’accès peuvent désormais être définis pour les environnements protégés sur la base de groupes.

Deux ajouts pour les pipelines CI/CD sont également disponibles dans la version gratuite de GitLab, contrairement aux innovations énumérées jusqu’à présent. D’une part include-Les blocages dans la définition du pipeline sont maintenant autorisés. rulesdes sous-blocs qui précisent les conditions dans lesquelles l’inclusion doit avoir lieu. En outre, les variables du pipeline peuvent à leur tour contenir d’autres variables.

En plus de la nouvelle version et de l’introduction en bourse prévue, GitLab a annoncé sa propre section Collectives sur Stack Overflow. La plateforme pour les développeurs de logiciels avait introduit les Collectives en juin, peu après son acquisition par l’investisseur technologique Prosus. Il s’agit de domaines conçus autour d’un langage ou d’une technique de programmation spécifique. En plus de la section GitLab, il existe actuellement des collectifs pour le langage de programmation Go et le Google Cloud.

D’autres innovations dans GitLab 14.3 peuvent être trouvées dans l’annonce officielle. Vous pouvez également y voir quelles nouvelles fonctions sont disponibles pour les versions Free, Premium et Ultimate.


[rme)

Plus d'articles