ソフトウェアサプライチェーンのセキュリティ
ソフトウェアサプライチェーンを保護し、脅威ベクトルの一歩先を行き、コンプライアンスへの準拠に役立つポリシーを定めて、より迅速に安全なソフトウェアをデリバリーできるようにしましょう。
組み込まれた自動化とポリシーの実施
お客様:
エンドツーエンドでのソフトウェアサプライチェーンの保護
コード、ビルド、リリースを安全に
ゼロトラストの確立
IDおよびアクセス管理(IAM)は、ソフトウェアサプライチェーンにおける最大の攻撃ベクトルの1つです。GitLabでは、あなたの環境で動作するすべての人物の識別子とマシンの識別子を認証、承認、そして継続的に検証を行うことによってアクセスを保護します。
- 2要素認証などのきめ細かなアクセス制御を実装する
- トークンの有効期限ポリシーを定める
- 組織のルールや規制上のルールに基づいて、ポリシーを設定する
- コンプライアンスへの準拠のために、包括的な監査レポートとガバナンスレポートを生成する
- 追加のガードレールとして、2名体制での承認を実施する
ソースコードの保護
コードにアクセスできるユーザー、およびコードへの変更のレビュー方法とマージ方法を管理することによって、ソースコードのセキュリティと整合性を確保します。
依存関係の保護
プロジェクトで使用されているすべてのオープンソースの依存関係に既知の脆弱性が含まれていないこと、また信頼できるソースから入手したものであり、改ざんされていないことを確認します。
- 自動的にソフトウェア部品表を生成して、プロジェクトの依存関係を特定する
- 自動化されたソフトウェア構成分析によって、使用されていて依存関係にあるソフトウェアの脆弱性を特定する
- ライセンスコンプライアンススキャンを実行して、組織のポリシーに沿ってプロジェクト内でソフトウェアライセンスが使用されていることを確認する
ビルド環境の保護
悪意のある人物が不正コードをビルドプロセスに追加することや、パイプラインによってビルドされたソフトウェアの制御を得たり、パイプラインで使用されているにアクセスしたりすることを防止します。
- ビルド環境を隔離して、不正アクセスや不正コードの実行を防ぐ
- リリースに含まれるすべてのもののリリースエビデンスを保持する
- ビルドアーティファクトの認証によって、ビルドアーティファクトが漏えいしていないことを保証する
リリースアーティファクトの保護
攻撃者がアプリケーションのデザインや設定の弱点を悪用して個人データを盗んだり、アカウントに不正にアクセスしたり、正規ユーザーになりすましたりするのを阻止します。
- クラスターへの安全な接続を確立して、リリースアーティファクトを提供する
- デプロイ前に、実行中のアプリケーションでセキュリティ上の脆弱性を特定する
- 実行中のアプリケーションがAPIインターフェイスを通じてさらされることのないようにする
企業に信頼され
開発者が愛用
最適なプランを見つけましょう
価格設定の詳細についてUltimate
- Premiumの機能に加え、以下の機能が含まれます
- 包括的なセキュリティスキャナー(SAST、DAST、秘密、Dependency Scanning、コンテナ、IaC、API、クラスターイメージ、ファジングテストなど)
- MRパイプライン内での実行可能な結果
- コンプライアンスパイプライン
- セキュリティとコンプライアンスのダッシュボード
- その他たくさん
関連リソース
GitLabでさらに多くのことを実現
その他のソリューションを確認
DevSecOps
GitLabは、ソフトウェアデリバリーを自動化し、エンドツーエンドのソフトウェアサプライチェーンを保護することで、スピーディな開発と強靱なセキュリティの双方を実現します。
Learn more