GitLab 10.4リリース。WebIDE搭載開始、Dockerイメージの静的セキュリティ解析、アプリケーションの動的セキュリティテストなどの新機能

2018年1月25日

GitLab 10.4では、デプロイ前のDockerイメージに対して静的セキュリティ解析を行うツールや、動的にセキュリティ解析を行うツール、そしてWebブラウザから利用できる統合開発ツールなどが搭載された。


ソースコード管理ツールGitLabの最新版「GitLab 10.4」のリリースが発表されました

GitLab 10.4リリース

主な新機能として、アプリケーションをDockerコンテナとしてパッケージしたあとで静的セキュリティ解析を行う「Static Application Security Testing (SAST) for Docker Containers」、Webアプリケーションに対して動的なセキュリティテストが可能な「Dynamic Application Security Testing (DAST)」、そしてWebブラウザでコードを編集できるWebIDE機能などが搭載されました。

clairを用いてコンテナの静的解析

GitLabには、コードの静的解析を行う「Code Quality」機能がすでに搭載されています。しかしアプリケーションのコードに問題がなくても、それを実行する環境の方に脆弱性があっては安全なアプリケーションとはなりません。

今回搭載された「Static Application Security Testing for Docker containers」(SAST)は、アプリケーションをDockerコンテナとしてパッケージしたあとで静的解析を行い、脆弱性を発見してくれるツールです。

静的解析には、Dockerコンテナ内のメタデータのイメージになどをスキャンし、脆弱性などを報告してくれるオープンソースツールの「clair」を用いています。

一方、Webアプリケーションの振る舞いを動的にチェックする「Dynamic Application Security Testing (DAST)」は、オープンソースで開発されている「OWSASP Zed Attack Proxy」のツールを利用。

このツールは、Webブラウザの通信を横取りして変更する機能や、自動クローリング、ブルートフォース機能などでWebアプリケーションの脆弱性を診断でき、レポートも作成してくれるツールです。

fig

WebIDEを搭載

さらにGitLabとしては初めてWebIDEを搭載。GitLabのWebブラウザからそのままコードの編集などができるようになりました。

GitLabに搭載されたWebIDE

ただ、このWebIDEが既存のオープンソースで開発されているものを統合したのかどうかは、発表された情報の中には含まれていませんでした。

このエントリーをはてなブックマークに追加
follow us in feedly


≫次の記事
Linux Foundation、「LF Networking Fund」を開始。6つのオープンソースプロジェクトをまとめて運営することで開発を促進

≪前の記事
原子時計のスマートフォンなどへの搭載に道。小型化と低消費電力化の技術開発に成功、NICTが発表


カテゴリ



Blogger in Chief

photo of jniino Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed



新着記事 10本


PR - Books


fig

fig

fig