Peach TechとFuzzitを買収して、GitLabのDevSecOpsプラットフォームを拡充

カバレッジ誘導と挙動ベースのファズテストを提供できる業界初のセキュリティソリューションに

DevOpsライフサイクルに対応するオールインワンアプリを提供するGitLab(本社:米サンフランシスコ、読み方:ギットラブ、https://about.gitlab.com/)は本日、プロトコルのファズテストおよびDAST(動的アプリケーションセキュリティテスト)のAPIテストに特化したセキュリティソフトウェア企業のPeach Techと、カバレッジ(網羅率)誘導テストを提供する継続的なファズテストソリューション企業のFuzzitを買収したことをお知らせします。これらの買収により、GitLabのDevSecOpsプラットフォームにプロトコルのファズテスト、APIのファズテスト、DAST APIテスト、カバレッジ誘導型ファズテストなどのテストソリューションが加わります。その結果、GitLabのDevSecOpsプラットフォームは、カバレッジ誘導のファズテストと挙動ベースのファズテストの2つのテクノロジーを搭載し、GitLabの継続的インテグレーション/継続的デリバリー(CI/CD)環境内でファズテストを直接利用できる業界初のプラットフォームとなります。

GitLabのCEOであるシッツェ・シブランディ(Sid Sijbrandij)は、次のように述べています。「GitLabは、オールインワンのプラットフォームでDevOpsのライフサイクルに求められる機能を網羅した最高品質のツールを提供しています。GitLabのセキュリティソリューションにPeach TechやFuzzitのファジングテクノロジーを統合することで、GitLabユーザーはより一層堅牢かつ完全なアプリケーションのセキュリティテストを実行できるようになります。それと同時に、GitLabユーザーのワークフローが簡素化され、開発チーム、セキュリティチーム、オペレーションチームの間で、これまで以上に強固なコラボレーションを実現できます。」

近年、オープンソースソフトウェア(OSS)が指数関数的に勢いを増し続け、組織はゼロトラストモデルの方向に突き進んでいます。大企業ですら自社のセキュリティ体制を効果的に評価する時間やリソースを確保できないほど、潜在的な脅威や脆弱性による攻撃可能領域は拡大し、エンタープライズセキュリティ上の懸念事項を増やしています。ファジングとも呼ばれるファズテストとは、プログラムに不良データを入力し、悪用される恐れのあるバグやクラッシュ、不具合を発見するプロセスです。アプリケーションのセキュリティテストを適切に自動化することに加え、DevSecOpsアプローチの取り組みを「シフトレフト(前倒し)」することで、開発チームやセキュリティチームは早期かつ頻繁にテストを実施し、組織全体のセキュリティリスクの管理や軽減に向け、協働することが可能になります。カバレッジ誘導と挙動ベースのファズテストをDevSecOpsツールチェーンに統合することは、従来のアプリケーションのセキュリティテスト方法では見逃されていた脆弱性や欠陥を発見できるようになるのです。

GitLabのソリューションにPeach TechとFuzzitのテクノロジーが統合されると、GitLab Secureユーザーは、アプリケーションのセキュリティテスト要件を満たす目的で、スタンドアロンのファズテストソリューションを使用する必要がなくなります。これに代わり、セキュリティテストをDevOpsサイクルに自動展開(https://docs.gitlab.com/ee/topics/autodevops/)することから脆弱性の管理や修復に至るまでの全プロセスが完全に統合されたセキュリティソリューションが実現されます。また、今回の買収によりGitLabは、Peach TechのDAST APIセキュリティエンジンおよびFuzzitのクラッシュ相関テクノロジーを拡張させ、IAST(インタラクティブアプリケーションセキュリティテスト)のロードマップを加速します。

Peach Techの創業者兼CEOであるマイケル・エディングトン(Michael Eddington)は、次のように述べています。「GitLabのDevSecOps事業のコア・ミッションでは、GitLabユーザーに最高のセキュリティテストツールを提供することを重要視しています。Peach Techのテクノロジーを統合することで、GitLabのセキュリティ機能が拡充され、すべてのGitLabユーザーが思い描いていたセキュリティとDevSecOpsの理想形が実現されるのです。」

Fuzzitの創業者兼CEOであるイェフゲニー・パッツ(Yevgeny Pats)は、次のように述べています。「GitLabはFuzzitを統合することで、CI/CDのパイプライン内で継続的なカバレッジ誘導型のファズテストを直接提供する、初のセキュリティソリューションになります。Fuzzitが複数のカバレッジ誘導型ファザーに対応していることに加え、Fuzzitのクラッシュ分析や相関テクノロジーが統合されることにより、GitLabユーザーのDevSecOpsサイクルに重要な機能が提供されるのです。」

Peach TechとFuzzitのテクノロジーがGitLabのDevSecOpsプラットフォームに統合されることで、アプリケーションのセキュリティテストのロードマップがさらに加速されます。その結果、セキュリティ脆弱性や欠陥の発見、修正、修復にネイティブかつシームレスな開発エクスペリエンスを提供します。

GitLabは、アプリケーションの正確で自動化された継続的な評価を提供しており、ユーザーは能動的に脆弱性や欠陥を特定し、セキュリティリスクを最小限に抑えることが可能です。GitLab SecureのステージがDevOpsサイクルに組み込まれており、手順やツールを増やすことなく、セキュリティテストやプロセスに適応できるようになります。

GitLabのセキュリティ戦略やその方向性、またDevSecOpsのベストプラクティス(https://about.gitlab.com/solutions/dev-sec-ops/)を取り入れる際に利用可能なGitLabのサポートの詳細については、GitLabのウェブサイト(https://about.gitlab.com/direction/secure/)で確認できます。GitLabは、ガートナーの「2020 Gartner Magic Quadrant report for Application Security Testing(2020年版:ガートナーのアプリケーションセキュリティテストに関するマジッククアドラント、https://about.gitlab.com/press/releases/2020-05-11-gitlab-positioned-niche-players-quadrant-2020-gartner-magic-quadrant-application-security-testing.html)」において、ニッチプレイヤーに選ばれました。

GitLabが公開するハンドブックには、買収に関するセクション(https://about.gitlab.com/handbook/acquisitions/)があります。このセクションには、ターゲットの企業データの共有からチーム向けに提供されるインセンティブの一覧に至るまで、GitLabの事業開発に対する取り組みが透明性高くまとめられています。

GitLabについて
GitLabは、DevOpsのライフサイクル全般をカバーするオールインワンのアプリケーションとして、ゼロから構築されたDevOpsプラットフォームです。製品、開発、品質保証、セキュリティおよびオペレーションチームが同一プロジェクト上で同時に作業を行うことを可能にします。DevOpsのライフサイクル全体を通じて、オールインワンのデータストア、UI、許可モデルを提供し、共同作業の効率化と集中的な作業を可能にし、サイクル時間の大幅な削減を実現します。GitLabはオープンソースベースで構築されており、数千人のディベロッパーや数百万人のユーザーから成るコミュニティの力で、DevOpsに絶えず新たなイノベーションをもたらしています。Ticketmaster、Jaguar Land Rover、NASDAQ、Dish Network、Comcastをはじめ、スタートアップから世界的大手企業に至るまで、100,000以上の顧客がGitLabに信頼を寄せ、素早く優れたソフトウェアを作り出しています。GitLabは、65以上の国や地域に1,250名以上の従業員を擁する、世界最大の完全リモートワーク企業です。

リリース詳細
提供元: PR TIMES