GitLab、企業のエンドツーエンドソフトウェアサプライチェーンの保護を支援するセキュリティ&ガバナンスソリューションの機能強化を発表

One DevOpsプラットフォームは脅威ベクトルの先回り、コンプライアンス体制の維持、セキュアなソフトウェアのデリバリーの迅速化を実現

単一のアプリケーションでDevOpsプラットフォームを提供するGitLab(本社:米サンフランシスコ、読み方:ギットラボ、NASDAQ:GTLB、https://about.gitlab.com/ja-jp/)は、KubeCon + CloudNativeCon North Americaにおいて、ソフトウェア開発ライフサイクル(SDLC)のあらゆる段階にセキュリティとコンプライアンスを統合し、ソフトウェアサプライチェーンを保護することを可能にするセキュリティ&ガバナンスソリューションの機能強化を発表しました。

GitLabの2022年グローバルDevSecOps調査(https://about.gitlab.com/developer-survey/?utm_medium=pressrelease&utm_source=globenewswire&utm_campaign=devsecopsusecase)では、セキュリティが企業にとって最優先の投資分野であることが明らかになりました。また、セキュリティ担当者の57%が自社のセキュリティのシフトレフトをすでに完了しているか、年内に行う予定であると答えています。こうしたセキュリティニーズの高まりに対応するために、GitLabはセキュリティ&ガバナンスソリューションの機能強化を図り、セキュリティ知見やコンプライアンス要件の可視化と管理を実現するとともに、GitLabが考える最高のソフトウェアサプライチェーンセキュリティエクスペリエンスを提供します。

企業に対する規制要件やコンプライアンス要件の厳格化に伴い、GitLabはプロジェクトの依存関係、セキュリティ知見、ユーザーアクティビティを可視化することでリスクの把握を容易にするために、ガバナンスへの比重を高めています。これにはセキュリティポリシー管理、コンプライアンス管理、監査イベント、脆弱性管理といった機能が含まれ、アプリケーション内で検出された脆弱な依存関係の追跡を支援する依存関係管理機能にも対応する予定です。これらのガバナンス機能は、静的アプリケーションセキュリティテスト(SAST)、シークレット検出、動的アプリケーションセキュリティテスト(DAST)、APIセキュリティ、ファズテスト(ファジング)、依存関係スキャン、ライセンスコンプライアンス、コンテナスキャンなどの包括的なセキュリティテスト機能とともに、スピードやアジリティを犠牲にすることなく、ソフトウェアサプライチェーンのセキュリティとコンプライアンスを絶えず実現するのに役立ちます。

GitLabで製品担当副社長を務めるデイビッド・デサント(David DeSanto)は次のように述べています。「企業が競争優位を維持し、デジタルトランスフォーメーションを推進するには、優れたソフトウェア開発・運用・保護能力が必要です。セキュリティは、付け足しとして扱うのではなく、ソフトウェア開発ライフサイクルのあらゆる段階に組み込む必要があります。セキュリティ&ガバナンス機能が強化されたGitLabは、企業のソフトウェアサプライチェーンの保護に役立つ包括的なDevSecOpsソリューションです。」

ソフトウェアサプライチェーンの保護
ソフトウェアサプライチェーンとは、現代のソフトウェア開発で用いられるすべての内部および外部依存関係です。サプライチェーンを適切に保護するには、社内で開発されるコードを保護するツールを整備するだけでなく、サードパーティーコンポーネントによってもたらされる可能性がある脆弱性を検出する手段も必要です。企業のソフトウェアサプライチェーンは、変更される部分が非常に多いため、その保護は必ずしも単純ではありません。コードの効率的かつ安全なデプロイメントを確保するには、開発ライフサイクル全体にわたって自動化された抑制と均衡のシステムが必要です。DevSecOpsプラットフォームの導入は、ハンドオフの減少やオーナーシップとアクセスに関する透明性の向上などにより、エンドツーエンドセキュリティの改善につながります。

ソフトウェア部品表(SBOM):今年すでに発表したとおり、GitLabは開発者の自然なワークフローの中でSBOMの作成、発見されたコンポーネント内の脆弱性の自動スキャン、およびそれらの脆弱性の解決に関するガイダンスの提供を支援します。
SBOMレポートの取り込み:この次期機能は、サードパーティーから既存のSBOMデータを取り込み、構文解析してデータを簡単に集約できるようにすることでSBOMの作成を効率化するとともに、開発者のワークフロー保護に役立つことが期待されます。
ビルドアーティファクト署名:この次期機能により、ビルドアーティファクトの信頼性を証明するために、GitLabでビルドアーティファクトだけでなく、生成後に変更されていないことを証明する認証ファイルも暗号署名できるようになる見込みです。
SLSA-2認証:チェックを外した場合、コンテナベースのアーキテクチャでは不完全、脆弱、または不正なソフトウェアがデプロイされるリスクが生じる可能性があります。SLSA-2認証は、GitLab 15のリリース後に、ソフトウェアの改ざんを防止し、ビルドの完全性保証を追加するために導入されました。GitLab Runnerは、ビルドアーティファクトに関するSLSA-2準拠の認証メタデータを生成できるようになりました。

脆弱性のプロアクティブな特定
GitLabは、脆弱性をプロアクティブにスキャンし、アプリケーションを保護するための管理策を実行することにより、シフトレフトの実現を支援します。機能強化により、ソースコード、コンテナ、依存関係、および実行中のアプリケーションに潜む脆弱性の自動スキャンも支援できるようになりました。さらに、これらのセキュリティ機能はアプリケーションを本番環境にデプロイする前後の脅威検出を自動化して、セキュリティリスクを最小限に抑えるのにも役立ちます。

DAST APIおよびAPIファジング:DAST APIおよびAPIファジングは、CI/CDパイプラインをスキャンすることにより、アプリケーション内の既知および未知の問題を発見できるようにします。GitLab 15.4でのGraphQLスキーマサポートの追加により、これらのAPIセキュリティスキャンは従来のリリースに比べて最小限の構成でアプリケーションを保護するのに役立ちます。追加のアプリケーションセキュリティスキャナーには、静的アプリケーションセキュリティテスト(SAST)、シークレット検出、コンテナスキャン、依存関係スキャン、IaCスキャン、カバレッジガイド付きファズテストが含まれます。
統合セキュリティトレーニング:2022年DevSecOps調査レポートでは、回答者の56%が実際に開発者にコード脆弱性の修正を優先させることが難しく、それらの脅威の把握がセキュリティ担当者任せになっていると回答しています。統合セキュリティトレーニングにより、開発者はGitLabプラットフォーム内でのセキュアコーディングに関する実際に即した実用的なガイダンスにアクセスでき、コンテキスト切り替えの削減とセキュリティ担当者の管理負担の軽減につながります。

コンプライアンスおよび規制基準の遵守
運用担当者は、コンプライアンスおよび監査要件の管理を自らの責任範囲に含まれる活動と見なしています。GitLabの新機能および次期機能は、変更の追跡、本番環境にデプロイするものを定義する管理策の実装、ライセンスコンプライアンスおよび規制フレームワークの遵守の確保に役立つはずです。

カスタマイズ可能なロール:次期リリースでは、GitLab管理者/グループオーナーは権限をきめ細かく設定した新しいカスタムロールを作成できるようになります。これは、企業のセキュリティポリシーにより厳密に合致し、最小権限の原則に対応したロールベースのアクセス制御に役立ちます。
FIPS 140-2準拠:GitLabは、米国の政府規制ガイドラインの対象となる一部のGitLabユーザーにとっての要件であるFIPS 140-2に準拠(https://docs.gitlab.com/ee/development/fips_compliance.html)しました。この準拠は、GitLabが暗号モジュールの開発および使用に関する明確に定義されたセキュリティ標準に適合していることを示しています。
パスワードルール:今年すでにリリースされたパスワードルールは、パスワードの複雑性要件を規定するもので、ユーザーが安全でない公開鍵を使用してGitLabにアクセスするのを防止できます。
ストリーミング監査イベント:今年すでにリリースされたストリーミング監査イベントは、意味のあるシステムイベントに関連するイベントタイプ、タイムライン、ユーザー、およびメタデータに関する情報を収集します。これにより、各種ログを1つのツールセットに統合し、特定のイベントが発生したときにアクションを実行するワークフローを一元的に構築できます。
共同承認:昨年リリースされた機能で、リクエスト作成者が自身のマージリクエストを承認できないようにする機能など、ユーザーがグループレベルのマージリクエスト設定を指定できるようにします。この設定を他のGitLab機能と組み合わせることにより、コードのマージを許可する前に共同承認を要求することができます。

S&P Global Market Intelligenceの451 Research部門で主席情報セキュリティアナリストを務めるダニエル・ケネディ(Daniel Kennedy)氏は、次のように述べています。「企業はすでにDevOpsの原則の導入と、ソフトウェア開発チームとIT運用チームを隔てるサイロの解消において大きな成功を収めています。開発プロセスを強化するための次のステップは、このアプローチをセキュリティにも適用し、DevOpsからDevSecOpsに移行することです。デプロイメントを効率よく続けながらセキュリティをシフトレフトするには、セキュリティとコンプライアンスを既存の開発ワークフローに統合するシングルプラットフォームが必要です。」

GitLabのセキュリティおよびガバナンスソリューションの詳細は、ソリューションページ(英語、https://about.gitlab.com/solutions/dev-sec-ops/)で確認できます。また、2022年DevSecOps調査レポートの全文(英語)は、こちら(https://about.gitlab.com/developer-survey/?utm_medium=pressrelease&utm_source=globenewswire&utm_campaign=devsecopsusecase)から確認できます。

※ 本資料は、米国ミシガン州にて2022年10月25日(現地時間)に発表したプレスリリース(https://about.gitlab.com/press/releases/2022-10-25-gitlab-security-governance-solution-secure-software-supply-chain.html)の日本語抄訳版です

GitLabについて
GitLabは、DevOpsに必要な機能のすべてをひとまとめにした、クラウドにとらわれない唯一のエンドツーエンドのOne DevOpsプラットフォームを提供し、ソフトウェアイノベーションに貢献しています。GitLabのプラットフォームでは、すべてが1つのインターフェース、1つのデータストア、1つの権限モデル、1つのバリューストリーム、1セットのレポートに収まっており、その中でコードの保護とあらゆるクラウドへのデプロイを行えるため、どのユーザーもDevOpsに貢献することが可能です。GitLabを導入すると、コードの作成・配信・管理を迅速かつ継続的に行い、顧客やユーザーはイノベーションを加速させ、簡単にスケーリングを行い、効果的にサービスを提供し、そして顧客を維持してビジネスビジョンを実現できます。GitLabはオープンソースで構築されており、数千のデベロッパー、数千万のユーザーからなる今なお成長中のコミュニティと連携し、新しいDevOpsイノベーションを継続的に提供します。

リリース詳細
提供元: PR TIMES