GitLab 10.4リリース。WebIDE搭載開始、Dockerイメージの静的セキュリティ解析、アプリケーションの動的セキュリティテストなどの新機能

2018年1月25日

GitLab 10.4では、デプロイ前のDockerイメージに対して静的セキュリティ解析を行うツールや、動的にセキュリティ解析を行うツール、そしてWebブラウザから利用できる統合開発ツールなどが搭載された。


ソースコード管理ツールGitLabの最新版「GitLab 10.4」のリリースが発表されました

GitLab 10.4リリース

主な新機能として、アプリケーションをDockerコンテナとしてパッケージしたあとで静的セキュリティ解析を行う「Static Application Security Testing (SAST) for Docker Containers」、Webアプリケーションに対して動的なセキュリティテストが可能な「Dynamic Application Security Testing (DAST)」、そしてWebブラウザでコードを編集できるWebIDE機能などが搭載されました。

clairを用いてコンテナの静的解析

GitLabには、コードの静的解析を行う「Code Quality」機能がすでに搭載されています。しかしアプリケーションのコードに問題がなくても、それを実行する環境の方に脆弱性があっては安全なアプリケーションとはなりません。

今回搭載された「Static Application Security Testing for Docker containers」(SAST)は、アプリケーションをDockerコンテナとしてパッケージしたあとで静的解析を行い、脆弱性を発見してくれるツールです。

静的解析には、Dockerコンテナ内のメタデータのイメージになどをスキャンし、脆弱性などを報告してくれるオープンソースツールの「clair」を用いています。

一方、Webアプリケーションの振る舞いを動的にチェックする「Dynamic Application Security Testing (DAST)」は、オープンソースで開発されている「OWSASP Zed Attack Proxy」のツールを利用。

このツールは、Webブラウザの通信を横取りして変更する機能や、自動クローリング、ブルートフォース機能などでWebアプリケーションの脆弱性を診断でき、レポートも作成してくれるツールです。

fig

WebIDEを搭載

さらにGitLabとしては初めてWebIDEを搭載。GitLabのWebブラウザからそのままコードの編集などができるようになりました。

GitLabに搭載されたWebIDE

ただ、このWebIDEが既存のオープンソースで開発されているものを統合したのかどうかは、発表された情報の中には含まれていませんでした。

あわせて読みたい

プログラミング言語 GitLab




タグクラウド

クラウド
AWS / Azure / Google Cloud
クラウドネイティブ / サーバレス
クラウドのシェア / クラウドの障害

コンテナ型仮想化

プログラミング言語
JavaScript / Java / .NET
WebAssembly / Web標準
開発ツール / テスト・品質

アジャイル開発 / スクラム / DevOps

データベース / 機械学習・AI
RDB / NoSQL

ネットワーク / セキュリティ
HTTP / QUIC

OS / Windows / Linux / 仮想化
サーバ / ストレージ / ハードウェア

ITエンジニアの給与・年収 / 働き方

殿堂入り / おもしろ / 編集後記

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本


<!- script for simple analytics events -->