GitLab 10.4リリース。WebIDE搭載開始、Dockerイメージの静的セキュリティ解析、アプリケーションの動的セキュリティテストなどの新機能
GitLab 10.4では、デプロイ前のDockerイメージに対して静的セキュリティ解析を行うツールや、動的にセキュリティ解析を行うツール、そしてWebブラウザから利用できる統合開発ツールなどが搭載された。
ソースコード管理ツールGitLabの最新版「GitLab 10.4」のリリースが発表されました。
主な新機能として、アプリケーションをDockerコンテナとしてパッケージしたあとで静的セキュリティ解析を行う「Static Application Security Testing (SAST) for Docker Containers」、Webアプリケーションに対して動的なセキュリティテストが可能な「Dynamic Application Security Testing (DAST)」、そしてWebブラウザでコードを編集できるWebIDE機能などが搭載されました。
clairを用いてコンテナの静的解析
GitLabには、コードの静的解析を行う「Code Quality」機能がすでに搭載されています。今回搭載された「Static Application Security Testing for Docker containers」(SAST)は、アプリケーションをDockerコンテナとしてパッケージしたあとで静的解析を行ってくれるツールです。
しかしアプリケーションのコードに問題がなくても、それを実行する環境の方に脆弱性があっては安全なアプリケーションとはなりません。Static Application Security Testing for Docker containersは、そうしたアプリケーションの実行環境を解析してくれるツールです。
静的解析は、clairはDockerコンテナ内のメタデータのイメージになどをスキャンし、脆弱性などを報告してくれるオープンソースツールの「clair」を用いています。
一方、Webアプリケーションの振る舞いを動的にチェックする「Dynamic Application Security Testing (DAST)」は、オープンソースで開発されている「OWSASP Zed Attack Proxy」のツールを利用。
このツールは、Webブラウザの通信を横取りして変更する機能や、自動クローリング、ブルートフォース機能などでWebアプリケーションの脆弱性を診断でき、レポートも作成してくれるツールです。
WebIDEを搭載
さらにGitLabとしては初めてWebIDEを搭載。GitLabのWebブラウザからそのままコードの編集などができるようになりました。
ただ、このWebIDEが既存のオープンソースで開発されているものを統合したのかどうかは、発表された情報の中には含まれていませんでした。
カテゴリ 開発ツール / 言語 / プログラミング
あわせてお読みください
- GitLab 9.3登場。マージ前のコードを静的解析して品質をチェックする「Code Quality」、マルチプロジェクトの状況を表示する「Multi-Project Pipeline Graphs」など新機能
- GitLab 9.1リリース。バーンダウンチャート登場、クラスタの一部だけにデプロイできるCanary Deploymentsなど新機能
- ソースコード管理ツール「GitLab 9.4」リリース。UI改善、Webアプリケーションモニタリング、TrelloやSlackとの連携改善など
- 米レッドハット、Dockerアプリの認定制度「Red Hat Container Certification」および開発キット、認定アプリのレジストリ「Red Hat Container Registry」など発表
- 「GitLab 9.0」リリース。組織の階層構造に対応したSubgroups、コンテナへのデプロイとPrometheusで運用監視など
前の記事
原子時計のスマートフォンなどへの搭載に道。小型化と低消費電力化の技術開発に成功、NICTが発表
Junichi Niino(jniino)
