![\"gitlab-security\"](\"https:\/\/www.almtoolbox.com\/fr\/blog\/wp-content\/uploads\/2021\/04\/gitlab-security.jpg\")
<\/p>\n<\/p>\n
Peu de gens le savent, mais GitLab a \u00e9galement la possibilit\u00e9 d’effectuer une vari\u00e9t\u00e9 de contr\u00f4les de s\u00e9curit\u00e9 sur le code que vous d\u00e9veloppez et \/ ou utilisez (open source), ainsi que des capacit\u00e9s de conformit\u00e9 du code – c’est-\u00e0-dire de vous assurrez\u00a0 de faire une utilisation correcte et l\u00e9gale de l’open source que vous utilisez.<\/p>\n
En fait, dans GitLab, vous pouvez \u00e9galement ex\u00e9cuter les tests sur le code, puis tout voir \u00e0 l’aide d’un tableau de bord central qui affiche tout de mani\u00e8re ordonn\u00e9e, et vous permet \u00e9galement d’effectuer des actions sur les r\u00e9sultats et les constatations et de partager r\u00e9ellement les informations entre tous les projets. personnes (ou quiconque est autoris\u00e9 \u00e0 le consulter).<\/p>\n
Les tests peuvent \u00eatre ex\u00e9cut\u00e9s \u00e0 partir de GitLab CI (qui est l’outil CI \/ CD fourni avec GitLab) et peuvent \u00e9galement \u00eatre connect\u00e9s \u00e0 d’autres outils CI tels que Jenkins.<\/p>\n
En fait, les tests peuvent \u00eatre ex\u00e9cut\u00e9s m\u00eame si le code est dans un autre outil SCM (tel que git, GitHub, Bitbucket, etc.).<\/p>\n
Certains des tests ne concernent pas le code lui-m\u00eame, mais l’application ou le site Web qui ex\u00e9cute le code.<\/p>\n
Il peut \u00eatre ex\u00e9cut\u00e9 \u00e0 la fois \u00e0 partir d’un serveur GitLab priv\u00e9 (c’est-\u00e0-dire auto-h\u00e9berg\u00e9) et \u00e0 partir du cloud.<\/p>\n
\nFonctionnalit\u00e9 \/ test<\/h4>\n<\/td>\nDescription\u00a0<\/b><\/h4>\n<\/td>\n<\/tr>\nContainer Scanning<\/span><\/td>\n | \u00a0Conteneurs vides (docker) pour les faiblesses connues<\/span><\/td>\n<\/tr>\n | Dependency List<\/span><\/td>\n | Afficher une liste des d\u00e9pendances de projet et des vuln\u00e9rabilit\u00e9s connues<\/td>\n<\/tr>\n | Dependency Scanning<\/span><\/td>\n | Analyse des d\u00e9pendances concernant les faiblesses connues<\/td>\n<\/tr>\n | Static Application Security Testing (SAST)<\/span><\/td>\n | Scan du\u00a0 code (analyse statique) pour les vuln\u00e9rabilit\u00e9s connues. C \/ C ++, Apex, .NET, Java, Go, JS, Python, PHP, Swift, TypeScript, NodeJS pris en charge et plus encore<\/td>\n<\/tr>\n | Dynamic Application Security Testing (DAST)<\/span><\/td>\n | Check des Application Web et sites Web vides pour d\u00e9tecter les vuln\u00e9rabilit\u00e9s connues<\/span><\/td>\n<\/tr>\n | Secret Detection\u00a0<\/span><\/td>\n | Scan \u05d2\u05d5 code et de l’historique (de git) pour trouver des secrets et les informations sensibles<\/span><\/td>\n<\/tr>\n | API Fuzzing<\/span><\/td>\n | Decouverte des bugs\u00a0 et des vuln\u00e9rabilit\u00e9s inconnus dans l’API Web (c’est-\u00e0-dire l’API que vous fournissez \u00e0 vos clients) \u00e0 l’aide de la technologie FUZZING<\/td>\n<\/tr>\n | Coverage Fuzzing<\/span><\/td>\n | D\u00e9tection de bugs et de vuln\u00e9rabilit\u00e9s qui ne sont parfois pas d\u00e9tect\u00e9s dans la phase d’assurance qualit\u00e9 (comme une entr\u00e9e inattendue et une entr\u00e9e al\u00e9atoire). Support de\u00a0 C \/ C ++, Go, Java, JS, Python et plus<\/td>\n<\/tr>\n | Security Dashboard<\/span><\/td>\n | \u00a0Vue centrale de toutes les conclusions dans tous les projets et groupes<\/span><\/td>\n<\/tr>\n | License Compliance<\/span><\/td>\n | D\u00e9tectetion\u00a0 des d\u00e9pendances open source dans votre code et savoir si le code et les r\u00e9pertoires dont nous d\u00e9pendons sont l\u00e9galement utilis\u00e9s (tels que GPL, BSD, Apache, MIT, etc.) comme\u00a0 \u00a0d\u00e9finis dans le projet\u00a0\u00a0<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n | Questions courantes:<\/p>\n
|