Il team di GitLab ha rilasciato un aggiornamento della nota CI/CD platform. In questa nuova versione sono disponibili diverse funzionalità di DevSecOps, come ad esempio i Visual Review Tool, un set di strumenti dedicati alla review delle app, ed il Merge Train, un sistema di merge automatico delle modifiche.
Secondo il team di sviluppo tale aggiornamento rende GitLab 12.0 una piattaforma DevSecOps completa. Infatti da circa un anno gli sviluppatori del progetto sono all'opera per implementare funzionalità dedicate all'esecuzione delle metodologie DevOps.
Questo perché sempre più aziende stanno comprendendo l'importanza di un approccio simile durante la fase di sviluppo dei propri servizi o applicativi.
In GitLab 12.0 gli sviluppatori hanno deciso di unificare in un singola applicazione l'intero sistema di DevSecOps. I vantaggi di un simile approccio sono diversi:
- un singolo login elimina le richieste d'accesso per altri tool.
- Il context switching viene ridotto, migliorando il cycle time.
- Il lavoro è focalizzato in un singolo punto cosi da non dover cercare tra i vari tool le informazioni necessarie.
Nuove feature per la sicurezza
All'interno della CI/CD pipeline di Gitlab 12.0 sono stati inseriti diversi tool per garantire il rispetto delle norme di sicurezza durante lo sviluppo delle applicazioni.
- lo Static Application Security Testing (SAST) che si occupa di rilevare all'interno del codice sorgente e dei binari la presenza di possibili vulnerabilità prima dell'effettivo deployment.
- Il Dynamic Application Security Testing (DAST) che analizza le web App durante la loro esecuzione, ricercando runtime vulnerability ed eseguendo attacchi diretti contro le applicazioni analizzate in modo da testare i loro protocolli di sicurezza.
- Scansioni di sicurezza per garantire che l'ambiente di sviluppo non presenti vulnerabilità note.
- Il Dependency Scanning, che analizza le dipendenze esterne (come ad esempio le librerie Ruby) e si occupa di avvisare gli sviluppatori quando è stata rilevata una vulnerabilità nota all'interno di esse, consigliando anche l'update alle nuove versioni quando opportuno.
Oltre all'integrazione di questi nuovi tool è stata resa disponibile anche una nuova Security Dashboard, che racchiude al suo interno tutti i dati delle scansioni di sicurezza. Da tale pannello è possibile autorizzare la riparazione automatica delle vulnerabilità note tramite la funzionalità di Auto Remediation.
Via GitLab