极狐 GitLab 致力打造 DevSecOps 行业标准

人们总在试图更好地命名一个术语：有人提议 DevSecOps，有人推荐 SecDevOps，有人甚至建议完全放下 "sec"，因为它应该是无处不在的。极狐(GitLab)强烈推荐使用 DevSecOps，这寓意将安全置于 DevOps 工作的中心位置。虽然安全是显而易见的，也是流程中自然存在的一部分，但其的重要性足以让它成为每个人的责任。随着流程和政策的自动化，开发人员和安全专家可以更轻易的获取所需信息，以履行这一职责。

我们的 DevSecOps 平台是一个端到端的安全解决方案，它可以帮助你计划、创建、部署、保护和管理你的现代化软件和它所依赖的基础设施。极狐 GitLab 提供了必要的可见性和控制，以保护你的“软件创新工厂”及其交付物的完整性。

在 DevSecOps 与传统应用安全测试的演变方面，极狐 GitLab 一直是变革的催化剂。让我们来看看这种演变意味着什么：

安全测试

• 过往：安全测试是由安全专家使用他们自己的工具进行，通常是在开发周期的最后。

• 极狐 GitLab：安全测试在 CI 流水线内自动进行，当开发者还在对代码进行迭代时，测试结果就会同时交付。测试结果仅限于代码更改中引入的新漏洞，这使开发人员能够非常清楚地修复他们产生的安全缺陷，而无需应对积压已久的 bug 和技术债。

CI 和安全扫描器

• 过往：CI 脚本可能被用来调用安全扫描器，并将结果拉入 CI 流水线。然而，这两个工具是分开的，通常某些部分缺失并且高度依赖集成。CI 工具和扫描器的也因各不相同到许可而导致难以管理，特别是当它们按不同的变量（用户、应用程序、代码大小）收费时。

• 极狐 GitLab：单一平台，没有昂贵的集成需要维护，只需管理一个许可证即可。

修复措施

• 过往：安全专家必须不断跟踪关键漏洞（风险）的修复状态。调查结果在一个工具里，但修复工作则依靠开发团队内部急性，这使得两个团队处于持续的摩擦和低效的沟通状态。

• 极狐 GitLab：通过共享统一的工具，安全专家可以在他们的仪表板上看到特定漏洞的修复状态。而且，两个团队可以通过使用极狐 GitLab 议题进行合作，共同执行修复工作。

我们为我们对行业变革的影响和我们带来的进展感到自豪，并邀请您了解更多关于极狐GitLab安全和合规的能力和好处。

在 2021 年 Gartner 应用安全测试魔力象限中， GitLab（极狐 GitLab 是 GitLab 中国发行版）因其执行能力和完整愿景被认定为行业领先者。我们相信，这是对直接将扫描结果交到能够进行修复的人手中的价值的一种肯定。Gartner 在其魔力象限报告*中开宗明义地指出："现代化应用设计和 DevSecOps 的持续采用正在扩大 AST 的市场范围。安全和风险管理领导者可以通过在软件交付生命周期中无缝整合 AST 并使其自动化，来满足更紧张的交付期限要求，并测试更复杂的应用程序"。

极狐 GitLab 为开发者提供多种扫描类型的公司，包括 SAST、DAST、依赖项扫描、容器扫描、秘密检测、许可证合规、API 模糊测试和覆盖率引导的模糊测试。我们还提供依赖列表和漏洞管理。我们正在定期替换许多现有的应用安全供应商，不仅为开发团队增加价值，而且带来极狐 GitLab 新的扫描方法以满足现代应用架构的需求，从而为疲惫不堪的应用安全行业带来创新。

真正的 DevSecOps 代表了软件安全的新时代，其范围比传统的 App Sec 要广得多。我们相信极狐 GitLab 已经引领了市场的发展，并将持续这样做。

*Gartner 应用安全测试魔力象限，Dale Gardner, Mark Horvath, Dionisio Zumerle, 2021 年 5 月 27 日。

*本文翻译自 GitLab 博客GitLab is setting the standard for DevSecOps