关于devops:GitLab-凭借什么连续-3-年上榜-Gartner-应用程序安全测试魔力象限听听-GitLab-自己的分析

本文起源：about.gitlab.com
作者：Sandra Gittlen
译者：极狐(GitLab) 市场部内容团队

应用程序平安测试（AST）对于应用程序研发来说，是一个正在疾速倒退并且非常重要的畛域。DevOps 方法论提到：须要将测试集成到开发人员的工作流中。GitLab 置信在软件研发中，AST 越成熟，应用程序就会越平安，同时企业也可能更容易满足合规要求。置信 DevSecOps 平台化策略，也就是将平安嵌入到 DevOps 生命周期即从打算到上线全过程，可能比传统应用程序平安测试，提供更高的效率和价值。

2022 年 Gartner 应用程序平安测试魔力象限中，GitLab 位列挑战者象限。依据 Gartner 的说法：“撑持企业落地实际 DevSecOps 以及云原生转型，是 AST 市场倒退的次要驱动力。”

这是 GitLab 间断三年在 Gartner 应用程序平安测试魔力象限中取得认可。

“咱们很快乐看到，将平安嵌入 DevOps 工作流程这种独特办法，具备继续的发展势头。”GitLab 产品治理总监 Hillary Benson 示意，“咱们置信，挑战者魔力象限的认可，代表市场对 DevSecOps 办法和价值的深刻了解，这种办法赋能开发人员发现和修复破绽，并通过 DevOps 平台晋升便利性。”

GitLab 一体化 DevOps 平台提供了 DevOps 所需的自动化，以及平安专家所需的策略和破绽治理性能。极狐GitLab 作为 GitLab 中国发行版，极狐GitLab / GitLab 提供了一系列已集成的、可审查、可治理的扫描器，满足古代应用程序研发以及云原生环境下的平安合规需要。

独特的 AST 办法

GitLab 在应用程序平安畛域继续翻新。让咱们来看看，GitLab 和传统 AST 厂商有何不同。正是这些差别带来了应用一体化平台来实现 DevOps 和平安的泛滥益处。例如：

GitLab 将更全面的扫描集成到 CI 流水线中，以便构建出更具备交互性的测试环境。

这是一种独特的办法，有别于将产品重点放在基于工具的交互式 AST。在 GitLab 上，开发人员可能更加全面地理解安全漏洞的产生，这也让开发人员可能更高效地去解决这些平安问题。

同样，尽管 Gartner 分析师将重点放在相似拼写查看的轻量级 SAST 性能上，但咱们发现这些性能对于 GitLab 用户来说，并不是那么重要。当然，这也是因为 GitLab 将性能内置了。打个比方：咱们习惯于常常保留文件，这样编辑的文件就不会失落。开发人员开发软件时也在做同样的事件：变更被频繁 “提交” 到代码仓库。

点击 “提交” 按钮后，GitLab 会对代码变更做一次真正的 SAST 扫描，为开发人员提供了更及时和残缺的反馈。

DevOps 团队能够抉择启用 DAST 扫描，该扫描应用 GitLab 审核个性来评估合并前的变更。

并且，依赖项扫描、容器扫描、基础设施即代码以及更多其余的扫描，也会在点击提交按钮时进行。

此外，GitLab 还关注为 DevOps 团队提供对于破绽开掘和修复的培训教育。

▶ 极狐GitLab 将为开发者提供一系列清晰明了的培训，诸如如何缩小创立安全漏洞的危险等，有助于开发者学习正确的编码技能，而不是仅仅标记问题以待日后解决。敬请期待。

专一于合规

将合规左移并将其嵌入到软件开发生命周期中，也就是继续的软件合规性，是 GitLab 的优先事项。

“咱们赋能组织创立与其合规政策相符合的策略，并确保这些策略可能贯通到利用开发整个流程中。” Benson 说道，“你无需兼顾多个策略执行应用程序，只须要领有一个对整个生命周期的可见性视角。”

比方，公司能够制订精细化的合规性流水线策略，即要求特定我的项目中的每个 MR 都要进行 SAST 扫描和每个开发人员都无奈防止的 MR 审核。

“这些通用的管制状态和职责拆散，无效简化了软件平安审计，减速了应用程序部署。” Benson 补充道。

寰球当先企业抉择 GitLab

至今，GitLab 曾经领有 30000000+ 注册用户， 100000+ 企业实例，服务了包含富士通、西门子、喜利得、HackerOne、The Zebra 等寰球当先企业，帮忙客户充分利用一体化 DevSecOps 平台 ，实现更快、更高质量和更平安的开发和公布周期。

GitLab 应用程序平安测试有助于咱们在 GitLab 平安仪表板中清晰查看和剖析源代码破绽。它能够通过 Docker 轻松配置，在我的项目中创立新的合并申请后，立刻显示残缺的破绽报告，并依据要害、高、低、中等级别对破绽进行优先级排序，这有助于咱们团队有打算地专一于最重要的事件。

——高级软件工程师

GitLab 的应用程序测试性能对于扫描应用程序中的破绽十分有用，并且有多种测试性能供选择。咱们次要应用这些工具来扫描 Docker 容器、依赖项、源代码和 Web 应用程序的破绽。

—— Android 应用程序开发人员

咱们从应用 GitLab 开始，真正尝试引入开源文化，到目前为止，咱们真的胜利了。应用 CI/CD，咱们每个月有 50 万次构建。整个文化曾经齐全扭转了。

——Fabio Huser，西门子智能基础设施软件架构师