GitLabは、2023年度第1四半期(2023年2~4月)にリリースされた「GitLab」の新機能を発表した。
AIによる脆弱性緩和ガイダンス
大規模言語モデルの説明能力を生かした「GitLab AI」によって、脆弱性に関する助言を提供。同機能では、基本的な脆弱性情報と、ユーザーのコードから得られた知見を組み合わせて助言するという。
ライセンスポリシーの設定とソフトウェアライセンスのスキャンによるコンプライアンスの確保
ライセンスコンプライアンススキャナーは、適用するデュアルライセンスまたは複数のライセンスを含むパッケージからライセンス情報を抽出。自動的に構文解析し、500種類以上のライセンスを識別するという。また、ライセンス承認ポリシーは、未承認のライセンスが使用されるリスクを最小限に抑え、手作業でのコンプライアンス確保に要する時間と労力を削減するのに役立つとしている。
個人アクセストークンの漏えい防止
「GitLab Secret Detection」では、開発者がPATをコードに誤ってコミットするリスクを軽減するために、パブリックGitLabリポジトリ内の漏えいしたPATを自動的に取り消すことが可能。GitLabユーザーやユーザー組織が認証情報の漏えいを防止し、本番アプリケーションへのリスクを軽減するのに役立つという。
セキュリティポリシーの自動適用
セキュリティチームは、様々なチーム(QA、ビジネス、法務など)における複数の承認者による承認の義務付け、2段階承認プロセス、ポリシー対象外ライセンスの使用に関する例外の承認などのポリシールールを設定可能。設定したポリシーは、グループまたはサブグループレベルで複数の開発プロジェクトに適用でき、一元化された単一のルールセットを維持できるとしている。
セキュリティテストでの誤検出の防止
「DAST API Analyzer」の精度を改善し、誤検出を推定78%削減。これにより、DevSecOpsチームがセキュリティ脅威に焦点を合わせることが可能だという。
なお、同社は、下記機能をまもなくリリースする予定だとしている。
- グループ/サブグループレベルの依存関係リスト:プロジェクトの依存関係を確認可能
- コンテナおよび依存関係の継続的スキャン:新たなセキュリティアドバイザリが公開された時点またはコードが変更された時点で自動スキャンを実行。脆弱性検出の可視性と適時性を高める
- コンプライアンスフレームワーク管理ツール:コンプライアンスフレームワークを既存プロジェクトや複数のプロジェクトに同時に適用可能
- SBOMの取り込み:サードパーティツールからGitLabにCycloneDXファイルをインポート。すべてのソフトウェア依存関係のソースを一元化できる
【関連記事】
・GitLabとOracleが提携、AIと機械学習に関する機能拡大へ
・GitLab、Opstrace買収でDevOpsプラットフォームを拡張へ
・GitLabとIBM、Red Hat OpenShiftを活用しDevOpsを支援
