前兩天我們看了 GitLab 的 Pre-build scanning 與 Post-build scanning 付費功能，今天休息一回合，先不看更多功能，我們一樣來閱讀原廠的 Product Direction，看看在產品發展上，目前 Security 功能已經進展到哪裡，又會往哪些方向前進。

今天來看這個頁面 Software Supply Chain Security Direction。

我個人覺得的重點如下：

• GitLab 依據客戶的回饋、常見的資安標準、以及產業分析，制定了一個自己的 Software Supply Chain Security（SSCS）框架。
• GitLab 認為 SSCS 要考慮五個面向
  • Source
  • Build
  • Consumption
  • Management Process
  • Tool Security
• 針對上述五個面向，分別有多個功能尚未內建於 GitLab，或已經有該項功能，但仍需要改進功能；這裡就幫大家直接條列出來。
  • Source
    • Internal Sources
      • Dependency protection rules
      • Controlled development environments
    • External Sources
      • Dependency risk analysis
      • Automated dependency updates
      • Dependency graph
      • Binary scanning of dependencies
      • Behavioral analysis of dependencies
      • Verification of provenance
      • Dependency firewall
  • Build
    • Build Execution
      • Machine identity verification for all sources
    • Provenance and Signing
      • Build output signing
      • Provenance/Attestation generation for build outputs
      • Release evidence generation
      • SBOM generation and management
  • Consumption
    • Binary Acceptance
      • Binary authorization enforcement to validate and verify provenance
    • Continuous Workload Protection
      • Least access network firewalling
      • Intrusion detection and prevention
      • Workload scanning
      • Host environment scanning and hardening
      • Stringent access control policies and audit logs
  • Management Process
    • Reporting on adherence to compliance standards
    • Enforcement of secure settings
    • Credential management
  • Tool Security
    • Audit logs
    • Access controls
    • Threat detection
• 針對 SSCS，GitLab 的產品策略依然與整個 GitLab 產品發展的方向一致，One platform + 內建（或自動整合）多種工具或功能，減少使用者需要自行跨多種工具做整合與操作。
• GitLab 目標希望能完全支援 Supply chain Levels for Software Artifacts (SLSA) framework 及 The Update Framework (TUF)
• GitLab 似乎對於 Sigstore，也保持部分觀望的態度
• GitLab 對於 CoSign 與 Grafeas 有興趣

從這些重點，可以看到 GitLab 有打算讓自己的產品，能夠吻合那些企業可能會參考的資安標準（這樣更好說服企業付錢）；而為了達到那個目標，其實還有很多功能尚未完成（意味著產品功能仍有很多發展空間）。與此同時，GitLab 依舊持續在市場及開源專案中尋找合適的合作夥伴。

如果你想要繼續追蹤 GitLab 在 Security 功能的未來發展，除了本文查看的頁面，在 Product Direction 中還有更多內容值得閱讀，例如 Product Section Direction - Security；另外也可以參考 The GitLab Handbook 的頁面 Security Assurance，以及該頁面之下的 Software-Bill-of-Materials (SBOM) Maturity Model and Implementation Plan，可以更了解 GitLab Sec Team 正在做哪些事情，以及下一步的計畫。

今天我們就看到這裡，明天繼續努力！

圖片來源 - 吉卜力工作室 https://www.ghibli.jp/works/kazetachinu/#&gid=1&pid=33

參考資料

• https://about.gitlab.com/direction/supply-chain/