iT邦幫忙

2024 iThome 鐵人賽
DAY 20
1
DevOps

就是工商,為什麼要使用付費版 GitLab?系列 第 20

Day 20:GitLab 的產品發展方向 - Software Supply Chain Security

16th鐵人賽 gitlab
127 瀏覽

  • 分享至 

  • xImage
    •  

前兩天我們看了 GitLab 的 Pre-build scanning 與 Post-build scanning 付費功能,今天休息一回合,先不看更多功能,我們一樣來閱讀原廠的 Product Direction,看看在產品發展上,目前 Security 功能已經進展到哪裡,又會往哪些方向前進。

今天來看這個頁面 Software Supply Chain Security Direction

我個人覺得的重點如下:

  • GitLab 依據客戶的回饋、常見的資安標準、以及產業分析,制定了一個自己的 Software Supply Chain Security(SSCS)框架。
  • GitLab 認為 SSCS 要考慮五個面向
    • Source
    • Build
    • Consumption
    • Management Process
    • Tool Security
  • 針對上述五個面向,分別有多個功能尚未內建於 GitLab,或已經有該項功能,但仍需要改進功能;這裡就幫大家直接條列出來。
    • Source
      • Internal Sources
        • Dependency protection rules
        • Controlled development environments
      • External Sources
        • Dependency risk analysis
        • Automated dependency updates
        • Dependency graph
        • Binary scanning of dependencies
        • Behavioral analysis of dependencies
        • Verification of provenance
        • Dependency firewall
    • Build
      • Build Execution
        • Machine identity verification for all sources
      • Provenance and Signing
        • Build output signing
        • Provenance/Attestation generation for build outputs
        • Release evidence generation
        • SBOM generation and management
    • Consumption
      • Binary Acceptance
        • Binary authorization enforcement to validate and verify provenance
      • Continuous Workload Protection
        • Least access network firewalling
        • Intrusion detection and prevention
        • Workload scanning
        • Host environment scanning and hardening
        • Stringent access control policies and audit logs
    • Management Process
      • Reporting on adherence to compliance standards
      • Enforcement of secure settings
      • Credential management
    • Tool Security
      • Audit logs
      • Access controls
      • Threat detection
  • 針對 SSCS,GitLab 的產品策略依然與整個 GitLab 產品發展的方向一致,One platform + 內建(或自動整合)多種工具或功能,減少使用者需要自行跨多種工具做整合與操作。
  • GitLab 目標希望能完全支援 Supply chain Levels for Software Artifacts (SLSA) framework 及 The Update Framework (TUF)
  • GitLab 似乎對於 Sigstore,也保持部分觀望的態度
  • GitLab 對於 CoSignGrafeas 有興趣

從這些重點,可以看到 GitLab 有打算讓自己的產品,能夠吻合那些企業可能會參考的資安標準(這樣更好說服企業付錢);而為了達到那個目標,其實還有很多功能尚未完成(意味著產品功能仍有很多發展空間)。與此同時,GitLab 依舊持續在市場及開源專案中尋找合適的合作夥伴。

如果你想要繼續追蹤 GitLab 在 Security 功能的未來發展,除了本文查看的頁面,在 Product Direction 中還有更多內容值得閱讀,例如 Product Section Direction - Security;另外也可以參考 The GitLab Handbook 的頁面 Security Assurance,以及該頁面之下的 Software-Bill-of-Materials (SBOM) Maturity Model and Implementation Plan,可以更了解 GitLab Sec Team 正在做哪些事情,以及下一步的計畫。

今天我們就看到這裡,明天繼續努力!

https://ithelp.ithome.com.tw/upload/images/20241004/20120986i8rfERwOPK.png
圖片來源 - 吉卜力工作室 https://www.ghibli.jp/works/kazetachinu/#&gid=1&pid=33

參考資料


上一篇
Day 19:Security 功能 - Post-build scanning
下一篇
Day 21:GitLab 的 AI 功能 Duo
系列文
就是工商,為什麼要使用付費版 GitLab?30
  1. 26
    Day 26:測試你的 GitLab 效能 Part2 - 執行效能測試!
  2. 27
    Day 27:測試你的 GitLab 效能 Part3 - GitLab Browser Performance Tool
  3. 28
    Day 28:為你的 GitLab 產出更豐富的假資料
  4. 29
    Day 29:GitLab 的 Quality Department
  5. 30
    Day 30:你有在分析你的 CI/CD Pipeline 執行效率嗎?
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22197
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙