Gitlab英雄边框模式左svg Gitlab英雄边框模式右svg

GitLab
vs
微焦点增强

决定装备

决定装备

总结

Fortify和GitLab Ultimate都提供了开源组件扫描以及静态和动态应用程序安全测试。Fortify在其SaaS产品中使用Sonatype进行开源扫描,作为OEM服务。新利18骗Fortify的前提集成了SonaType和BlackDuck的开源扫描前提,这两个都需要单独的许可和设置。

加固是一种成熟的产品。新利18骗Fortify提供了IAST(与DAST)和RASP,尽管它不提供集装箱扫描。尽管Fortify作为一个独立的产品具有优势,但它是开发者合并请求工作流之外的一个独立新利18骗流程。Fortify RASP产品,Ap新利18骗plication Defender,仅限于Java和。net应用程序。如果你想把不同的Fortify扫描仪的结果放在一起,那么Fortify安全中心(SSC)是必需的。

Fortify可以通过命令行和API集成很容易地集成到GitLab CI过程中。一个关键的区别是,Fortify还没有提供增量扫描,而GitLab清楚地显示基于差异的扫描结果,或自上次提交以来更改的代码。

GitLab对每个代码提交自动包括广泛的安全扫描,包括静态和动态应用程序安全测试、依赖项扫描、容器扫描、许可证管理、秘密检测和最近的模糊测试。结果在CI管道(合并请求)中提供给开发人员,而不需要集成。GitLab还在一个单独的仪表板上聚集并显示所有结果,包括在Group和Project级别上。

发现漏洞只是开始。将这些发现提交给开发人员,以便立即进行补救,这是向左转以降低成本和风险的关键。GitLab没有添加需要维护的集成。

特征比较
特性

静态应用程序安全性测试

GitLab允许在CI/CD管道中轻松运行静态应用程序安全测试(SAST);检查应用程序所包含的库中的易受攻击的源代码或众所周知的安全bug。结果随后显示在Merge Request和Pipeline视图中。此特性可作为汽车DevOps提供security-by-default。

了解关于静态应用程序安全测试的更多信息

秘密的检测

GitLab允许您在CI/CD管道中执行秘密检测;检查无意中提交的秘密和凭据。结果随后显示在Merge Request和Pipeline视图中。此特性可作为汽车DevOps提供security-by-default。

了解更多关于秘密检测

依赖扫描

GitLab自动检测应用程序包含的库中已知的安全错误,保护应用程序不受影响动态使用的依赖项的漏洞的影响。结果随后显示在Merge Request和Pipeline视图中。此特性可作为汽车DevOps提供security-by-default。

了解有关依赖项扫描的更多信息

动态应用程序安全测试

一旦应用程序在线,GitLab允许在CI/CD管道中运行动态应用程序安全测试(DAST);您的应用程序将被扫描,以确保XSS或破坏的身份验证缺陷等威胁不会影响它。结果随后显示在Merge Request和Pipeline视图中。此特性可作为汽车DevOps提供security-by-default。

了解有关容器应用程序安全性的更多信息

交互式应用程序安全性测试

IAST结合静态和动态应用程序安全测试方法的元素,以提高结果的整体质量。IAST通常使用代理来检测应用程序,以监视库调用等。GitLab还没有提供这个功能。

脆弱性管理

GitLab的漏洞管理是为了确保资产和应用程序被扫描出漏洞。它还包括记录、管理和减轻这些漏洞的过程。

漏洞管理有助于识别资产和应用程序代码中有意义的漏洞集,可以由整个团队(不仅仅是安全组织)减轻、管理和处理这些漏洞。它还为系统团队提供了一个统一的接口,用于管理来自~“devops::secure”阶段的结果,因此总有一个真实的来源和一个地方来管理安全结果。

了解有关漏洞管理的更多信息

云本地网络防火墙

云本地网络防火墙提供了容器级网络微分段,隔离了容器网络通信,限制了特定容器或微服务的“爆炸半径”。感知容器的虚拟防火墙可以识别集群中应用程序组件之间的有效流量,并通过阻止攻击者在已经破坏了一部分环境的情况下通过您的环境移动来限制损害。

了解更多关于集装箱网络安全的信息

集装箱扫描

当为您的应用程序构建Docker映像时,GitLab可以运行安全扫描,以确保在您的代码所在的环境中没有任何已知的漏洞。结果随后显示在Merge Request和Pipeline视图中。此特性可作为汽车DevOps提供security-by-default。

了解关于容器扫描的更多信息

许可遵从性

检查依赖项的许可是否与应用程序兼容,并批准或拒绝它们。结果随后显示在Merge Request和Pipeline视图中。

了解更多关于许可证遵从性的信息

按需动态应用程序安全测试

没有理由等待下一次CI管道运行来查明您的站点是否存在漏洞,或者重现以前发现的漏洞。GitLab提供使用随需应变动态应用程序安全测试(DAST)扫描正在运行的应用程序,独立于代码更改或合并请求。

了解更多关于按需DAST

按需DAST扫描的站点和扫描仪配置文件

使用按需DAST扫描快速重用配置文件,而不是每次需要运行扫描时都重新配置扫描。将不同的扫描配置文件与站点配置文件混合在一起,可以快速执行覆盖应用程序和API的不同区域或深度的扫描。

了解有关容器应用程序安全性的更多信息