Gitlab英雄边框模式左svg Gitlab英雄边框模式右svg

GitLab
vs
SonaType联系平台

决定装备

决定装备

Sonatype Nexus平台由多个产品组成,有助于Sonatype Nexus的安全能力。新利18骗这些产品是N新利18骗exus Lifecycle, Nexus Auditor, Nexus Firewall, Nexus Repository Pro和Nexus Intelligence服务。在应用程序安全领域,Sonatype Nexus扫描开源组件的安全漏洞,扫描容器并提供许可证管理。Fortify依赖于Sonatype进行依赖扫描。

GitLab Ultimate在每次代码提交时自动包括广泛的安全扫描,包括静态和动态应用程序安全测试,以及依赖项扫描、容器扫描和许可证管理。

对于打包部署,Sonatype和GitLab都提供了容器注册表,但Sonatype也提供了一个完整的二进制存储库,以Nexus repository的形式(在OSS和Pro中都可用)。

特征比较
特性

静态应用程序安全性测试

GitLab允许在CI/CD管道中轻松运行静态应用程序安全测试(SAST);检查应用程序所包含的库中的易受攻击的源代码或众所周知的安全bug。结果随后显示在Merge Request和Pipeline视图中。此特性可作为汽车DevOps提供security-by-default。

了解关于静态应用程序安全测试的更多信息

秘密的检测

GitLab允许您在CI/CD管道中执行秘密检测;检查无意中提交的秘密和凭据。结果随后显示在Merge Request和Pipeline视图中。此特性可作为汽车DevOps提供security-by-default。

了解有关秘密检测的更多信息

依赖扫描

GitLab自动检测应用程序包含的库中已知的安全错误,保护应用程序不受影响动态使用的依赖项的漏洞的影响。结果随后显示在Merge Request和Pipeline视图中。此特性可作为汽车DevOps提供security-by-default。

了解有关依赖项扫描的更多信息

动态应用程序安全测试

一旦您的应用程序在线,Gitlab允许在CI / CD管道中运行动态应用安全测试(DAST);您的应用程序将被扫描以确保XSS或损坏的身份验证缺陷的威胁不会影响它。结果随后显示在Merge Request和Pipeline视图中。此特性可作为汽车DevOps提供security-by-default。

了解有关容器应用程序安全性的更多信息

交互式应用程序安全性测试

IAST结合静态和动态应用安全测试方法的元素来提高结果的整体质量。iAST通常使用代理商来仪器将应用程序监视,以监控库呼叫等。Gitlab尚未提供此功能。

云本机网络防火墙

云本地网络防火墙提供了容器级网络微分段,隔离了容器网络通信,限制了特定容器或微服务的“爆炸半径”。感知容器的虚拟防火墙可以识别集群中应用程序组件之间的有效流量,并通过阻止攻击者在已经破坏了一部分环境的情况下通过您的环境移动来限制损害。

了解更多关于集装箱网络安全的信息

集装箱扫描

当为您的应用程序构建Docker映像时,GitLab可以运行安全扫描,以确保在您的代码所在的环境中没有任何已知的漏洞。结果随后显示在Merge Request和Pipeline视图中。此特性可作为汽车DevOps提供security-by-default。

了解关于容器扫描的更多信息

许可遵从性

检查依赖项的许可是否与应用程序兼容,并批准或拒绝它们。结果随后显示在Merge Request和Pipeline视图中。

了解更多关于许可证遵从性的信息

按需动态应用程序安全测试

没有理由等待下一个CI管道运行,以查找您的网站是否易受攻击或重现先前找到的漏洞。Gitlab提供使用按需动态应用安全测试(DAST)的运行应用程序,独立于代码更改或合并请求。

了解更多关于按需DAST

按需DAST扫描的站点和扫描仪配置文件

使用按需DAST扫描快速重用配置文件,而不是每次需要运行扫描时都重新配置扫描。将不同的扫描配置文件与站点配置文件混合在一起,可以快速执行覆盖应用程序和API的不同区域或深度的扫描。

了解有关容器应用程序安全性的更多信息