GitLab、DevSecOps機能の強化の一環としてファジング・ソリューションの統合を完了

DevOpsライフサイクルに対応するオールインワンアプリを提供するGitLab（https://about.gitlab.com/）は本日、プロトコルのファズテストおよびAPIに特化したDAST (動的アプリケーション・セキュリティ・テスト) を提供するセキュリティ・ソフトウェア企業のPeach Techと、カバレッジ 誘導型で継続的なファズテストソリューションを提供するFuzzitの統合を完了したことを発表しました。

今年6月に買収したPeach TechとFuzzitのGitLabへの完全な統合により、継続的なファジング、カバレッジ誘導型ファズテスト、Web  APIファズテストなどの機能がユーザーに提供されることで、開発者がコードのイテレーションを続けている間に、結果が開発者に直接提供されるようになります。これまで、ファジングテストの結果を得るのは難しい面があったのですが、Peach TechとFuzzitがGitLabと統合したことで、ファズテストをワークフローに取り入れることが可能となり、開発チームとセキュリティチームの両者がその大きな利点を有意義かつ実用的な方法で活かすことが容易になります。

The Linux Foundationの最近のレポート「Core Infrastructure Initiative FOSS Contributor Survey November 2020」では、セキュアなソフトウェア開発に関する正式なトレーニングを受けたと答えた調査対象者は、全体のわずか39%にとどまりました。最も高い評価を付けた回答者については、そのトレーニングにバグ/セキュリティ修正、無料のセキュリティ監査、セキュリティ・ツールの追加方法の簡素化、セキュリティに関するコースが含まれていたとのことです。コードが開発者の手から離れる前にファズテストやその他スキャンの結果を提供することが、トレーニングにおける非常に重要な要素と言えます。開発者が生み出したばかりのセキュリティ上の欠陥を即座に発見できるようになり、脆弱性の原因や自身の関与の有無に思い悩む必要がなくなるためです。

GitLabのセキュリティ・プロテクトステージ製品担当ディレクターのデイビッド・デサント (David DeSanto) は、次のように述べています。「セキュリティがDevOpsプロセスから切り離された別のステップと見なされることがなくなります。ファジングテクノロジーの完全な統合により、GitLabは、開発チームやセキュリティチームがカバレッジ誘導型ファズテストとAPIファズテストの両方の手法を、ソフトウェア開発ライフサイクルのずっと早い段階に容易に組み込むことができるようにします。開発者は、DevSecOpsのベスト・プラクティスを簡単に採用するとともに、コード・コミットの時点で生まれているセキュリティ脆弱性を把握することが可能になります。これにより、セキュリティに携わるチーム間での緊密なコラボレーションが実現し、組織全体のセキュリティ・リスクを抑えることができます」

ファズテストは目新しいものではありませんが、最近のGitLabレポートの調査対象者は、81%がその重要性を確信していると答えています。その反面、多くの人がファズテストのセットアップと自社のCIシステムへの統合を難しいと感じていることから、ファジングを実際に利用していると答えたのはわずか36%でした。潜在的な脅威や脆弱性による攻撃可能領域の拡大に伴うエンタープライズ・セキュリティ上の懸念が増大していることから、既存のGitLabワークフローにファズテストを組み込むことで、アプリケーションやサービスのビジネス・ロジックにおけるセキュリティ上の問題や脆弱性を発見できる、包括的なDevSecOpsを実現して組織をサポートします。また、ファジングは、静的アプリケーション・セキュリティ・テスト (SAST) や動的アプリケーション・セキュリティ・テスト (DAST)といった他の形式のアプリケーション・セキュリティ・テストを補完します。SASTやDASTが既知の脆弱性の有無を確認するのに対し、ファズテストは各アプリケーションに固有の脆弱性で、既存の共通脆弱性識別子 (CVE) によって識別できないものを見つけ出します。

GitLabのシンディ・ブレイク (Cindy Blake) は、次のように述べています。「セキュリティチームにとって共通の課題は、いかに自動化されたセキュリティ・テストをDevOps CIパイプラインに組み込むことで、プロジェクトチームが規定された一連のテストに従うようにすると同時に、セキュリティ・ポリシーが遵守されるようにするかということです。GitLabのUltimateプランとGoldプランは、この作業を簡素化します。テンプレートをセットアップして、一貫した方法でプロジェクトに適用するとともに、例外も定義できます。」

Peach TechとFuzzitのテクノロジーの導入が完了したことで、GitLab Secureユーザーは、セキュリティ・テストのAuto DevOpsのデプロイから脆弱性の管理や修正まで、これまでにも増して包括的で完全に統合されたセキュリティ・ソリューションが手に入ります。ファジングおよびその他すべてのGitLabのスキャン機能 (DAST、SAST、依存関係スキャン、コンテナ・スキャン、機密情報の検出、ライセンス・コンプライアンス) が、複雑なAPIやプラグインを必要とせず、CIパイプライン内ですぐに利用できるようになります。この完全統合型のアプローチによって、取得したファジングに関する知的財産を活用してさらなるイノベーションが可能になったことで、GitLabは、DASTに再生機能を加えて脆弱性の発生過程を容易に再現できるようにするほか、ファズテストの結果を相互に関連付けて、GitLabのすでに業界をリードしているSAST機能の忠実度を高める予定です。

ファズテストに関する今後の具体的な計画には、ファズテストをカスタマイズして、WebアプリやAPIだけでなく、新たなユース・ケースに対応できるようファズテストを拡張したいと考えているユーザー向けの高度な構成オプションなどがあります。ファズテストの成熟を目指すGitLabの計画についての詳細は、こちら（https://about.gitlab.com/direction/secure/fuzz-testing/fuzz-testing/）で確認できます。

本プレスリリースは、米国カリフォルニア州で2020年11月19日（現地時間）に発表したプレスリリースの日本語抄訳版です。英語全文はこちら：https://about.gitlab.com/press/releases/2020-11-19-gitlab-completes-integration-of-fuzzing-solutions.html

 

GitLabについて
GitLabは、DevOpsのライフサイクル全般をカバーするオールインワンのアプリケーションとして、ゼロから構築されたDevOpsプラットフォームです。製品、開発、品質保証、セキュリティおよびオペレーションチームが同一プロジェクト上で同時に作業を行うことを可能にします。DevOpsのライフサイクル全体を通じて、オールインワンのデータストア、UI、許可モデルを提供し、共同作業の効率化と集中的な作業を可能にし、サイクル時間の大幅な削減を実現します。GitLabはオープンソースベースで構築されており、数千人のディベロッパーや数百万人のユーザーから成るコミュニティの力で、DevOpsに絶えず新たなイノベーションをもたらしています。Ticketmaster、Jaguar Land Rover、NASDAQ、Dish Network、Comcastをはじめ、スタートアップから世界的大手企業に至るまで、100,000以上の顧客がGitLabに信頼を寄せ、素早く優れたソフトウェアを作り出しています。GitLabは2014年から完全リモートワークを実践し、68以上の国に1,300人以上の従業員を擁しています。