GitLab、2023年度第1四半期にリリースされた新機能を発表

単一のアプリケーションでDevSecOpsプラットフォームを提供するGitLab（本社：米サンフランシスコ、読み方：ギットラボ、NASDAQ：GTLB、https://www.nasdaq.com/market-activity/stocks/gtlb）は、2023年度第1四半期（2023年2月～4月）にリリースされたGitLabの新機能を発表しました。

AIによる脆弱性緩和ガイダンス

GitLabの2023年グローバルDevSecOps調査レポート「Security Without Sacrifices（犠牲にしないセキュリティ）（https://about.gitlab.com/developer-survey/）」にて、DevSecOpsプラットフォームを使用していないセキュリティ担当者は、修正を行える人を探すのに苦労しがちで、脆弱性の分析結果の理解にも苦しんでいることがわかりました。そこで、特定のコードベースのコンテキストの中で脆弱性を修正する最善の方法を見つけやすくするために、大規模言語モデルの説明能力を生かしたGitLab AIによる脆弱性に関する助言を提供する実験的な機能をリリースしました。この機能は、基本的な脆弱性情報とユーザーのコードから得られた知見を組み合わせて助言をします。初期テストでは、脆弱性修正措置の決定までの時間短縮が大いに期待される結果が得られています。

 

この数か月の間に、開発者の生産性向上とソフトウェアデリバリーの効率化のためのさまざまなAI支援機能（https://about.gitlab.com/blog/tags.html#AI/ML）をリリースしました。

ライセンスポリシーの設定とソフトウェアライセンスのスキャンによるコンプライアンスの確保

不正ライセンスの使用によるライセンス違反または侵害は、多額の費用がかかる訴訟に発展したり、多くの開発者が問題のあるコードの除去に追われたりする事態を招く可能性があります。そこで、新しい改良型のライセンスコンプライアンススキャナー（https://about.gitlab.com/releases/2023/02/22/gitlab-15-9-released/#new-license-compliance-scanner）とライセンス承認ポリシー（https://docs.gitlab.com/ee/user/compliance/license_approval_policies.html）を最近リリースしました。新しいスキャナーは、適用するデュアルライセンスまたは複数のライセンスを含むパッケージからライセンス情報を抽出し、自動的に構文解析して500種類以上のライセンスを識別します。従来は20種類しか識別できませんでしたので、大幅な増加です。

ライセンス承認ポリシーは、未承認のライセンスが使用されるリスクを最小限に抑え、手作業でのコンプライアンス確保に要する時間と労力を削減するのに役立ちます。

個人アクセストークンの漏えい防止

最近の一連の攻撃（https://securityboulevard.com/2023/02/secrets-exposed-why-modern-development-open-source-repositories-spill-secrets-en-masse/）で、漏えいした個人アクセストークン（PAT）がソースコードに含まれていたことが問題の原因として指摘されました。GitLab Secret Detectionはこの問題を防止できます。開発者がPATをコードに誤ってコミットするリスクを軽減するために、パブリックGitLabリポジトリ内の漏えいしたPATを自動的に取り消す（https://about.gitlab.com/releases/2023/02/22/gitlab-15-9-released/#automatic-revocation-of-leaked-personal-access-tokens）ようにしました。この機能は、GitLabユーザーやユーザー組織が認証情報の漏えいを防止し、本番アプリケーションへのリスクを軽減するのに役立ちます。

セキュリティポリシーの自動適用

さまざまなプロジェクトやコードコミットにセキュリティポリシーを手動適用すると、多大な時間が必要になることがあります。ポリシー適用を自動化すれば、適切な承認なしにセキュリティルールが迂回されることを防止できます。セキュリティチームは、さまざまなチーム（QA、ビジネス、法務など）の複数の承認者による承認の義務付け、2段階承認プロセス、ポリシー対象外ライセンスの使用に関する例外の承認などのポリシールール（https://docs.gitlab.com/ee/user/application_security/policies/）を設定できます。設定したポリシーは、グループまたはサブグループレベルで複数の開発プロジェクトに適用でき、一元化された単一のルールセットを容易に維持することが可能になります。

セキュリティテストでの誤検出の防止

GitLab 2023グローバルDevSecOps調査レポートによると、セキュリティ担当者の不満の上位3項目に過剰な誤検出が入っています。そこで、DAST API Analyzer（https://docs.gitlab.com/ee/user/application_security/dast_api）の精度を改善し、誤検出を推定78%削減しました。これにより、DevSecOpsチームが真のセキュリティ脅威に焦点を合わせることが容易になりました2。

さらなるスピード、さらなるガードレールが続々登場

2023年のGitLabは、ユーザーがセキュアなコードを容易かつ効率的に提供できるようにするために、ユーザーのソフトウェア開発ライフサイクルにセキュリティを統合しやすくすることを目指して、意欲的なロードマップを掲げています。まもなくリリース予定の機能は次のとおりです。

• グループ/サブグループレベルの依存関係リスト（https://gitlab.com/groups/gitlab-org/-/epics/8090）：プロジェクトレベルの依存関係の管理は、何百件ものプロジェクトを抱える組織にとって問題となることがあるため、プロジェクトの依存関係を簡単に確認できるようにします。

• コンテナおよび依存関係の継続的スキャン（https://gitlab.com/groups/gitlab-org/-/epics/7886）：新しいセキュリティアドバイザリが公開された時点またはコードが変更された時点で自動スキャンを実行することにより、脆弱性検出の可視性と適時性を高めます。

• コンプライアンスフレームワーク管理ツール（https://gitlab.com/groups/gitlab-org/-/epics/9101）：コンプライアンスフレームワークを既存プロジェクトや複数のプロジェクトに同時に適用できるようにします。現在のところ、コンプライアンスフレームワークやポリシーはプロジェクトごとに個別に適用する必要があります。

• SBOMの取り込み（https://gitlab.com/groups/gitlab-org/-/epics/8024）：サードパーティツールからGitLabにCycloneDXファイルをインポートして、すべてのソフトウェア依存関係のソースを一元化できます。システム全体の可視性が向上し、実用的な知見を生み出すのに役立ちます。

■コメント – GitLab プロダクトマネジメント担当バイスプレジデント デイブ・スティア（Dave Steer）

技術チームは強いプレッシャーにさらされています。リソースの制約がある中で、イノベーションと顧客価値の提供を続けるためにアクセルを思い切り踏み続けなければなりません。それもソフトウェアサプライチェーンを保護しながらです。しかし、現代の最新開発環境では統合やアドオンが永遠に続くかのように思えます。

力学は冷酷で、セキュリティエンジニアは劣勢に立たされています。あるお客様の話によると、開発者70人に対し、セキュリティエンジニアはたった1人です。それと相まって予算も減少傾向にあります。GitLabの2023年グローバルDevSecOps調査レポートによると、85%の回答者がセキュリティ予算は横ばいか削減されていると答えています。ここにも、スピードと利便性がセキュリティとコンプライアンスに勝るという力学が働いています。

しかし、その力学が当たり前である必要はありません。

GitLabには基本的な信念があります。それは「ガードレールあってのスピード」です。AI技術やオートメーションソリューションはコード開発を加速させます。さらに、包括的なDevSecOpsプラットフォームと組み合わせた場合、あらゆる企業が必要とするセキュリティガードレールやコンプライアンスガードレールを生み出します。「ガードレールあってのスピード」とは、迅速なソフトウェアイノベーションの必要性とセキュアなソフトウェア開発の必要性のトレードオフはもうやめるべきということです。「ガードレールあってのスピード」は、AIやオートメーションの応用がコード作成を超えて広がることで初めて実現します。実際、先のグローバルDevSecOps調査レポートでは、開発者の62%がAI/MLを活用してコードをチェックしていると答えており、テスト活動にAI/MLを活用しているか、今後3年以内に活用したいと答えた開発者の割合も65%に上っています。

DevSecOpsチームが直面するリソース制約を考えると、オートメーションやAIは戦略的リソースになります。GitLabのDevSecOpsプラットフォームは、GitLabのオートメーション機能を使用してポリシーとコンプライアンスフレームワークの適用やセキュリティテストの実行を自動化したり、AIによる助言を提供したりすることでリソースを開放し、大きなギャップを埋めるのに役立ちます。

 この数か月の間に、この信念を現実のものにするとともに、お客様がオートメーションとその固有のメリットを利用しやすくするために、多くの新機能を導入しました。