美國政府為了確保軟體產品更高安全性的措施迎來了新的一年。了解 GitLab 為配合這項關鍵工作所做的努力。
2023年4月13日,美國網路安全和基礎設施安全域 (CISA) 首次了發佈「安全設計軟體保護計劃」。該倡議敦促所有軟體製造商採取必要措施,確保他們交付的產品在設計上實際上是安全的。而我們DevOps Tec.所銷售代理之GitLab也立即做了反應,Gitlab迅速評估了他們與該計劃的一致性,並在過去一年中持續性的按照 CISA 的指導方針進行創新。
CISA 的 Secure by Design 引入了三項軟體安全原則
1. 掌控客戶安全成果。
2. 擁抱徹底的透明度(transparency)和問責制(accountability)。
3. 建立組織結構和領導力以實現這些目標。
一年的政府指導
美國政府在過去一年中制定了反映「安全源於設計」主題的重要指南。以下是其中的一些亮點:
| 2023 年 8 月:ONCD與其他幾個機構合作啟動了OS3i計劃,以優先考慮與開源軟體安全相關的重點領域。
| 2023 年 8 月:NIST生產了SP 800-204D,為DevSecOps CI/CD管道提供實用的軟體供應鏈安全策略。
| 2023 年 10 月:CISA發佈了 Secure by Design 文件的第二次反覆運算。
| 2023 年 10 月:拜登政府發佈了AI行政命令。
| 2023 年 12 月:CISA制定了記憶體安全路線圖指南。
| 2024 年 2 月:NIST發佈了網路安全框架2.0。
| 2024 年 3 月:CISA和 OMB 發佈了安全軟體開發證明表,並打開了一個用於收集證明的儲存庫。
GitLab 如何隨著 Secure by Design 計劃的發展而發展
在過去的一年裡,GitLab 也開始與安全設計計劃保持一致:
| GitLab 簽署了 Secure by Design 承諾書:
安全源於設計的概念與 GitLab 的核心價值觀非常吻合。作為最全面的 AI 驅動的DevSecOps平台,GitLab 堅定不移地支援 CISA 向軟體製造商灌輸安全設計思維的努力。
|安全預設性(Secure by default)實踐:
GitLab 開發了具有自定義使用者角色和可自定義許可權的使用者使用權限。Token、API Service Account和Certificate的管理一直是全年持續改進和更嚴格的身份驗證安全功能的重點。
|安全的軟體開發實踐:
隨著每個版本的發佈,GitLab都會逐步增強內建的安全分析工具的掃描準確性、覆蓋範圍和功能。
|安全的業務實踐:
增強Audit追蹤能力和事件流設計,幫助貴司管理團隊可以在Gitlab單一平台上,為整個 SDLC開發流程中提供了責任制。由於增強了策略管理、工作流程自動化、通過實現了資訊透明化以及資料的可匯出性,貴司資安團隊現在將能夠更好地主動追蹤系統安全性。
GitLab 的 Secure by Design 新功能
並且Gitlab也提供了以下是一些與安全設計相一致的功能:
1. SBOMs:
GitLab 的動態軟體物料清單重點改進了 SBOM 的生成,同時增加了第三方 SBOM 匯入功能。這也導致了組合 SBOM 的能力,以及為標準化 SBOM 元件提供完整證明的能力。
跨專案依賴關係可見性以及依賴關係圖等增強功能可以更好地大規模查看SBOM風險。在過去的一年中,還增加了對SBOM的持續漏洞掃描,將可以為未持續開發的專案提供對緊急風險的持續監控。
我們將在下期提供更多關於SBOMs的資訊,歡迎關注我們官網最新的更新。
2. 漏洞管理:
並且隨著 GitLab 產品更新提高了對大規模漏洞的可見性,增加了過濾的靈活性,並添加了修復詳細資訊選項,因此在漏洞管理方面可以看到顯著的改進。並且可以借助Gitlab的AI 驅動功能套件 - GitLab Duo,AI 輔助漏洞修復向前邁出了一大步。
結論
GitLab 通過創建GitLab信任中心和 GitLab AI透明度中心,繼續實踐當前Gitlab透明度的價值。隨著 Secure by Design進入第二年,我們期待可以透過Gitlab為台灣的使用者提供更安全的軟體開發。
想了解更多更多關於Gitlab的資訊和功能,或者有任何針對Gitlab的需求和疑問,DevOps Tec.專業顧問團隊歡迎您來信或來電洽詢!
#DevOpsTec #GitLab #Partner #Taiwan #OpenSource #Premium #Ultimate #CICD #DevSevOps #Platform #Software #ProductFeatures #Teams #Enterprises #Workflow #Cloud #Secure #Design #CISA #AI #SBOM #Transparency #Accountability #Audit #API
Comments