致力打造DevSecOps 行业标准

雨后彩虹呀

致力打造DevSecOps 行业标准

人们总在试图更好地命名一个术语：有人提议DevSecOps，有人推荐SecDevOps，有人甚至建议完全放下 "sec"，因为它应该是无处不在的。极狐(GitLab)强烈推荐使用DevSecOps，这寓意将安全置于DevOps工作的中心位置。虽然安全是显而易见的，也是流程中自然存在的一部分，但其的重要性足以让它成为每个人的责任。随着流程和政策的自动化，开发人员和安全专家可以更轻易的获取所需信息，以履行这一职责。

我们的DevSecOps平台是一个端到端的安全解决方案，它可以帮助你计划、创建、部署、保护和管理你的现代化软件和它所依赖的基础设施。极狐GitLab提供了必要的可见性和控制，以保护你的“软件创新工厂”及其交付物的完整性。

在DevSecOps与传统应用安全测试的演变方面，极狐GitLab一直是变革的催化剂。让我们来看看这种演变意味着什么：

安全测试
过往：安全测试是由安全专家使用他们自己的工具进行，通常是在开发周期的最后。

极狐GitLab：安全测试在CI流水线内自动进行，当开发者还在对代码进行迭代时，测试结果就会同时交付。测试结果仅限于代码更改中引入的新漏洞，这使开发人员能够非常清楚地修复他们产生的安全缺陷，而无需应对积压已久的bug和技术债。

CI和安全扫描器
过往：CI脚本可能被用来调用安全扫描器，并将结果拉入CI流水线。然而，这两个工具是分开的，通常某些部分缺失并且高度依赖集成。CI工具和扫描器的也因各不相同到许可而导致难以管理，特别是当它们按不同的变量（用户、应用程序、代码大小）收费时。

极狐GitLab：单一平台，没有昂贵的集成需要维护，只需管理一个许可证即可。

修复措施
过往：安全专家必须不断跟踪关键漏洞（风险）的修复状态。调查结果在一个工具里，但修复工作则依靠开发团队内部急性，这使得两个团队处于持续的摩擦和低效的沟通状态。

极狐GitLab：通过共享统一的工具，安全专家可以在他们的仪表板上看到特定漏洞的修复状态。而且，两个团队可以通过使用极狐GitLab议题进行合作，共同执行修复工作。

我们为我们对行业变革的影响和我们带来的进展感到自豪，并邀请您了解更多关于极狐GitLab安全和合规的能力和好处。

在2021年Gartner应用安全测试魔力象限中， GitLab（极狐GitLab是GitLab的中国发行版）因其执行能力和完整愿景被认定为行业领先者。我们相信，这是对直接将扫描结果交到能够进行修复的人手中的价值的一种肯定。Gartner在其魔力象限报告*中开宗明义地指出："现代化应用设计和DevSecOps的持续采用正在扩大AST的市场范围。安全和风险管理领导者可以通过在软件交付生命周期中无缝整合AST并使其自动化，来满足更紧张的交付期限要求，并测试更复杂的应用程序"。 极狐GitLab为开发者提供多种扫描类型的公司，包括SAST、DAST、依赖项扫描、容器扫描、秘密检测、许可证合规、API模糊测试和覆盖率引导的模糊测试。我们还提供依赖列表和漏洞管理。我们正在定期替换许多现有的应用安全供应商，不仅为开发团队增加价值，而且带来极狐GitLab新的扫描方法以满足现代应用架构的需求，从而为疲惫不堪的应用安全行业带来创新。

真正的DevSecOps代表了软件安全的新时代，其范围比传统的App Sec要广得多。我们相信极狐GitLab已经引领了市场的发展，并将持续这样做。

CI/CD工具，CI工具相关资讯可以参考官网，极狐信息技术(湖北)有限公司简称极狐(GitLab)，秉承“核心开放(Open-core)” 原则，结合全球领先的DevOps技术与国产化自研创新和定制化服务，致力于为中国用户提供一站式覆盖软件开发生命周期的开放一体化DevOps平台。极狐GitLab拥有GitLab, Inc.独家知识产权和品牌授权，基于GitLab EE版本每月同步更新，并在此基础之上加入我们为国内用户定制的功能特性。

以“开源开放，人人贡献”为愿景，极狐(GitLab)的价值观是：协作(Collaborate)、交付(Results)、高效(Efficiency)、多样(Diversity)、包容·归属感(Inclusion & Belonging)、迭代(Iteration)、透明(Transparency)，这些构成了我们的企业文化——CREDIT。

我们相信，世界上的每个人都可以为社区做贡献。我们肩负的使命是将所有创意工作从“只读”改为“可读写”。当每一个人都能参与其中，我们将为人类社会的发展创新作出贡献。

通过极狐GitLab，人人都能参与贡献。