正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

APIセキュリティ

  • プラン: Ultimate
  • 提供形態: GitLab.com、GitLab Self-Managed、GitLab Dedicated

APIセキュリティとは、ウェブApplication Programming Interfaces(APIs)を不正なアクセス、誤用、攻撃から保護し、セキュリティを確保するために講じられる対策を指します。APIは、アプリケーションが相互に連携し、データを交換することを可能にするため、最新のアプリケーション開発において重要な要素です。しかし、適切に保護されていない場合、攻撃者にとって魅力的であり、セキュリティ上の脅威に対して脆弱になります。このセクションでは、GitLabの機能のうち、アプリケーションにおけるWeb APIのセキュリティを確保するために使用できるものについて説明します。議論されている機能の一部はWeb APIに特化しており、その他の機能はWeb APIアプリケーションでも使用される一般的なソリューションです。

  • SASTは、アプリケーションのコードベースを分析することで、脆弱性を特定します。
  • 依存関係スキャンは、既知の脆弱性(例えばCVE)について、プロジェクトのサードパーティ依存関係をレビューします。
  • コンテナスキャンは、コンテナイメージを分析して、既知のOSパッケージの脆弱性とインストールされている言語の依存関係を特定します。
  • API Discoveryは、REST APIを含むアプリケーションを調査し、そのAPIに対するOpenAPI仕様を推測します。OpenAPI仕様ドキュメントは、他のGitLabセキュリティツールによって使用されます。
  • APIセキュリティテストアナライザーは、Web APIの動的な解析セキュリティテストを実行します。これは、OWASP Top 10を含む、アプリケーション内のさまざまなセキュリティ脆弱性を特定できます。
  • APIファジングは、Web APIのファズテストを実行します。ファズテストは、以前は知られていなかったアプリケーション内の問題、およびSQLインジェクションのような従来の脆弱性タイプにマップされない問題を検出します。