脆弱性スキャナーのメンテナンス
- プラン: Free、Premium、Ultimate
- 提供形態: GitLab.com、GitLab Self-Managed、GitLab Dedicated
以下の脆弱性スキャナーとそのデータベースは定期的に更新されます:
| セキュアスキャンツール | 脆弱性データベースの更新 |
|---|---|
| コンテナスキャン | ジョブは毎日実行され、アップストリームスキャナーからの最新の脆弱性データベースの更新で新しいイメージをビルドします。GitLabは、データベースが48時間以上経過した場合にエンジニアリングチームに通知する内部アラートを通じて、このジョブを監視します。詳細については、脆弱性データベースの更新を参照してください。 |
| 依存関係スキャン - Gemnasium | National Vulnerability Database(NVD)およびGitHub Advisory Databaseのデータを使用して1時間ごとに更新されるGitLab Advisory Databaseに依存します。 |
| 動的アプリケーションセキュリティテスト(DAST) | DASTアナライザーは定期的に更新されます。 |
| シークレット検出 | GitLabは検出ルールを保持し、コミュニティからのコントリビュートを受け付けます。関連する更新プログラムが利用可能な場合、スキャンエンジンは少なくとも月に1回更新されます。 |
| 静的アプリケーションセキュリティテスト(SAST) | スキャンルールのソースは、サポートされているプログラミング言語ごとに使用されるアナライザーによって異なります。GitLabは、Semgrepベースのアナライザーのルールセットを保持し、内部調査とユーザーフィードバックに基づいて定期的に更新します。他のアナライザーの場合、ルールセットはアップストリームのオープンソーススキャナーから供給されます。関連する更新プログラムが利用可能な場合、各アナライザーは少なくとも月に1回更新されます。 |
アナライザーの同じメジャーバージョンを使用するGitLabのバージョンでは、最新の脆弱性定義の恩恵を受けるためにそれらを更新する必要はありません。セキュリティツールはDockerイメージとしてリリースされます。それらを有効にするベンダーのジョブ定義は、セマンティックバージョニングに従ってメジャーリリースタグを使用します。ツールの新しいリリースごとに、これらのタグがオーバーライドされます。メジャーアナライザーバージョンでは、スキャンツールの最新バージョンが自動的に取得されますが、このアプローチにはいくつかの既知のイシューがあります。
既存の脆弱性に関する最新の脆弱性情報を入手するには、デフォルトブランチのパイプラインを再実行する必要がある場合があります。