GitLabセキュリティダッシュボードとセキュリティセンター
- プラン: Ultimate
- 提供形態: GitLab.com、GitLab Self-Managed、GitLab Dedicated
セキュリティダッシュボード
セキュリティダッシュボードは、アプリケーションのセキュリティ対策状況を評価するために使用されます。GitLabは、プロジェクトで実行されるセキュリティスキャナーによって検出された脆弱性に関するメトリクス、評価、チャートのコレクションを提供します。セキュリティダッシュボードは、次のようなデータを提供します:
- グループ内のすべてのプロジェクトについて、30日、60日、または90日の期間にわたる脆弱性のトレンド
- 脆弱性の重大度に基づいた各プロジェクトのレターグレード評価
- 過去365日以内に検出された脆弱性の総数(重大度を含む)
セキュリティダッシュボードから提供されたデータは、セキュリティ対策を改善するためにどのような決定を下せるかについてのインサイトを提供するのに役立ちます。たとえば、365日のトレンドビューを使用すると、かなりの数の脆弱性がいつ導入されたかを確認できます。次に、それらの特定の日に行われたコードの変更を調べて根本原因分析を実行し、将来の脆弱性の導入を防ぐためのより良いポリシーを作成できます。
概要については、Security Dashboard - Advanced Security Testingをご覧ください。
バリューストリームダッシュボードの脆弱性のメトリクス
脆弱性のメトリクスは、組織のソフトウエアデリバリーワークフローのコンテキストでセキュリティエクスポージャーを理解するのに役立つValue Streams Dashboard比較パネルでも表示できます。
前提要件
セキュリティダッシュボードを表示するには、以下が必要です:
- グループまたはプロジェクトのデベロッパーロールを持っている必要があります。
- プロジェクトで構成されているセキュリティスキャナーが少なくとも1つ必要です。
- プロジェクトのデフォルトブランチで実行されるセキュリティスキャンが成功していること。
- プロジェクトで少なくとも1つの検出された脆弱性。
セキュリティダッシュボードには、デフォルトブランチで最新の完了したパイプラインからのスキャンの結果が表示されます。ダッシュボードは、デフォルトブランチで実行される完了したパイプラインの結果で更新されます。他のマージされていないブランチからのパイプラインで検出された脆弱性は含まれません。
セキュリティダッシュボードの表示
セキュリティダッシュボードは、プロジェクト、グループ、およびセキュリティセンターのレベルで表示できます。各ダッシュボードは、セキュリティセキュリティ対策状況の独自の視点を提供します。
プロジェクトセキュリティダッシュボード
プロジェクトセキュリティダッシュボードには、特定のプロジェクトについて、時間の経過とともに検出された脆弱性の総数が、最大365日分の履歴データとともに表示されます。ダッシュボードは、デフォルトブランチ内のオープンな脆弱性の履歴ビューです。オープンな脆弱性は、Needs triageまたはConfirmedステータスのもののみです(DismissedまたはResolved脆弱性は除外されます)。
プロジェクトのセキュリティダッシュボードを表示するには、次の手順に従います:
- 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。
- セキュリティ > セキュリティダッシュボードを選択します。
- 必要なものを絞り込んで検索します。
- 重大度でチャートを絞り込むには、凡例名を選択します。
- 特定の時間枠を表示するには、時間範囲ハンドル( )を使用します。
- チャートの特定の領域を表示するには、左端のアイコン( )を選択し、チャート全体をドラッグします。
- 元の範囲にリセットするには、Remove Selection(選択を削除)( )を選択します。
脆弱性チャートのダウンロード
ドキュメントやプレゼンテーションなどで使用するために、プロジェクトセキュリティダッシュボードから脆弱性チャートの画像をダウンロードできます。脆弱性チャートの画像をダウンロードするには:
- 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。
- セキュリティ > セキュリティダッシュボードを選択します。
- Save chart as an image(グラフを画像として保存)( )を選択します。
次に、SVG形式で画像をダウンロードするように求められます。
グループセキュリティダッシュボード
グループセキュリティダッシュボードは、グループとそのサブグループ内のすべてのプロジェクトのデフォルトブランチにある脆弱性の概要を提供します。グループセキュリティダッシュボードは、以下を提供します:
- 30日、60日、または90日の期間にわたる脆弱性のトレンド
- 最高重大度のオープンな脆弱性に応じた、グループ内の各プロジェクトのレターグレードレターグレードは、次の基準を使用して割り当てられます:
| グレード | 説明 |
|---|---|
| 金 | 1つ以上のcritical脆弱性 |
| D | 1つ以上のhighまたはunknown脆弱性 |
| C | 1つ以上のmedium脆弱性 |
| B | 1つ以上のlow脆弱性 |
| A | 脆弱性がゼロ |
グループセキュリティダッシュボードを表示するには:
左側のサイドバーで、検索または移動先を選択して、グループを見つけます。
セキュリティ > セキュリティダッシュボードを選択します。
時間経過による脆弱性の推移チャートにカーソルを合わせると、脆弱性に関する詳細が表示されます。
- 脆弱性のトレンドは、30日、60日、または90日の期間で表示できます(デフォルトは90日です)。
- 90日を超える集計データを表示するには、VulnerabilitiesCountByDay GraphQL APIを使用します。GitLabは365日間データを保持します。
プロジェクトのセキュリティ状態セクションの下にある矢印を選択して、特定のレターグレード評価に該当するプロジェクトを確認します:
- 特定の重大度の脆弱性がプロジェクト内でいくつ見つかったかを確認できます
- プロジェクト名を選択して、プロジェクトセキュリティダッシュボードに直接アクセスできます
セキュリティセンター
セキュリティセンターは、所属するすべてのプロジェクトの脆弱性を表示できる、構成可能な個人用スペースです。セキュリティセンターには最大1,000個のプロジェクトを追加できますが、プロジェクトリストはセキュリティセンター設定ページに最大100個のプロジェクトを表示します。検索フィルターを使用して、最初の100個のプロジェクトに表示されないプロジェクトを検索できます。
セキュリティセンターには以下が含まれます:
- グループセキュリティダッシュボード
- 脆弱性レポート
- 表示するプロジェクトを構成するための設定領域
セキュリティセンターの表示
セキュリティセンターを表示するには:
- 左側のサイドバーで、検索または移動先を選択します。
- あなたの作業を選択します。
- セキュリティ > セキュリティダッシュボードを選択します。
セキュリティセンターはデフォルトで空白です。少なくとも1つのセキュリティスキャナーで構成されているプロジェクトを追加する必要があります。
セキュリティセンターへのプロジェクトの追加
プロジェクトを追加するには:
- 左側のサイドバーで、検索または移動先を選択します。
- あなたの作業を選択します。
- セキュリティを展開する。
- 設定を選択します。
- プロジェクトを検索テキストボックスを使用して、プロジェクトを検索して選択します。
- プロジェクトを追加を選択します。
プロジェクトを追加すると、セキュリティダッシュボードと脆弱性レポートに、それらのプロジェクトのデフォルトブランチで見つかった脆弱性が表示されます。
セキュリティセンターからのプロジェクトの削除
セキュリティセンターには最大100個のプロジェクトが表示されるため、検索機能を使用してプロジェクトを削除する必要がある場合があります。プロジェクトを削除するには:
- 左側のサイドバーで、検索または移動先を選択します。
- あなたの作業を選択します。
- セキュリティを展開する。
- 設定を選択します。
- プロジェクトを検索テキストボックスを使用して、プロジェクトを検索します。
- ダッシュボードのプロジェクトを削除( )を選択します。
プロジェクトを削除すると、セキュリティダッシュボードと脆弱性レポートに、それらのプロジェクトのデフォルトブランチで見つかった脆弱性が表示されなくなります。
エクスポート
セキュリティダッシュボードにリストされている脆弱性の詳細を含むPDFファイルをエクスポートできます。
エクスポートのチャートには以下が含まれます:
- 時間経過による脆弱性のトレンド
- プロジェクトのセキュリティ状態
- プロジェクトのセキュリティダッシュボード
詳細をエクスポート
セキュリティダッシュボードにリストされているすべての脆弱性の詳細をエクスポートするには、エクスポートを選択します。
エクスポートされた詳細が利用可能になると、GitLabからメールが送信されます。エクスポートされた詳細をダウンロードするには、メール内のリンクを選択します。