セキュリティインベントリ
- プラン: Ultimate
- 提供形態: GitLab.com、GitLab Self-Managed、GitLab Dedicated
セキュリティインベントリを使用して、保護する必要がある資産を視覚化し、セキュリティを改善するために必要なアクションを理解します。セキュリティにおける一般的なフレーズは、「見えないものは保護できない」です。セキュリティインベントリは、組織のトップレベルグループのセキュリティ対策状況に対する表示レベルを提供し、カバレッジのギャップを特定するのに役立ち、効率的なリスクベースの優先順位付けの決定を可能にします。
セキュリティインベントリは以下を示します:
- グループ、サブグループ、およびプロジェクト。
- スキャナーがどのように有効になっているかにかかわらず、各プロジェクトのセキュリティスキャナーのカバレッジ。ツールのカバレッジは、デフォルトブランチで最も新しいパイプラインのスキャンステータスを反映します。セキュリティスキャナーには以下が含まれます:
- 静的アプリケーションセキュリティテスト(SAST)
- 依存関係スキャン
- コンテナスキャン
- シークレット検出
- 動的アプリケーションセキュリティテスト(DAST)
- Infrastructure as Code(IaC)スキャン
- 各グループまたはプロジェクトにおける重大度レベル別にソートされた脆弱性の数。
エピック16939のセキュリティインベントリの開発を追跡します。この機能の開発が継続されるように、フィードバックをお寄せください。
セキュリティインベントリを表示
前提条件:
- セキュリティインベントリを表示するには、グループ内でセキュリティマネージャー、デベロッパー、メンテナー、またはオーナーのロールが必要です。
セキュリティインベントリを表示するには:
- 上部のバーで、検索または移動先を選択して、グループを見つけます。
- 左サイドバーで、セキュリティ > セキュリティインベントリを選択します。
- 次のいずれかのアクションを実行します:
- グループのサブグループ、プロジェクト、およびセキュリティ資産を表示するには、グループを選択します。
- グループまたはプロジェクトのスキャナーのカバレッジを表示するには、そのグループまたはプロジェクトを検索します。
スキャナーカバレッジ
デフォルトブランチのパイプラインが完了すると、セキュリティスキャナーのステータスが評価されます。各セキュリティスキャナーは、すべてのプロジェクトまたはグループに対して次のいずれかのカバレッジステータスを表示します:
- 有効ではない: このスキャナーは設定されていません。
- 有効: このスキャナーは設定されており、正常に完了しました。
- 失敗: このスキャナーは実行されましたが、正常に完了しませんでした。
- 無効: 以前に有効になっていたスキャナーが、過去3回の連続したパイプラインで実行されていません。
セキュリティインベントリでプロジェクトをフィルタリング
この機能の利用可否は、機能フラグによって制御されます。詳細については、履歴を参照してください。
セキュリティインベントリ内のプロジェクトをフィルタリングして、特定の関心領域に焦点を当てることができます。次のフィルタリングを使用できます:
- 脆弱性の件数: 特定された脆弱性の数に基づいてプロジェクトをフィルタリングします。例えば、
critical vulnerabilities ≥ 10のプロジェクトを表示します。 - ツールカバレッジ: セキュリティアナライザーのステータス(有効、not enabled、または失敗など)でプロジェクトをフィルタリングします。例えば、
Advanced SAST = enabledのプロジェクトを表示します。 - プロジェクト名: 名前で特定のプロジェクトを検索します。
これらのフィルターは、大規模なインベントリで結果を絞り込み、早急な対応が必要なプロジェクトを特定するのに役立ちます。
関連トピック
- セキュリティダッシュボード
- 脆弱性レポート
- GraphQLリファレンス:
- AnalyzerGroupStatusType - グループおよびサブグループ内の各アナライザーのステータスのカウント。
- AnalyzerProjectStatusType - プロジェクトのアナライザーのステータス(成功/失敗)。
- VulnerabilityNamespaceStatisticType - グループとそのサブグループ内の各脆弱性重大度のカウント。
- VulnerabilityStatisticType - プロジェクト内の各脆弱性重大度のカウント。
トラブルシューティング
セキュリティインベントリを使用する際に、次の問題が発生する可能性があります:
セキュリティインベントリのメニュー項目がない
一部のユーザーは、セキュリティインベントリメニュー項目にアクセスするために必要な権限を持っていません。このメニュー項目は、認証済みユーザーがセキュリティマネージャー、デベロッパー、メンテナー、またはオーナーのロールを持っている場合にのみ、グループに対して表示されます。