目次
この記事のソース: about.gitlab.com
著者:ジョセフ・ロンゴ
翻訳者: Wu Rangjihu GitLab シニア ソリューション アーキテクト
Jihu GitLab は統合プラットフォームとして、DevSecOps の完全なライフサイクル管理を簡単に実装できます。JiHu GitLab を使用すると、開発者はより優れたソフトウェア アプリケーションをより迅速に構築できます。ただし、その機能は DevSecOps に限定されません。
2022 年 10 月に、ISO 組織は ISO 27001 標準の最新バージョンをリリースしました。ISO/IEC 27001:2022 には、付録 A の安全なコーディングと構成管理に関する新しい要件など、以前のバージョンと比較していくつかの変更が含まれています。
Jihu GitLab 製品の機能を活用して、Jihu GitLab 企業内でのセキュリティ コンプライアンス プログラムをサポートする、これがDogFoodingと呼ばれる 当社の社内文化です。GitLab によって維持されるコンプライアンスおよび保証資格情報の概要は、GitLab のトラスト センターページで参照できます。
次に、Jihu GitLab を使用して ISO 27001 準拠の取り組みをサポートする方法を一緒に確認します。
組織統制
GitLab を使用すると、ユーザーをプロジェクトまたはグループに追加するときに、ユーザーにロールを割り当てることができます。ユーザーのロールによって、GitLab インスタンス内で実行できる操作が決まります。割り当てることができる役割は次のとおりです。
-
ゲスト (プライベートおよび社内プロジェクトのみ);
-
レポーター。
-
開発者;
-
メンテナー。
-
所有者;
-
最小限のアクセス (最上位グループのみに適用)。
GitLab のロールを使用すると、最小特権の原則とビジネス要件および情報セキュリティ要件に基づいてユーザー権限を制限できます。
JiHu GITLAB SAML SSO統合により、JiHu GitLab では認証と責任の承認を一元化し、JiHu GitLab インスタンスの認証と承認をサポートできるようになります。Jihu GitLab は、複数の ID プロバイダー (Auth0、ADFS、Okta、Oauth2.0、LDAP など) と統合して、顧客の多様なテクノロジー スタックをサポートできます。Jihu GitLab は、クロスドメイン ID 管理システム ( SCIM ) もサポートしています。GitLab の SSO と SCIM の統合により、安全かつ効率的な方法でユーザー ID のライフサイクル管理を自動化できます。
GitLab のプライベート展開の場合は、SSO ⁷ およびSCIMも利用できます。
注: 技術的管理に関する ISO/IEC 27001:2022 付属書 A の 8.2 および 8.4 も、組織的管理の 5.3、5.15、および 5.16 と密接に関連しているため、上の表に含まれています。JiFox GitLab の機能を使用して、これらの制御要件をサポートすることもできます。
GitLab では、計画ツールを使用してプロジェクト管理の取り組みをサポートし、プロジェクトのライフサイクルのすべての段階で情報セキュリティが適切に考慮されていることを確認できます。
-
Jihu GitLab のチーム計画機能を使用すると、ユーザーはアイデアからコンセプトに至るまでのプロジェクト作業を整理、計画、調整、追跡できます。
-
エピック、課題、およびタスクは、アイデアのコラボレーション、問題解決、情報セキュリティ チームとの共同作業に使用できます。説明テンプレートとチェックにより、ユーザーは一貫した情報説明とワークフローを課題やマージ リクエストに適用できます。これらのテンプレートは、情報セキュリティをプロジェクト管理ライフサイクルに一貫して統合するのに最適です。
-
タグを使用すると、ユーザーは独自の要件に応じて問題の種類をカスタマイズできます。情報セキュリティをサポートするために、タグを使用して、プロジェクトに関連するリスクのレベル、プロジェクトの段階、またはプロジェクトに関連する情報セキュリティ チームを識別できます。スコープ ラベルは、KV キーと値のペアに似たラベルです。これは排他的であり、トピックが論理的に矛盾するラベルを同時に持つことを防ぎます (たとえば、トピックに devops::configure タグがある場合、そのラベルに devops::configure タグも含めることはできません)。 devops::create タグ)。GitLab では、スコープ タグを使用して、さまざまなチームに割り当てられた作業、作業が配置されているプロジェクト ステージ、および作業に関連する製品または機能セットを識別できます。
技術的制御
GitLab を使用すると、ハードウェアとソフトウェアの構成を保存し、バージョン管理を維持し、マージ リクエストを通じて構成を更新し、GitLab のCI/CD パイプラインを活用してこれらの構成をアプリケーションやインフラストラクチャにプッシュできます。JiHu GitLab を使用すると、組織は単一のプラットフォームを通じてGitOpsを実装できます。
GitLab のInfrastructure as Code スキャン機能を使用すると、IaC 構成ファイルをスキャンして既知の脆弱性を見つけることができます。Jihu GitLab の IaC スキャンは複数の IaC プロファイルと言語をサポートしており、さまざまなテクノロジー スタックに適応できます。
コンプライアンスの専門家にとって、GitLab を使用すると、コンプライアンス フレームワークとコンプライアンス パイプラインを通じて、統合され、強制され、自動化されたプロセスを実装して、セキュリティの実践をサポートし、組織内外のコンプライアンス要件へのコンプライアンスを促進できます。
Ultimate の顧客向けに、GitLab のコンプライアンス センターは、ポートフォリオ内のプロジェクトに適用されているさまざまなコンプライアンス フレームワークの一元的なビューを提供します。プロジェクトがGitLab 標準に準拠しているかどうかを確認できます。
GitLab では、監査イベントを使用して、関連するアクションを誰がいつ実行したかなど、重要なイベントを追跡できます。監査イベントは、次のような幅広いカテゴリをカバーします。
-
グループ経営。
-
認証と認可。
-
ユーザー管理;
-
コンプライアンスとセキュリティ。
-
CI/CD;
-
Jihu GitLab ランナー。
Ultimate の顧客の場合、監査イベントのストリーミングを有効にすることができます。監査イベント ストリーミングを使用すると、ユーザーは最上位のグループまたはインスタンスのストリーミング宛先を設定して、グループ、サブグループ、プロジェクトのすべての監査イベントの構造化された JSON を受信できるようになります。
GitLab のセキュリティフェーズの機能を使用すると、ソフトウェア開発ライフサイクルを強化し、製品のセキュリティを向上させることができます。JiHu GitLab のセキュア フェーズ機能には次のものが含まれます。
もっと!
機密情報の漏洩は、セキュリティ侵害の主要な懸念事項の 1 つです。GitLab の秘密キー検出機能は、コード ベースをスキャンして機密情報の漏洩を防ぐことができます。
JiFox GitLab のセキュリティ ポリシー機能を使用すると、ユーザーはスキャン実行ポリシーとスキャン結果ポリシーをカスタマイズできます。これらのポリシーは、セキュリティステージのスキャン結果とマージ リクエストの承認機能を組み合わせて、コンプライアンス要件をさらに満たす安全なゲートを作成します。
まとめると、GitLab のセキュリティ機能は安全なソフトウェア開発ライフサイクル プロセスの基礎を築き、組織の要件に応じて安全なコーディング原則を実践できるようになります。
JiHu GitLab は、包括的な変更管理をサポートする多くの機能を提供します。
JiHu GitLab のソース コード管理機能を使用すると、ユーザーは保護されたブランチを使用できます。保護されたブランチを使用すると、GitLab ユーザーは次のことを達成するために重要なブランチに制限を課すことができます。
-
どのユーザーが変更をブランチにマージできるか。
-
どのユーザーがブランチにプッシュできるか。
-
ユーザーがブランチに強制的にプッシュできるかどうか。
-
特定のファイルやフォルダーが変更された場合、関連する担当者 (コード所有者)によるレビューが必要ですか。
-
保護されたブランチの保護を解除できるユーザー。
コード ベース内のデフォルト ブランチ(マスター ブランチやメイン ブランチなど) は、保護されたブランチとして自動的に指定されます。
マージ リクエスト (MR) は、ソフトウェア開発ライフサイクルの中核コンポーネントです。GitLab ユーザーは、変更をマージする前に変更が承認される必要があるようにマージ リクエストを構成できます。マージリクエストの承認により、ユーザーは次のような承認プロセスをカスタマイズできます。
-
複数の承認ルールを設定できます。
-
各ルールは異なるブランチに適用できます。
-
各ルールは、コード ベースに対するマージ権限を持っていない場合でも、異なるレビュー担当者と最小レビュー担当者の数を設定できます。
-
コード所有者は、担当するファイルとフォルダーを承認できます。
-
コードの送信者とマージ リクエストの作成者はレビューに参加できません。
前述したように、課題とタスクを使用して、変更リクエストを記録し、共同で作業することができます。説明テンプレートを使用すると、ユーザーは一貫した情報の説明を課題やマージ リクエストに適用できるため、変更を統合管理できます。
もっと詳しく知る
Jihu GitLab は、統合された DevSecOps プラットフォームとして、幅広いニーズをサポートします。ISO は、2022 ISO 標準に安全なコーディングと構成管理に関する追加の制御を追加しました。これは、認証機関がソフトウェア全体のセキュリティにさらに注意を払っていることを示しています。Jihu GitLab は戦略的パートナーとして、ISO 27001 標準のサポートを強化し、より優れたソフトウェアをより迅速に開発できるよう支援します。
詳細については、チュートリアル ライブラリをご覧ください。