GitLab 10.4リリース。WebIDE搭載開始、Dockerイメージの静的セキュリティ解析、アプリケーションの動的セキュリティテストなどの新機能

ソースコード管理ツールGitLabの最新版「GitLab 10.4」のリリースが発表されました。

主な新機能として、アプリケーションをDockerコンテナとしてパッケージしたあとで静的セキュリティ解析を行う「Static Application Security Testing (SAST) for Docker Containers」、Webアプリケーションに対して動的なセキュリティテストが可能な「Dynamic Application Security Testing (DAST)」、そしてWebブラウザでコードを編集できるWebIDE機能などが搭載されました。

clairを用いてコンテナの静的解析

GitLabには、コードの静的解析を行う「Code Quality」機能がすでに搭載されています。しかしアプリケーションのコードに問題がなくても、それを実行する環境の方に脆弱性があっては安全なアプリケーションとはなりません。

今回搭載された「Static Application Security Testing for Docker containers」（SAST）は、アプリケーションをDockerコンテナとしてパッケージしたあとで静的解析を行い、脆弱性を発見してくれるツールです。

静的解析には、Dockerコンテナ内のメタデータのイメージになどをスキャンし、脆弱性などを報告してくれるオープンソースツールの「clair」を用いています。

一方、Webアプリケーションの振る舞いを動的にチェックする「Dynamic Application Security Testing (DAST)」は、オープンソースで開発されている「OWSASP Zed Attack Proxy」のツールを利用。

このツールは、Webブラウザの通信を横取りして変更する機能や、自動クローリング、ブルートフォース機能などでWebアプリケーションの脆弱性を診断でき、レポートも作成してくれるツールです。

WebIDEを搭載

さらにGitLabとしては初めてWebIDEを搭載。GitLabのWebブラウザからそのままコードの編集などができるようになりました。

ただ、このWebIDEが既存のオープンソースで開発されているものを統合したのかどうかは、発表された情報の中には含まれていませんでした。