本文来源：about.gitlab.com

作者：Sandra Gittlen

译者：极狐(GitLab) 市场部内容团队

应用程序安全测试（AST）对于应用程序研发来说，是一个正在快速发展并且十分重要的领域。DevOps 方法论提到：需要将测试集成到开发人员的工作流中。GitLab 相信在软件研发中，AST 越成熟，应用程序就会越安全，同时企业也能够更容易满足合规要求。相信 DevSecOps 平台化战略，也就是将安全嵌入到 DevOps 生命周期即从计划到上线全过程，能够比传统应用程序安全测试，提供更高的效率和价值。

2022 年 Gartner 应用程序安全测试魔力象限中，GitLab 位列挑战者象限。根据 Gartner 的说法：“支撑企业落地实践 DevSecOps 以及云原生转型，是 AST 市场发展的主要驱动力。”

这是 GitLab 连续三年在 Gartner 应用程序安全测试魔力象限中获得认可。

“我们很高兴看到，将安全嵌入 DevOps 工作流程这种独特方法，具有持续的发展势头。”GitLab 产品管理总监 Hillary Benson 表示，“我们相信，挑战者魔力象限的认可，代表市场对 DevSecOps 方法和价值的深入理解，这种方法赋能开发人员发现和修复漏洞，并通过 DevOps 平台提升便利性。”

GitLab 一体化 DevOps 平台提供了 DevOps 所需的自动化，以及安全专家所需的策略和漏洞管理功能。极狐GitLab 作为 GitLab 中国发行版，极狐GitLab / GitLab 提供了一系列已集成的、可审查、可管理的扫描器，满足现代应用程序研发以及云原生环境下的安全合规需求。

独特的 AST 方法

---

GitLab 在应用程序安全领域持续创新。让我们来看看，GitLab 和传统 AST 厂商有何不同。正是这些差异带来了使用一体化平台来实现 DevOps 和安全的众多好处。例如：

GitLab 将更全面的扫描集成到 CI 流水线中，以便构建出更具有交互性的测试环境。

这是一种独特的方法，有别于将产品重点放在基于工具的交互式 AST。在 GitLab 上，开发人员能够更加全面地了解安全漏洞的产生，这也让开发人员能够更高效地去解决这些安全问题。

同样，虽然 Gartner 分析师将重点放在类似拼写检查的轻量级 SAST 功能上，但我们发现这些功能对于 GitLab 用户来说，并不是那么重要。当然，这也是因为 GitLab 将功能内置了。打个比方：我们习惯于经常保存文件，这样编辑的文件就不会丢失。开发人员开发软件时也在做同样的事情：变更被频繁 “提交” 到代码仓库。

点击 “提交” 按钮后，GitLab 会对代码变更做一次真正的 SAST 扫描，为开发人员提供了更及时和完整的反馈。

DevOps 团队可以选择启用 DAST 扫描，该扫描使用 GitLab 审核特性来评估合并前的变更。

并且，依赖项扫描、容器扫描、基础设施即代码以及更多其他的扫描，也会在点击提交按钮时进行。

此外，GitLab 还关注为 DevOps 团队提供关于漏洞挖掘和修复的培训教育。

▶ 极狐GitLab 将为开发者提供一系列清晰明了的培训，诸如如何减少创建安全漏洞的风险等，有助于开发者学习正确的编码技能，而不是仅仅标记问题以待日后解决。敬请期待。

专注于合规

---

将合规左移并将其嵌入到软件开发生命周期中，也就是持续的软件合规性，是 GitLab 的优先事项。

“我们赋能组织创建与其合规政策相符合的策略，并确保这些策略能够贯穿到应用开发整个流程中。” Benson 说道，“你无需兼顾多个策略执行应用程序，只需要拥有一个对整个生命周期的可见性视角。”

比如，公司可以制定精细化的合规性流水线策略，即要求特定项目中的每个 MR 都要进行 SAST 扫描和每个开发人员都无法避免的 MR 审核。

“这些通用的控制形态和职责分离，有效简化了软件安全审计，加速了应用程序部署。” Benson 补充道。

全球领先企业选择 GitLab

---

至今，GitLab 已经拥有 30000000+ 注册用户， 100000+ 企业实例，服务了包括富士通、西门子、喜利得、HackerOne、The Zebra 等全球领先企业，帮助客户充分利用一体化 DevSecOps 平台 ，实现更快、更高质量和更安全的开发和发布周期。

GitLab 应用程序安全测试有助于我们在 GitLab 安全仪表板中清晰查看和分析源代码漏洞。它可以通过 Docker 轻松配置，在项目中创建新的合并请求后，立即显示完整的漏洞报告，并根据关键、高、低、中等级别对漏洞进行优先级排序，这有助于我们团队有计划地专注于最重要的事情。

——高级软件工程师

GitLab 的应用程序测试功能对于扫描应用程序中的漏洞非常有用，并且有多种测试功能供选择。我们主要使用这些工具来扫描 Docker 容器、依赖项、源代码和 Web 应用程序的漏洞。

—— Android 应用程序开发人员

我们从使用 GitLab 开始，真正尝试引入开源文化，到目前为止，我们真的成功了。使用 CI/CD，我们每个月有 50 万次构建。整个文化已经完全改变了。

——Fabio Huser，西门子智能基础设施软件架构师