如果有人提问:“在这个时代下,是什么在改变技术生态?”,得到的答案可能是物联网(IoT),人工智能(AI),机器人技术或一些即将出现的新事物。 但对于那些亲历了技术持续迭代的人们来说,下一个新事物并不只是抽象的概念,而是一种可推动着当下的“应用驱动型”全球经济的方法,它就是DevSecOps。近日,极狐(GitLab)公司与全球首款开源IAST——洞态正式签署战略合作,双方承诺将立足各自技术优势,推动Sec在DevOps流程中的加强,共同完善DevSecOps生态,达成双方共赢。
一直以来,极狐(GitLab)都以”核心开放”为原则,面向中国市场,提供开箱即用的开放式一体化安全DevOps平台——极狐GitLab。极狐GitLab提供领先的企业级DevOps生命周期安全防护功能,包含项目管理、代码安全、企业合规、漏洞防护及规模化企业管理能力,加速企业软件创新生命周期——降本增效、安全提速。
洞态是火线安全研发打造,于2021年9月正式开源发布的IAST产品。洞态IAST专注于DevSecOps,基于"值匹配算法"和"污点跟踪算法"对漏洞进行检测,无需采集和重放流量,适配各种场景下的低中高危漏洞检测,具备高检出率、低误报率、无脏数据的特点,帮助企业在应用上线前发现并解决安全风险。自发布以来,洞态IAST发展迅速,已成为众多知名企业的选择。
两者合作亮点
1、共同打造领先的云原生DevSecOps平台解决方案
DevOps以其独有的节省成本、加强沟通、提升效能、加快交付的优势在国内得到大规模应用。极狐GitLab提供领先的企业级DevOps生命周期安全防护功能,包含项目管理、代码安全、企业合规、漏洞防护及规模化企业管理能力。解决由拼凑、集成开源软件工具链所带来高成本、高风险、低能、低效等问题。
洞态IAST拥有优异的通用漏洞自动化检测能力,通过与CI/CD流程对接,能便利地集成于DevOps,且不干扰已有的DevOps流程。当IAST和DevOps流程对接时,需要做版本的控制,洞态支持在Agent端直接指定项目名称和版本,进行后续的版本跟踪,以及版本的漏洞对比等,也可通过漏洞复测与回归测试,验证此前发现的漏洞是否依旧存在。IAST在DevOps中的应用,能帮助企业在应用研发阶段发现安全风险,在保障安全的同时,极大地节省修复成本。
极狐GitLab将与洞态IAST深度集成,提供强大的DevSecOps解决方案。DevSecOps安全开发流程涵盖自动化安全控制、部署后监视、代码分析以及其他多项安全检测。
2、助力中国开源生态发展
11月30日,工业和信息化部发布《“十四五”软件和信息技术服务业发展规划》,并表示将不断繁荣国内开源生态,重点做好夯实开源发展基础、打造开源软件品牌、加快普及开源文化并加强开源治理国际合作的工作,这将进一步激发国内开源发展的活力,开源创新势不可挡。
作为全球知名开源代码托管和项目管理平台,GitLab是国际上最受用户欢迎的企业级源码开放DevOps解决方案之一。火线安全作为开源公司的后起之秀,自洞态发布以来,便让市场见证了其发展速度,目前也正在探索其商业模式。极狐GitLab与洞态IAST深度集成的DevSecOps解决方案,有助于促进开发、运维、安全人员间的高效协同,培育高安全意识的团队,打造高安全的应用。
同时,火线安全已正式加入开源GitOps产业联盟(简称:OGA),将与联盟发起方极狐(GitLab)和联盟成员一起推动GitOps技术落地、支持GitOps产业化发展,为国内开源生态系统注入创新动力。