博客 / 詳情

返回

如何使用極狐GitLab 支持 ISO 27001 合規

本文來源:about.gitlab.com
作者:Joseph Longo
譯者:武讓 極狐GitLab 高級解決方案架構師

作為一體化平台,通過極狐GitLab 可以很容易實現 DevSecOps 全生命週期管理。極狐GitLab 使開發人員能夠更快地構建更好的軟件應用。但是,它的能力還不僅限於 DevSecOps。

2022 年 10 月,ISO 組織發佈了 ISO 27001 標準的最新版本。ISO/IEC 27001:2022 與其之前的版本相比,包含了一些變化,其中在附件 A 中新增了對安全編碼和配置管理的要求。

利用極狐GitLab 產品的功能特性來支持極狐GitLab 企業內部的安全合規計劃,這是我們內部稱為 DogFooding 的企業文化。極狐GitLab 維護的合規和保證憑證概述可以在極狐GitLab 的信任中心頁面查看。

接下來我們可以一起回顧,如何使用極狐GitLab 以支持您的 ISO 27001 合規之旅。

組織控制

通過極狐GitLab,您可以在將用户添加到項目或羣組時為他們分配角色。用户的角色確定他們在極狐GitLab 實例內可以執行的操作。可分配的角色如下:

  • 訪客(僅限私有和內部項目);
  • 報告者;
  • 開發人員;
  • 維護者;
  • 所有者;
  • 最小訪問權限(僅適用於頂級組)。

極狐GitLab 的角色使您能夠根據最小特權原則和您的業務和信息安全要求來限制用户的權限。

通過極狐GITLAB SAML SSO 集成,極狐GitLab 使您能夠集中進行身份驗證和責任授權,從而支持極狐GitLab 實例的身份驗證和授權。極狐GitLab 可以與多種身份提供者集成(如Auth0、ADFS、Okta、Oauth2.0、LDAP),以支持客户多樣的技術棧。極狐GitLab 還支持跨域身份管理系統(SCIM)。通過極狐GitLab 的 SSO
和 SCIM 集成,您可以以安全和高效的方式自動化用户身份的生命週期管理。

對於私有化部署的極狐GitLab,SSO ⁷ 和 SCIM 也是可用的。

注意: ISO/IEC 27001:2022 附件 A 中關於技術控制的 8.2 和 8.4 也包含在上面的圖表中,因為它們與組織控制的 5.3、5.15 和 5.16 密切相關。極狐GitLab 的功能同樣可用於支持這些控制要求。

使用極狐GitLab,您可以使用我們的計劃工具來支持項目管理工作,並確保在項目生命週期的所有階段都適當考慮了信息安全。

  • 極狐GitLab 的團隊計劃功能允許用户從構思到組織、計劃、協調和跟蹤項目工作;
  • 史詩、議題和任務可用於構思協作、解決問題以及和信息安全團隊的工作協同。描述模板和檢查項使用户能夠將一致的信息描述和工作流程應用到議題或合併請求
    上。這些模板可以很好的將信息安全一致地整合到項目管理生命週期中;
  • 標籤允許用户根據自己的要求自定義議題的類型。為支持信息安全,標籤可用於標識與項目相關的風險級別、項目所處的階段,或項目對應的信息安全團隊。範圍標籤是一種類似 K-V 鍵值對的標籤,具有排他性,可防止議題同時具備邏輯衝突的標籤(如議題具備 devops::configure 標籤,它就不能同時具備 devops::create 標籤)。在極狐GitLab 中,可以利用範圍標籤來標識分配給不同團隊的工作、工作所在的項目階段以及與工作相關的產品或功能集;

  • 羣組和項目議題看板可用於進一步組織您的工作,並提供與羣組或項目關聯的所有工作的彙總視圖。

技術控制

使用極狐GitLab,您可以存儲您的硬件和軟件配置,保持版本控制,通過合併請求
更新您的配置,並利用極狐GitLab 的 CI/CD 流水線將這些配置推送到您的應用程序和基礎設施。極狐GitLab 使組織能夠通過單一平台實施 GitOps。

極狐GitLab 的基礎設施即代碼掃描功能使您能夠掃描您的 IaC 配置文件以查找已知漏洞。極狐GitLab 的 IaC 掃描支持多種 IaC 配置文件和語言,使其適應不同的技術棧。

對於合規專業人員,極狐GitLab 使您能夠通過合規框架和合規流水線實施統一的、強制的自動化流程,從而支持您的安全規範,並促進遵守組織內部和外部的合規要求。

對於 Ultimate(旗艦版)客户,極狐GitLab 的合規中心提供了對組合規中項目中應用的不同合規框架的集中視圖。您可以看到您的項目是否符合極狐GitLab 標準。

使用極狐GitLab,您可以使用審計事件來跟蹤重要事件,包括誰執行了相關操作以及何時執行的。審計事件涵蓋了廣泛的類別,包括:

  • 羣組管理;
  • 身份驗證和授權;
  • 用户管理;
  • 合規和安全性;
  • CI/CD;
  • 極狐GitLab Runner。

對於 Ultimate(旗艦版)客户,可以啓用審計事件流。審計事件流使用户能夠為頂級組或實例設置流目的地,以接收有關組、子組和項目的所有審計事件的結構化 JSON。

您可以使用極狐GitLab 的安全階段中的功能來增強您的軟件開發生命週期並提高產品的安全性。極狐GitLab 的 Secure 階段功能包括:

  • 靜態應用程序安全性測試(SAST);
  • 動態應用程序安全性測試(DAST);
  • 代碼質量;
  • 容器掃描;
  • 依賴項掃描。

以及更多!

敏感信息泄露是安全漏洞的主要問題之一。極狐GitLab 的秘鑰檢測功能可以掃描您的代碼庫,防止您的敏感信息被泄露。

極狐GitLab 的安全策略功能使用户能夠自定義掃描執行策略和掃描結果策略。這些策略將安全階段的掃描結果與合併請求批准功能結合,形成安全門禁,可以進一步滿足合規要求。

綜合來看,極狐GitLab 的安全功能為安全的軟件開發生命週期程序打下了基礎,並使您能夠根據組織的要求實踐安全編碼原則。

極狐GitLab 提供了許多功能,以支持全面的變更管理。

極狐GitLab 的源代碼管理功能使用户能夠使用受保護分支。受保護分支允許極狐GitLab 用户對重要分支施加限制,實現:

  • 哪些用户可以將更改合併到分支;
  • 哪些用户可以推送到分支;
  • 用户是否可以強制推送到分支;
  • 當某些文件、文件夾發生變更時,是否需要相關負責人審核(代碼所有者);
  • 哪些用户可以取消保護分支的保護。

代碼庫中的默認分支(如 master、main 分支)會自動指定為受保護分支。

合併請求(MR)是軟件開發生命週期的核心組成部分。極狐GitLab 用户可以配置他們的合併請求,以便變更必須獲得批准後才能合併。合併請求批准允許用户自定義審批流程,包括:

  • 可以設置多條審批規則;
  • 每條規則可以針對不同的分支生效;
  • 每條規則可以設置不同的審核人、最小審核人數,即使他們沒有代碼庫的合併權限;
  • 代碼所有者可以審批他們負責的文件、文件夾;
  • 代碼提交人、合併請求創建人不可參與評審。

正如之前提到的,議題和任務可用於記錄和協作變更請求。描述模板使用户能夠將一致的信息描述應用於議題或合併請求,實現對變更的統一管理。

瞭解更多

作為一體化 DevSecOps 平台,極狐GitLab 支持更廣泛的需求。ISO 在 2022 年的 ISO 標準中增加了圍繞安全編碼和配置管理的附加控制。這表明認證機構對軟件整體的安全性有了進一步關注。作為戰略合作伙伴,極狐GitLab 可以幫助您更好的支持 ISO 27001 標準,並幫助您更快的開發更好的軟件。

要了解更多信息,請查看我們的 tutorials庫。

devops , iso , 技術 , sso , Git
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.