Checkmarx
17.09.2020, 08:38 Uhr
GitLab-Integration für einfachere DevSecOps-Workflows
Dank einer Partnerschaft zwischen Checkmarx und GitLab sollen Entwickler das Application Security Testing (AST) von Checkmarx (CxSAST, CxSCA und CxCodebashing) künftig nahtlos in die GitLab CI/CD-Pipeline integrieren können.
Entwickler müssen heute mit dem hohen Tempo von DevOps Schritt halten und dabei die Sicherheit in allen Phasen der Softwareentwicklung mit höchster Priorität berücksichtigen. Die über das Orchestrierungsmodul CxFlow realisierte Integration von Checkmarx in GitLab will Entwicklern helfen, beiden Anforderungen gerecht zu werden: Die Lösung stößt bei Pull- oder Merge-Requests automatisch SAST- und SCA-Sicherheitsscans an und übergibt die Ergebnisse direkt an die GitLab CI/CD-Pipeline. Dies vereinfacht die Workflows, da zeitaufwändige manuelle Scans überflüssig werden, so Checkmarx. Darüber hinaus sollen Entwickler Schwachstellen früher im SDLC identifizieren und die Security direkt in der GitLab-Umgebung validieren können.
Mit der Integration von Checkmarx CxSAST und CxSCA können GitLab-User sowohl ihren eigenentwickelten als auch Open Source Code mit einer einzigen Lösung schützen – inklusive eingebetteter Just-in-Time-Trainings für AppSec-Entwickler mit CxCodebashing. Über CxFlow bereitgestellt, bietet die Integration laut Hersteller folgende Vorteile:
- Automatisiertes Anstoßen von Scans und Projekten: Mit der Einbindung von CxFlow in der CI/CD-Pipeline von GitLab lassen sich Checkmarx Scans automatisch im Rahmen der Merge-Request-Phase oder während des Pushs an bestimmte Branches anstoßen.
- Vereinfachtes Ergebnis-Management: Scan-Ergebnisse lassen sich automatisch in GitLab Issues, GitLab Merge Requests Overviews und in das GitLab Security Dashboard importieren. So können Entwickler Fehler leichter erfassen und darauf reagieren, während AppSec-Engineers und DevOps-Manager Schwachstellen über lange Zeiträume effektiver und effizienter tracken können.
- Optimierte Fehlerverfolgung: Die Ergebnis-Feedback-Schleife von CxFlow macht manuelle Eingriffe beim Öffnen und Schließen von GitLab Issues überflüssig. Mit der Policy-basierten Nachverfolgung (zum Beispiel Schweregrad der Schwachstelle, CWE, Typ oder Status) lassen sich ähnliche Probleme einfach in einem GitLab Issue zusammenzufassen. Sobald alle Links auf den Schwachstellentyp behoben sind, werden Tickets automatisch geschlossen.