Dynamic Analysis グループの API Security チーム
API Security
API Security チームは GitLab の Dynamic Analysis グループの一部であるスタンドアロンチームです。ファジングを行うソリューションの開発を担当しています。
| リポジトリ | 目的 |
|---|---|
| API Fuzzer - プライベート | GitLab の API ファジングスキャナー。 |
重要なファジングリポジトリ
| リポジトリ | 目的 |
|---|---|
| API Security | プライベート - API Security ツールは API ファジングと API DAST スキャンを実行します |
| API Fuzzing E2E Tests | プライベート - API エンドツーエンドテスト |
| DAST API デモ | パブリック - ドキュメントからリンクされた DAST API デモ |
| API Fuzzing デモ | パブリック - ドキュメントからリンクされた API ファジングデモ |
| API Fuzzing デモ | パブリック - ドキュメントからリンクされた API ファジングデモ(har/openapi ブランチ) |
連絡方法
- Slack チャンネル: #g_ast-dynamic-analysis
- Slack エイリアス: @secure_dynamic_analysis_be
- Google グループ: [email protected]
- GitLab メンション: @gitlab-org/secure/dynamic-analysis-be
働き方
Dynamic Analysis グループは主に GitLab のプロダクト開発フローに従っています。
このチームが取り組む Issue はバックエンド中心で、通常は上記のリポジトリ、ベンダーテンプレート、および GitLab の Rails モノリスにあります。場合によっては、UI の変更が必要な場合に AST のフロントエンドチームからのサポートが必要になることがあります。このような取り組みについてはより多くの事前通知が必要です。
繰り返しタスク
各マイルストーンで完了する必要があるいくつかのメンテナンスタスクがあります。各イテレーションで、Issue が開かれ、ローテーションベースでエンジニアに割り当てられます。それらのローテーションタスクは:
- アップストリームの変更をレビューし、アップストリームの変更が重要な改善を提供する場合は DAST をアップグレードするための Issue を開く
- DAST のセキュリティダッシュボードをレビューし、すべての Critical および High Issue に対処する。アップストリームプロジェクト ZAP と ZAP Extensions のダッシュボードをレビューする
ファジング技術
- API Security プロダクトは主に C# で構築されており、一部の Python が使われています。エンジニアは開発に Windows VM を使用しています。
専用ラベル
Issue を開く際に、以下のラベルスニペットがよく追加されます:
/label ~"Category:API Security"
/label ~"group::dynamic analysis"
/label ~"devops::application security testing"
/label ~"backend"
/label ~"section::sec"
ターゲット
マージリクエストタイプについては、クロスファンクショナル優先順位付けプロセスに基づいて、機能 60%、メンテナンス 30%、バグ 10% の初期のソフトターゲット比率を設定しています。これはハードターゲットではなく、成熟するにつれてフォーカスが進化するにつれてこの比率に変動が生じることが予想されます。
サポートリクエスト
Dynamic Analysis エンジニアリングチームは、Sec Section サポートプロジェクトに概説されているプロセスに従って GitLab サポートエンジニアにサポートを提供します。
