プロダクトセキュリティ

GitLab の包括的な情報セキュリティ戦略および 3 か年計画と整合し、セキュリティ部門内のプロダクトセキュリティ部門 (PSD) は、GitLab プラットフォームのサイバーセキュリティ態勢を強化するための包括的なビジョンを策定し、指揮する責任を負っています。

GitLab のプロダクトセキュリティとは

GitLab において、プロダクトセキュリティは、プロダクトおよびエンジニアリングチームが GitLab のテクノロジーを安全に設計、開発、デプロイ、維持、改善することを可能にする幅広いサイバーセキュリティ分野を包含しています。これは従来のセキュリティの枠を超え、開発者ワークステーションの保護から本番環境の整合性の確保まで、すべてをカバーしています。

チーム

プロダクトセキュリティのサブ部門には、以下のチームが含まれます。各チームの詳細については、ハンドブックページを参照してください。

プロダクトセキュリティのミッション

私たちのミッションは、迅速なイノベーションとセキュアなプロダクト提供の文化を育むことで、プロダクトセキュリティの基準を確立することです。私たちは、GitLab プラットフォームを活用し、社内利用（‘dogfooding’）の実践の頂点を体現することにコミットしています。プロダクトチームとの緊密な協業を維持し、GitLab コードベースに重要なセキュリティ機能と能力を貢献することで、私たちの活動を強化し、より広い GitLab ビジョンの重要な推進役となることを目指しています。

複数年にわたるプロダクトセキュリティのミッション

包括的な 複数年のプロダクトセキュリティのミッション は、社内ハンドブックでご覧いただけます。

プロダクトセキュリティリスクレジスタ

プロダクトセキュリティリスクレジスタのプロセスの詳細については、専用ページ をご参照ください。

コラボレーションが鍵

プロダクトセキュリティの成功は、PSD やセキュリティ部門だけに限定されません。GitLab エコシステム全体での協調的な取り組みが必要です。コラボレーションは、私たちのセキュリティのカウンターパートだけでなく、より広い組織を巻き込み、極めて重要です。セキュリティオペレーションからサイト信頼性エンジニアリングに至るまで、PSD の管轄下に直接ない主要な分野や能力も、私たちの戦略の成功に不可欠です。

指針

• ビジネスの実現: PSD の役割は、プロダクトチームが効率的かつ安全に運営できることを確保し、顧客の信頼を強化し、戦略的な利点として透明性を活用することにより、GitLab がビジネス目標を達成することを促進することです。これには、広範な dogfooding を通じた洞察に富んだプロダクトフィードバックの提供が含まれます。
• 共感とアクセシビリティ: 最適なセキュリティソリューションが必ずしもビジネスや顧客のニーズに合致するわけではないことを認識し、PSD はこれらの独自の視点を理解し共感することを優先します。この共感的なアプローチは、私たちのセキュリティ実践とエンゲージメントを導き、私たちの方法論を顧客や社内チームの好みに合わせることを目指しています。
• 完璧よりも実用主義: 完璧な解決策を待つよりも、現在の課題に迅速かつ効果的に対処することが好まれます。PSD は、長期的な目標にすぐに利益をもたらす部分的なソリューションを目指し、迅速で短いサイクルのイニシアチブを通じて、段階的で具体的な価値を提供することに焦点を当てています。
• 迅速なイテレーションのための設計: 私たちの戦略とロードマップは、顧客やステークホルダーと早期に関与し、緊密なフィードバックループを維持することにより、最適でない決定を迅速に特定し、そこから学ぶように作られています。このアプローチにより、戦略やアプローチを効率的に適応させ、洗練させることができます。
• データ駆動の意思決定: データが私たちの目標、優先順位、行動を推進し、失敗やスコープクリープのリスクを軽減します。有用な指標の例には、インシデントの根本原因分析（内のデータ）、脅威モデリングの結果、本番環境準備態勢評価などが含まれます。
• スケーラビリティと反復可能性: PSD は、オーダーメイドのソリューションよりもスケーラブルで反復可能なプロセスを重視し、リソースの比例的な増加なしに増大する需要に応えられるようにしています。
• 分散化と権限委譲: プロダクトおよびエンジニアリングチームが自分のドメインに関する深い専門知識を持っていることを認識し、PSD はこれらのチームがセキュアコードレビューや脅威モデリングなどのセキュリティタスクのオーナーシップを持つことを推奨しています。この分散化は、GitLab 全体でより統合された効果的なセキュリティ態勢を促進します。
• 信頼性、品質、インフラストラクチャ、プラットフォームエンジニアリングとの統合: プロダクトセキュリティの欠陥を緩和するという PSD のミッションは、本質的に、プロダクト全体の品質と信頼性を向上させることに結びついています。私たちは、セキュリティとプロダクトの卓越性の両方を高めるために、既存のチームの実践を活用し統合することを目指しています。

プロダクトセキュリティ部門のラベル標準化

プロダクトセキュリティ部門は、すべてのセキュリティチームにわたる Issue 追跡、チーム識別、およびクロスチームコラボレーションを向上させるために、ラベリングシステムを標準化しています。

必須の部門および部署ラベル

プロダクトセキュリティ部門内のすべての Issue、エピック、マージリクエストには、「Division::Security」と「Department::Product Security」 ラベルを含めなければなりません。

チーム固有のラベル

各チームは標準化された命名規則を使用します。

• アプリケーションセキュリティ: ~“Application Security Team”
• インフラストラクチャセキュリティ: ~“Infrastructure Security Team”
• データセキュリティ: ~“Data Security Team”
• 脆弱性管理: ~“Vulnerability Management Team”
• プロダクトセキュリティエンジニアリング: ~“Product Security Engineering”
• セキュリティプラットフォーム＆アーキテクチャ: ~“Security-Platforms-Architecture Team”
• セキュリティリサーチ: ~“Security Research Team”
• セキュリティアーキテクチャ: ~“Security Architecture Team”

複数のチームラベルは、コラボレーションを必要とする Issue に適用できます

ページのソースコードを見る - ページの編集 - please contribute.