Secure Design & Development チームサービス概要
Secure Design & Development チームサービス概要
最終更新: 2025年5月27日
Secure Design & Development チームサービス概要
Secure Design & Development チームは、GitLab エンジニアおよび製品チームと協力して、設計および開発中の脆弱性導入を 予測・防止 します。
私たちの責任は、Secure Developer Experience (SDX) の 5 つの柱のうち 4 つを含みます。SDX は、従来の DevSecOps プラクティスに対する開発者 UX 中心のアプローチです。
- SDX: Learn: セキュリティトレーニング、ガバナンス、ポリシー、ドキュメント、標準。
- SDX: Design: 脅威モデリング、機能設計のガイダンスとコンサルティング、設計レビュー。
- SDX: Code: 静的解析、ソフトウェアコンポーネント解析とサプライチェーンセキュリティ、開発における承認済みツールと手法の使用、安全でない関数の非推奨化など。
- SDX: Verify: 動的解析テスト、ペネトレーションテスト、重大な脆弱性の是正、リリース前の最終セキュリティレビュー。
便利なクイックリンク
- Application Security レビュー
- 脅威モデリング
- バックログレビュー: 必要に応じてバックログレビューを開始できます。詳細は脆弱性管理ページをご覧ください。
- GitLab AppSec インベントリ
- お客様のセキュリティスキャナーレビュー依頼への対応
- 重大な脆弱性に対する根本原因分析
GitLab の再現可能な脆弱性を使った実例で、セキュリティ問題の特定や是正方法を学んでください。
GitLab がビルドプロセスのために 再現可能なビルド をどのように実装しているかを学んでください。
Application Security チームが利用している自動化イニシアティブの詳細は Application Security 自動化およびモニタリングのページ を参照してください。
GitLab セキュアツールのカバレッジ
ドッグフーディング活動の一環として、セキュアツール は多数の GitLab プロジェクトで設定されています(ポリシーを参照)。このリストは動的すぎて本ページに含めることができないため、現在は GitLab AppSec インベントリ で管理しています。
期待される設定が欠けているプロジェクトは、インベントリ違反リスト(社内リンク)にあります。
Secure Design & Development チームへの連絡方法
- 製品セクション、ステージ、グループ、カテゴリ ページで Stable Counterpart を見つけてください
- GitLab で
@gitlab-com/gl-security/product-security/appsecをメンションする - AppSec チームリポジトリで Issue を提出する
- Slack の
#security-helpで質問するか、@appsec-teamをメンションする - チーム横断のコラボレーション改善機会については、コラボレーション改善機会用のこのテンプレートを使用してください
コンテンツのレビューと更新
このページは、会社および部門の優先事項、GitLab セキュリティ製品ロードマップ、関連するビジネスおよび運用上の変更との整合性を確保するため、四半期ごとにレビューされます。ビジネスオペレーションが進化するにつれて、より頻繁に更新が行われる場合もあります。
次回予定レビュー: 2025年6月30日
最終更新 June 14, 2026: Merge pull request #403 from kyama0/claude/cool-turing-ls6eck (
bfd74782)