Application Securityチーム組織

このページでは、以下のリソースを提供します。

• チームの作業がどのように組織されているかを理解する
• 私たちがどのリポジトリで作業を行っているかを知る

作業組織

Application Securityチームは、月次マイルストーンベースで作業を組織しています。詳細については、専用のマイルストーン計画ページこちらをご覧ください

重要なリポジトリ

Application Securityチームは、私たちのミッションを支える複数の重要なリポジトリを維持しています。これらのリポジトリは、セキュリティ標準とプロセスを維持しながら、エンジニアリングとプロダクトチームとのコラボレーションを可能にします。

チーム組織と計画

目的: チームオペレーション、Issue追跡、クロスチームコラボレーションのためのセントラルリポジトリ 場所: appsec-team tracker 主な用途:

• チームのイニシアチブとオペレーション改善を追跡する
• クロスチームコラボレーションの取り組みを調整する
• マイルストーン作業を計画する

Application Securityレビュー

目的: AppSecレビューをリクエストおよび実行するためのリポジトリ 場所: appsec-team reviews 主な用途:

• 機能設計レビュー
• アーキテクチャアセスメント

私たちのセキュリティレビュープロセスについては、専用ページ)で詳しく学べます。

セキュリティツールと自動化

目的: 自動化ツールを格納 場所: Toolingリポジトリ 主な用途:

• 自動化スクリプト

脅威モデリングリソース

目的: 脅威モデリング活動のためのテンプレートとドキュメント 場所: Threat modelingリポジトリ 詳細はこちら: 脅威モデリングプロセス

PSIRTオペレーション

目的: PSIRTチームのオペレーションとIssue追跡のためのセントラルリポジトリ。 場所: gitlab-com/gl-security/product-security/appsec/psirt 詳細はこちら: PSIRTサービス

外部のお客様向けの有用な情報

パブリックセキュリティリソース

• GitLab Security Disclosure
  • 私たちの協調的セキュリティ開示ポリシーとプロセスの詳細
• HackerOne Bug Bountyプログラム
  • 私たちのBug Bounty HackerOneプログラムポリシー
• GitLabリリースおよびパッチリリースプロセス
  • リリースおよびパッチリリースプロセスに関する専用ハンドブックページを参照

ドキュメント

• GitLab Application Security機能を使用したアプリケーションのセキュア化方法
• GitLabインスタンスのハードニング推奨事項:
  • 私たちの公式ドキュメント(各バージョンに同梱され、セルフマネージドインスタンスドキュメントで利用可能)
  • 私たちのハンドブック推奨事項

ページのソースコードを見る - ページの編集 - please contribute.