目录

组织控制

技术控制

了解更多

---

本文来源：about.gitlab.com

作者：Joseph Longo

译者：武让 极狐GitLab 高级解决方案架构师

作为一体化平台，通过极狐GitLab 可以很容易实现 DevSecOps 全生命周期管理。极狐GitLab 使开发人员能够更快地构建更好的软件应用。但是，它的能力还不仅限于 DevSecOps。

2022 年 10 月，ISO 组织发布了 ISO 27001 标准的最新版本。ISO/IEC 27001:2022 与其之前的版本相比，包含了一些变化，其中在附件 A 中新增了对安全编码和配置管理的要求。

利用极狐GitLab 产品的功能特性来支持极狐GitLab 企业内部的安全合规计划，这是我们内部称为 DogFooding 的企业文化。极狐GitLab 维护的合规和保证凭证概述可以在极狐GitLab 的信任中心页面查看。

接下来我们可以一起回顾，如何使用极狐GitLab 以支持您的 ISO 27001 合规之旅。

组织控制

通过极狐GitLab，您可以在将用户添加到项目或群组时为他们分配角色。用户的角色确定他们在极狐GitLab 实例内可以执行的操作。可分配的角色如下：

• 访客（仅限私有和内部项目）；

• 报告者；

• 开发人员；

• 维护者；

• 所有者；

• 最小访问权限（仅适用于顶级组）。

极狐GitLab 的角色使您能够根据最小特权原则和您的业务和信息安全要求来限制用户的权限。

通过极狐GITLAB SAML SSO 集成，极狐GitLab 使您能够集中进行身份验证和责任授权，从而支持极狐GitLab 实例的身份验证和授权。极狐GitLab 可以与多种身份提供者集成（如Auth0、ADFS、Okta、Oauth2.0、LDAP），以支持客户多样的技术栈。极狐GitLab 还支持跨域身份管理系统(SCIM)。通过极狐GitLab 的 SSO 和 SCIM 集成，您可以以安全和高效的方式自动化用户身份的生命周期管理。

对于私有化部署的极狐GitLab，SSO ⁷ 和 SCIM 也是可用的。

注意： ISO/IEC 27001:2022 附件 A 中关于技术控制的 8.2 和 8.4 也包含在上面的图表中，因为它们与组织控制的 5.3、5.15 和 5.16 密切相关。极狐GitLab 的功能同样可用于支持这些控制要求。

使用极狐GitLab，您可以使用我们的计划工具来支持项目管理工作，并确保在项目生命周期的所有阶段都适当考虑了信息安全。

• 极狐GitLab 的团队计划功能允许用户从构思到组织、计划、协调和跟踪项目工作；

• 史诗、议题和任务可用于构思协作、解决问题以及和信息安全团队的工作协同。描述模板和检查项使用户能够将一致的信息描述和工作流程应用到议题或合并请求上。这些模板可以很好的将信息安全一致地整合到项目管理生命周期中；

• 标签允许用户根据自己的要求自定义议题的类型。为支持信息安全，标签可用于标识与项目相关的风险级别、项目所处的阶段，或项目对应的信息安全团队。范围标签是一种类似 K-V 键值对的标签，具有排他性，可防止议题同时具备逻辑冲突的标签（如议题具备 devops::configure 标签，它就不能同时具备 devops::create 标签）。在极狐GitLab 中，可以利用范围标签来标识分配给不同团队的工作、工作所在的项目阶段以及与工作相关的产品或功能集；

• 群组和项目议题看板可用于进一步组织您的工作，并提供与群组或项目关联的所有工作的汇总视图。

技术控制

使用极狐GitLab，您可以存储您的硬件和软件配置，保持版本控制，通过合并请求更新您的配置，并利用极狐GitLab 的 CI/CD 流水线将这些配置推送到您的应用程序和基础设施。极狐GitLab 使组织能够通过单一平台实施 GitOps。

极狐GitLab 的基础设施即代码扫描功能使您能够扫描您的 IaC 配置文件以查找已知漏洞。极狐GitLab 的 IaC 扫描支持多种 IaC 配置文件和语言，使其适应不同的技术栈。

对于合规专业人员，极狐GitLab 使您能够通过合规框架和合规流水线实施统一的、强制的自动化流程，从而支持您的安全规范，并促进遵守组织内部和外部的合规要求。

对于 Ultimate（旗舰版）客户，极狐GitLab 的合规中心提供了对组合规中项目中应用的不同合规框架的集中视图。您可以看到您的项目是否符合极狐GitLab 标准。

使用极狐GitLab，您可以使用审计事件来跟踪重要事件，包括谁执行了相关操作以及何时执行的。审计事件涵盖了广泛的类别，包括：

• 群组管理；

• 身份验证和授权；

• 用户管理；

• 合规和安全性；

• CI/CD；

• 极狐GitLab Runner。

对于 Ultimate（旗舰版）客户，可以启用审计事件流。审计事件流使用户能够为顶级组或实例设置流目的地，以接收有关组、子组和项目的所有审计事件的结构化 JSON

您可以使用极狐GitLab 的安全阶段中的功能来增强您的软件开发生命周期并提高产品的安全性。极狐GitLab 的 Secure 阶段功能包括：

• 静态应用程序安全性测试（SAST）；

• 动态应用程序安全性测试（DAST）；

• 代码质量；

• 容器扫描；

• 依赖项扫描。

以及更多！

敏感信息泄露是安全漏洞的主要问题之一。极狐GitLab 的秘钥检测功能可以扫描您的代码库，防止您的敏感信息被泄露。

极狐GitLab 的安全策略功能使用户能够自定义扫描执行策略和扫描结果策略。这些策略将安全阶段的扫描结果与合并请求批准功能结合，形成安全门禁，可以进一步满足合规要求。

综合来看，极狐GitLab 的安全功能为安全的软件开发生命周期程序打下了基础，并使您能够根据组织的要求实践安全编码原则。

极狐GitLab 提供了许多功能，以支持全面的变更管理。

极狐GitLab 的源代码管理功能使用户能够使用受保护分支。受保护分支允许极狐GitLab 用户对重要分支施加限制，实现：

• 哪些用户可以将更改合并到分支；

• 哪些用户可以推送到分支；

• 用户是否可以强制推送到分支；

• 当某些文件、文件夹发生变更时，是否需要相关负责人审核（代码所有者）；

• 哪些用户可以取消保护分支的保护。

代码库中的默认分支（如 master、main 分支）会自动指定为受保护分支。

合并请求（MR）是软件开发生命周期的核心组成部分。极狐GitLab 用户可以配置他们的合并请求，以便变更必须获得批准后才能合并。合并请求批准允许用户自定义审批流程，包括：

• 可以设置多条审批规则；

• 每条规则可以针对不同的分支生效；

• 每条规则可以设置不同的审核人、最小审核人数，即使他们没有代码库的合并权限；

• 代码所有者可以审批他们负责的文件、文件夹；

• 代码提交人、合并请求创建人不可参与评审。

正如之前提到的，议题和任务可用于记录和协作变更请求。描述模板使用户能够将一致的信息描述应用于议题或合并请求，实现对变更的统一管理。

了解更多

作为一体化 DevSecOps 平台，极狐GitLab 支持更广泛的需求。ISO 在 2022 年的 ISO 标准中增加了围绕安全编码和配置管理的附加控制。这表明认证机构对软件整体的安全性有了进一步关注。作为战略合作伙伴，极狐GitLab 可以帮助您更好的支持 ISO 27001 标准，并帮助您更快的开发更好的软件。

要了解更多信息，请查看我们的 tutorials 库。