• インテグレーション階層
• GitLab開発者ワークフローとは何ですか？
• 搭載方法

セキュアなパートナーインテグレーション - オンボーディング・プロセス

あなたの製品をセキュアステージとインテグレーションしたい場合、このPagesはセキュリティ結果に関してGitLabがユーザーに意図している開発者のワークフローを説明しています。GitLabユーザーが既に慣れ親しんでいるワークフローに合うインテグレーションを構築できるよう、ガイドラインとしてご利用ください。

このページでは、パートナーとしてのオンボーディングに関連する技術的な作業のためのリソースも提供しています。以下のステップは、インテグレーションを完了するために必要なことのハイレベルなビューであり、その方法についてのより詳細なリソースへのリンクでもあります。

インテグレーション階層

GitLabで提供されるセキュリティは、GitLab UltimateユーザーとDevSecOpsユースケース向けに設計されています。全ての機能はこれらの階層にあります。これには、ユーザーが好みのセキュリティツールを簡単にGitLabに導入するために一貫した体験を提供するために必要なAPIと標準レポートフレームワークが含まれます。インテグレーション・パートナーの皆様には、私たちが相互の顧客に最大の価値を提供できるよう、これらのライセンス層に集中して取り組んでいただくようお願いいたします。

GitLab開発者ワークフローとは何ですか？

このワークフローは、GitLabユーザーが私たちの製品とどのように接し、どのように機能することを期待しているかを表しています。ユーザーが今日どのようにGitLabを使っているかを理解することは、あなた自身の製品とその結果をGitLabに統合するのに最適な場所を選ぶのに役立ちます。

• 開発者は、結果を利用したり、作業中のアイテムに関するフィードバックにアドレスするために新しいツールを使うことなくコードを書きたいと思っています。GitLabという一つのツールの中にとどまることで、彼らが取り組んでいるコードやプロジェクトを仕上げることに集中し続けることができます。
• 開発者は Git ブランチにコードをコミットします。開発者は GitLab 内部でマージリクエスト(MR) を作成し、そこで変更をレビューします。MR は GitLab パイプラインをトリガーし、コードに対してセキュリティチェックを含む関連ジョブを実行します。
• パイプラインジョブには様々な目的があります。ジョブは、アプリのセキュリティや企業ポリシー、コンプライアンスに関するスキャンを行うことができます。完了すると、ジョブはそのステータスをレポーターに報告し、結果としてジョブのアーティファクトを作成します。
• マージリクエストセキュリティウィジェットはパイプラインのセキュリティチェックの結果を表示し、開発者はそれをレビューできます。開発者は結果の要約と詳細の両方をレビューできます。
• プロジェクトに特定のポリシー（マージリクエストの承認者など）が適用されている場合、開発者は特定の発見を解決したり、特定の人のリストから承認を得たりする必要があります。
• セキュリティダッシュボードはまた、開発者がコードで対処する必要があるすべての脆弱性を迅速に確認するために使用できる結果を表示します。
• 開発者が脆弱性の詳細を読むと、追加情報と次のステップの選択肢が表示されます：
  1. イシューの作成（発見の確認）：優先すべき新しいイシューを作成します。
  2. コメントを追加して脆弱性を却下します：脆弱性の発見を却下する場合、ユーザーは、脆弱性を緩和したこと、脆弱性を受け入れたこと、または脆弱性が誤検出であることをコメントすることができます。
  3. 自動修復/マージリクエストの作成：脆弱性の修正が提供され、ユーザーによる余分な労力を必要としない簡単な解決が可能になります。これは可能な限り提供されるべきです。
  4. リンク：脆弱性は、ユーザが脆弱性に関するより多くのデータを得るために、外部のサイトやソースにリンクすることができます。

搭載方法

このセクションでは、パートナーとして参加し、セキュアステージとのインテグレーションを完了するために必要な手順について説明します。

1. 当社のパートナーシップについてお読みください。
2. 新しいパートナー・イシュー・テンプレートを使ってイシューを作成し、ディスカッションを始めてください。
3. テストアカウントを取得して、インテグレーション開発を開始しましょう。GitLab.comサブスクリプション・サンドボックスまたはEE開発者ライセンスをリクエストできます。
4. ユーザーが自分のGitLabパイプラインに統合できるパイプラインジョブテンプレートを提供します。
5. パイプラインジョブでレポートのアーティファクトを作成します。
6. パイプラインジョブがGitLabが処理できるレポートアーティファクトを作成し、自分のプロダクトの結果をGitLabの他の部分とうまく表示できるようにしましょう。
   • このステップの詳細な技術的指示を参照してください。
   • ジョブレポートのアーティファクトについての詳細をご覧ください。
   • ジョブのアーティファクトについて読む
   • レポートのアーティファクトは、現在サポートされている形式のいずれかでなければなりません。詳細については、レポートのドキュメントを参照してください。
     • SASTレポートのドキュメント。
     • 依存関係スキャンレポートのドキュメント
     • コンテナスキャンレポートのドキュメント
     • 作成されたアーティファクトも定義されている、安全なジョブ定義の例を参照してください。
     • 新しい種類のスキャンやレポーターが必要な場合は、イシューを作成し、ラベルdevops::secureを追加してください。
   • ジョブが完了すると、データを見ることができます：
     • マージリクエストセキュリティレポート（MR セキュリティレポートデータフロー）。
     • ジョブのアーティファクトを参照中。
     • セキュリティダッシュボード（ダッシュボードのデータフロー）。
7. オプション：結果を脆弱性として扱う方法を提供します：
   • ユーザーは、ワークフロー内でアーティファクトの調査結果と対話できます。ユーザは、調査結果を却下したり、受け入れてバックログのイシューを作成したりできます。
   • ユーザーの操作なしで自動的にイシューを作成するには、イシューAPIを使用してください。
8. オプションです：自動修復ステップを提供します：
   • アーティファクトでremediations を指定した場合、当社の修復インターフェイスを通じて提案されます。
9. GitLab へのインテグレーションをデモしてみましょう：
   • インテグレーションをテストし、デモを行う準備ができましたら、GitLab までご連絡ください。このステップをスキップすると、サポートされたマーケティングを行うことができません。
10. GitLabインテグレーションのサポート付きマーケティングを開始します。
    • GitLabのパートナーチームと協力し、適切なマーケティング活動をサポートします。
    • サポートされるマーケティングの Pages には、当社のセキュリティ パートナー ページへの掲載、Unfiltered ブログ記事の投稿、共同ブランドのウェビナーの開催、共同ブランドのホワイト ペーパーの作成などが含まれます。

当社には ビデオ・プレイリストがあります。ツールのインテグレーションに関する様々なトピックをカバーしています。

インテグレーションや上記の手順で問題が発生した場合は、イシューを作成してご相談ください。