Gitlab avance sur la partie sécurité

Leader sur la partie DevOps, GitLab tient à garder un coup d’avance sur son concurrent GitHub, qui multiplie les initiatives dans ce secteur. C’est pourquoi GitLab veut être un guichet unique de tous les outils DevOps possibles. Mais aussi DevSecOps, l’entreprise fondant de grands espoirs sur la sécurité.

Hier se tenait à Londres le GitLab Commit. Deux semaines après sa grand messe à Boston, l’entreprise réunissait plus de 300 développeurs et partenaires, dont Porsche, Cap Gemini et Kiwi, afin de faire le point sur les dernières avancées de la plateforme. Lors de la keynote d’ouverture, son CEO, Sid Sijbrandij, a insisté sur l’image de GitLab non en tant que simple repository et outil de CI/CD mais comme une « Plateforme Devops livrée en une seule application ».

En d’autres termes, GitLab entend réunir en son sein l’ensemble des outils nécessaires au développement, à la mise en production mais plus largement à l’ensemble du cycle de vie de l’application. Quitte à faire de l’ombre à des RedHat, Jira ou encore Dynatrace ou encore MicroFocus, bien que l’entreprise assure ne pas avoir la prétention de remplacer l’ensemble des solutions de la chaîne DevOps du marché.

Y compris des outils de sécurité. On connaissait déjà la partie Secure de son offre, avec ses outils d’analyse statique et dynamique d’une application, la détection d’informations d’authentification codée dans les commit, l’analyse des dépendances et des conteneurs. Gitlab compte y ajouter une couche baptisée Defend. Si Secure était orienté DevSec, Defend est elle SecOps, destinée à la protection des applications et des infrastructures contre les attaques.

De la sécu en prod

La dernière version de Gitlab embarquait la première itération d’un Web Application Firewall (WAF), bloquant les requêtes malveillantes avant qu’elles n’atteignent l’application. Figure également sur la roadmap un RAPS, ou Runtime Application Self Protection ainsi que de l’analyse de comportement (User and Entity Behavior Analytics ou UEBA), une dimension Data Loss Prevention ou encore des tableaux de bord dédiés à la gestion des vulnérabilités.

« Avoir de la sécurité sur l’ensemble du cycle de vie fait énormément de sens pour nous et nos clients » nous explique Philippe Lafoucrière Distinguished Engineer et ex-CEO de Gemnasium, racheté l’an dernier par GitLab. Une approche très « Security by Design » boostée par la tendance à l’automatisation « pour que le développeur puisse agir au niveau de la sécurité [détection de bug notamment] plutôt que l’équipe sécurité en aval ».

« Il s’agit d’éliminer les frictions entre équipes de développement et de sécurité, de sorte que les premières n’aient pas à revenir après coups sur ce qu’elles ont déjà fait et que les secondes puissent se concentrer sur les problèmes les plus importants. La sécurité est une grande partie de la vision de Gitlab » selon Philippe Lafoucrière. Et également une grande partie de ses revenus, qui continue de croître.