GitLab、2月〜4月にリリースされたGitLabの新機能を発表

　GitLabは、2023年度第1四半期（2023年2月〜4月）にリリースされたGitLabの新機能を発表した。

• AIによる脆弱性緩和ガイダンス：この機能は、基本的な脆弱性情報とユーザーのコードから得られた知見を組み合わせて助言をする。初期テストでは、脆弱性修正措置の決定までの時間短縮が大いに期待される結果が得られています。
• ライセンスポリシーの設定とソフトウェアライセンスのスキャンによるコンプライアンスの確保：新しい改良型のライセンスコンプライアンススキャナーとライセンス承認ポリシーを最近リリースした。新しいスキャナーは、適用するデュアルライセンスまたは複数のライセンスを含むパッケージからライセンス情報を抽出し、自動的に構文解析して500種類以上のライセンスを識別する。ライセンス承認ポリシーは、未承認のライセンスが使用されるリスクを最小限に抑え、手作業でのコンプライアンス確保に要する時間と労力を削減するのに役立つ。
• 個人アクセストークンの漏えい防止：開発者がPATをコードに誤ってコミットするリスクを軽減するために、パブリックGitLabリポジトリ内の漏えいしたPATを自動的に取り消すようにしました。この機能は、GitLabユーザーやユーザー組織が認証情報の漏えいを防止し、本番アプリケーションへのリスクを軽減するのに役立ちます。
• セキュリティポリシーの自動適用：ポリシー適用を自動化すれば、適切な承認なしにセキュリティルールが迂回されることを防止できます。セキュリティチームは、さまざまなチーム（QA、ビジネス、法務など）の複数の承認者による承認の義務付け、2段階承認プロセス、ポリシー対象外ライセンスの使用に関する例外の承認などのポリシールールを設定できる。設定したポリシーは、グループまたはサブグループレベルで複数の開発プロジェクトに適用でき、一元化された単一のルールセットを容易に維持することが可能になる。
• セキュリティテストでの誤検出の防止：DAST API Analyzerの精度を改善しした。これにより、DevSecOpsチームが真のセキュリティ脅威に焦点を合わせることが容易になった。
• さらなるスピード、さらなるガードレールが続々登場：2023年のGitLabは、ユーザーがセキュアなコードを容易かつ効率的に提供できるようにするために、ユーザーのソフトウェア開発ライフサイクルにセキュリティを統合しやすくすることを目指して、意欲的なロードマップを掲げている。

　また、まもなくリリース予定の機能は以下の通り。

• グループ/サブグループレベルの依存関係リスト：プロジェクトレベルの依存関係の管理は、何百件ものプロジェクトを抱える組織にとって問題となることがあるため、プロジェクトの依存関係を簡単に確認できるようにする。
• コンテナおよび依存関係の継続的スキャン：新しいセキュリティアドバイザリが公開された時点またはコードが変更された時点で自動スキャンを実行することにより、脆弱性検出の可視性と適時性を高める。
• コンプライアンスフレームワーク管理ツール：コンプライアンスフレームワークを既存プロジェクトや複数のプロジェクトに同時に適用できるようになる。
• SBOMの取り込み：サードパーティツールからGitLabにCycloneDXファイルをインポートして、すべてのソフトウェア依存関係のソースを一元化できる。システム全体の可視性が向上し、実用的な知見を生み出すのに役立つ。