BlogセキュリティGitLab + HackerOneでアプリケーションセキュリティを強化

公開:2025年4月3日

1分で読めます

GitLab + HackerOneでアプリケーションセキュリティを強化

GitLabとHackerOne社のパートナーシップの詳細と、組織のアプリケーションセキュリティ対策状況を強化するインテグレーションを簡単に導入する方法をご紹介します。

Fernando DiazFernando Diaz

security

tutorial

integrations

partners

DevSecOps platform

DevSecOps

bug bounty

開発プロセスにおいて、セキュリティはもはや後回しにできるものではありません。組織には、ソフトウェア開発ライフサイクル全体にセキュリティを統合できる堅牢なソリューションが求められています。ここで、HackerOne社とGitLabのパートナーシップが、現代のアプリケーション開発チームにとって魅力的な組み合わせとなります。

GitLabはAI搭載の包括的なDevSecOpsプラットフォームであり、HackerOneは業界をリードするクラウドソーシング型セキュリティプラットフォームです。この2社がパートナーシップを結び、GitLabの効率的なDevSecOpsワークフローと、HackerOneの強力な脆弱性管理機能という両者の強みを融合させました。

このチュートリアルでは、HackerOneのGitLabインテグレーションを実装することで、デベロッパーの生産性とセキュリティ対策状況を強化する方法を説明します。

デベロッパーを支援するインテグレーション

HackerOneのGitLabインテグレーションは、非常にシンプルでありながら強力です。セキュリティ研究者がHackerOneのプラットフォーム上で脆弱性を発見すると、その情報で自動的にGitLabのイシューが作成されます。これにより、以下のようなシームレスなワークフローが実現します。

  • セキュリティ研究者がHackerOneのプラットフォームで脆弱性を特定
  • 検証済みの脆弱性について自動的にGitLabのイシューが作成される
  • 開発チームは既存のワークフロー内でこれらのイシューに直接対応できる
  • 解決状況は両プラットフォーム間で同期される

このインテグレーションを使うことで、GitLabイシューをHackerOne上の参照として追跡でき、GitLabとHackerOneの強みをすぐに取り入れることができます。このインテグレーションにより、HackerOneのレポートとGitLabイシュー間で双方向かつシームレスなデータ同期が可能となり、開発チームとセキュリティチームの連携が強化され、セキュリティの脆弱性への対応が効率化します。

HackerOneレポートとGitLabイシュー間で情報を同期するには、HackerOneのGitLabインテグレーションのドキュメントに従って設定を行ってください。このドキュメントでは、以下の手順が解説されています。

  1. HackerOneの設定に基づいたOAuth 2.0アプリケーションをGitLabインスタンス上に作成する
  2. HackerOneと新たに作成したGitLabのOAuth 2.0を接続する
  3. GitLab APIへのアクセスをHackerOneに許可する
  4. HackerOneレポートをエスカレーションするGitLabプロジェクトを設定する
  5. HackerOneの各フィールドをGitLabの対応するフィールドにマッピングする
  6. GitLabからHackerOne、およびHackerOneからGitLabへのイベントを設定する

インテグレーションを完了すると、GitLabとHackerOneの間でデータが双方向にシームレスに同期されます。これにより、コンテキストの切り替えが簡素化され、両方のシステムで脆弱性を簡単に追跡できるようになります。このインテグレーションにより、次の機能が使用できます。

  • **HackerOneからGitLabイシューを作成:**HackerOneで受け取ったレポートに基づき、新しいGitLabイシューを作成できます。
  • HackerOneレポートを既存のGitLabタスクにリンク
  • HackerOneからGitLabへの更新内容の同期: レポートの以下の更新情報がGitLabのコメントとして同期されます。
    • レポートのコメント
    • ステータスの変更
    • 報酬情報
    • 担当者の変更
    • 公開設定の変更
    • GitLabイシューのクローズ
  • GitLabからHackerOneへの更新内容の同期: GitLabの以下の更新情報がHackerOneの関連レポートの内部コメントとして反映されます。
    • コメント
    • ステータスの変更
  • HackerOneの重大度とGitLabラベルのマッピング: レポートをGitLabにエスカレーションする際、カスタムの優先度を設定できます。
  • 期限のマッピング: レポートの重大度に基づいて、自動で期限を設定できます。

GitLab + HackerOneによる、GitLabでのレポートへのコメント追加およびステータス変更

これらの機能により、開発チームとセキュリティチームの連携がよりスムーズになり、効率よくセキュリティの脆弱性に対応できます。インテグレーションの仕組みについてさらに詳しく知りたい場合は、インテグレーションドキュメントをご覧ください。

HackerOne社のバグバウンティプログラムについて

HackerOne社は、顧客のソフトウェアシステム、Webサイト、またはアプリケーションに存在する脆弱性を発見・報告することで報酬が得られる、バグバウンティプログラムやサイバーセキュリティ施策を提供しています。バグバウンティプログラムは、アプリケーションのセキュリティを強化する上で、以下のような役割を果たします。

  • 悪意ある攻撃者に悪用される前にセキュリティ上の欠陥を特定する
  • 世界中のセキュリティ研究者による多様な専門知識を活用する
  • コスト効率の高いサイバーセキュリティ強化手段を提供する
  • 社内のセキュリティ対策や従来型のペネトレーションテストを補完する

GitLabはHackerOne社のバグバウンティプログラムを活用しており、セキュリティ研究者はGitLabのアプリケーションやインフラにおける脆弱性を報告できます。このクラウドソーシングによるアプローチにより、GitLabは潜在的なセキュリティ問題をより効果的に特定し、対処できます。

HackerOne社のGitLabバグバウンティページ

HackerOneのプラットフォームと世界中のハッカーコミュニティを活用することで、組織はセキュリティ対策状況を大幅に強化し、脆弱性をより迅速に特定し、潜在的な脅威に先手を打つことができます。

GitLabでアプリケーションを保護し、効率性を向上させる

GitLabは、セキュリティおよびコンプライアンスツールを含む、ソフトウェア開発ライフサイクル全体をカバーする完全なDevSecOpsプラットフォームを提供しています。GitLabは、以下の種類のセキュリティスキャナーに対応しています。

  • 静的アプリケーションセキュリティテスト(SAST)
  • 動的アプリケーションセキュリティテスト(DAST)
  • コンテナスキャン
  • 依存関係スキャン
  • Infrastructure as Codeスキャン
  • カバレッジガイド付きファジング
  • Web APIファジング

GitLabを使えば、CI/CDパイプラインの定義ファイルにテンプレートを追加するだけで、セキュリティスキャンを導入できます。たとえば、SASTを有効にするには、.gitlab-ci.ymlファイルに数行のコードを追加するだけです。

stage:
  - test

include:
  - template: Jobs/SAST.gitlab-ci.yml

これにより、testステージでSASTが実行され、アプリケーションで使用されている言語を自動で検出します。そして、マージリクエストが作成されるたびに、SASTがフィーチャーブランチとターゲットブランチ間の差分にある脆弱性を検出し、それぞれの脆弱性に関する修正のためのデータを提供します。

マージリクエストで検出されたNoSQLインジェクションの脆弱性

SASTスキャナーの結果は、セキュリティポリシーが適用されている場合、コードのマージをブロックすることができます。GitLabのネイティブユーザーを承認者として設定でき、脆弱なコードがマージされる前に必ずレビューを行うようにできます。これにより、すべての脆弱性が適切な関係者によって確認される体制が整います。

マージリクエストの承認ポリシー

HackerOneは、オペレーションおよび開発プロセスにおいてGitLabを複数の重要な方法で統合しており、それにより開発プロセスの改善、スケーラビリティの向上、チーム間のコラボレーションの強化を実現しています。こうした改善によって、デプロイがより迅速になり、チームプランニングもスムーズになります。

HackerOneのGitLabインテグレーションの主な利点

HackerOneとGitLabを組み合わせて活用することで、以下のような主なメリットがあります。

  • セキュリティの可視性向上: デベロッパーは、普段の作業環境から離れることなく、セキュリティ上の脆弱性を即座に把握できます。リアルタイムで認識できるので、機能開発と並行してセキュリティ問題に優先順位を付けて対応できます。
  • 修正プロセスの効率化: HackerOneのレポートを直接GitLabイシューに変換することで、修正作業が標準の開発サイクルに組み込まれます。プラットフォームを行き来する際の頭の切り替えを減らし、セキュリティ修正を他の開発作業と一緒に追跡できます。
  • 修正までの時間を短縮: このインテグレーションにより、脆弱性の発見から解決までの時間が大幅に短縮されます。HackerOneからの報告が即座にGitLabで確認できるため、デベロッパーは遅延なく修正に着手でき、全体的なセキュリティ対策状況の強化にもつながります。
  • コラボレーションの改善: セキュリティ研究者、セキュリティチーム、デベロッパーがこのインテグレーションを通じてより効果的に連携できます。コメントや更新情報が両プラットフォーム間でやり取りされ、セキュリティ強化に向けた協力体制が整います。
  • 実際の導入効果: HackerOneとGitLabのインテグレーションを導入した組織では、以下のような成果が報告されています。
    • 脆弱性の発見から修正までの時間が最大70%短縮
    • デベロッパーが慣れ親しんだ作業環境のまま対応できることによる満足度の向上
    • 組織全体でのセキュリティ可視性の向上
    • セキュリティリソースのより効果的な活用

インテグレーション設定ページにアクセスして、今日から導入を始めましょう。

関連リンク

GitLabとHackerOneの詳細、およびセキュリティ対策状況の強化については、以下のリソースをご覧ください。

ご意見をお寄せください

このブログ記事を楽しんでいただけましたか?ご質問やフィードバックがあればお知らせください。GitLabコミュニティフォーラムで新しいトピックを作成して、ご意見をお聞かせください。

フォーチュン100企業の50%以上がGitLabを信頼

より優れたソフトウェアをより速く提供

インテリジェントなDevSecOpsプラットフォームで

チームの可能性を広げましょう。

無料トライアルを開始 お問い合わせ