Security Gateとは
Security Gateは、設定されたセキュリティ閾値に基づいてスキャン結果を評価することで、MR/PRのマージ前にソースコードの安全性を管理できる機能です。
仕組み
Security Gateが有効な場合、MR/PRスキャンが実行されるたびに、検出されたissue数と設定済みの閾値が比較されます。比較結果に基づき、CI/CDパイプライン内のAPIを通じて PASS または FAIL ステータスが返されます。
- PASS — issueの数が設定した閾値を超えていない
- FAIL — いずれかの閾値を超えている
Security Gateが Inactive 状態の場合、すべてのMR/PRスキャンは条件チェックなしでPASSになります。
Security Conditions
Security Gateは3種類のスキャンタイプで評価を行います。
| スキャンタイプ | 説明 |
|---|---|
| Code Analysis | ソースコード内のセキュリティ脆弱性を検出(SAST) |
| Secret Scanning | ハードコードされたsecretやcredentialを検出 |
| IaC Scanning | Infrastructure as Codeのmisconfigurationを検出 |
各スキャンタイプには4つのseverity閾値があります。
| 閾値 | 意味 |
|---|---|
| Max Criticals | 許容するCritical issueの最大数 |
| Max Highs | 許容するHigh issueの最大数 |
| Max Mediums | 許容するMedium issueの最大数 |
| Max Lows | 許容するLow issueの最大数 |
閾値の適用ルール:
- 値 =
0→ 該当severityのすべてのissueをブロック(issueが1件でも検出された場合、MR/PRはFAILになります) - 空欄 → そのseverityの条件チェックをスキップ
適用範囲
Security Gateはワークスペースに連携されたすべてのリポジトリに適用されます。システムに新しく追加されたリポジトリは、Security Gateが有効な場合に自動的に適用範囲に含まれます。
次のステップ
- Security Gateの設定 — Security Gateの有効化、閾値の設定、無効化の手順