Menu
  1. DevOps Hub
  2. ブログ
  3. GitLab
  4. 【知っておきたい】GitLab最新ブログのご紹介 Part9
2025.12.01

【知っておきたい】GitLab最新ブログのご紹介 Part9

近藤泰介
このエントリーをはてなブックマークに追加

ソフトウェア開発において、静的アプリケーションセキュリティテスト(SAST)はリリース前にコードの脆弱性を検出する重要な機能です。
しかし、従来のSASTには「検出精度」と「実行速度/開発者体験」のどちらかを犠牲にしなければならないという課題がありました。たとえば、スキャンが遅いと開発フローの妨げとなり、結果としてセキュリティスキャン自体が敬遠されがちです。反対にスピードを優先すると、重大な脆弱性の見逃しや偽陽性が増える恐れがあります。

こうした課題を背景に、GitLabでは単なる「SAST」から一歩進めて、スキャンの速度と精度・実用性を両立させる新機能「GitLab Advanced SAST」を提供しています。
今回のブログ記事では、その最新版アップデート内容について紹介します。

Advanced SAST のアップデート内容と主な改善ポイント

GitLabの最新ブログによると、Advanced SASTでは以下の改善が行われ、より高速かつスマートなスキャンが可能になっています。

  • スキャン精度の向上とカスタム検出ルールの追加
  • 初期状態でGitLabのセキュリティ研究チームによる高精度なルールセットが搭載されています。さらに、ユーザー(組織)側で独自の検出ルールを定義することが可能です。例えば、組織固有の禁止関数呼び出しなどを検出するカスタムルールを追加でき、報告は既存ルールと同じ画面で確認できるため管理も容易です。
  • パフォーマンス改善による高速スキャン
  • マルチコアスキャン:GitLab Runnerで複数CPUコアを活用することで、スキャン時間を大幅に短縮。
  • 差分ベーススキャン:マージリクエスト(MR)で差分となったコードのみスキャンし、大規模リポジトリのスキャン時間を削減。
  • アルゴリズム最適化とエンジン強化:従来20分以上かかっていた大規模リポジトリのスキャンが、MRでは10分未満に短縮された事例もあります。

10万を超えるコードベース、数百万回のスキャン実績に基づいた改善で、信頼性と実用性が向上しています。
これらの改善により、開発フローの妨げにならず、セキュリティ検査を「自然な開発の一部」として組み込むことが可能となっています。

従来SASTとAdvanced SASTの違い ― Advancedの価値とは

従来のSAST(例:Semgrepベース)は、単一ファイルや単一関数レベルでの静的解析が基本であり、複数ファイルや関数をまたぐ複雑な脆弱性検出や、実際に悪用可能かのコードフロー把握には限界がありました。その結果、偽陽性(本質的でない問題の検出)や、本来見逃すべき問題の見落としが生じやすく、安定した本番運用には課題がありました。

一方、Advanced SASTはクロスファイル/クロス関数taint-analysis(汚染分析)を行い、脆弱性につながるデータフローを追跡できます。これにより偽陽性が減り、「本当に対処すべき脆弱性」に集中できるようになります。さらにスキャン速度も改善され、開発者にとって「遅くて重いセキュリティチェック」の印象を払拭し、セキュリティを日常の開発ワークフローに統合しやすくなっています。

Advanced SASTが特に向いているチーム・組織

今回のアップデートを踏まえると、以下のような状況やニーズを持つチーム・組織にはAdvanced SASTの導入価値が高いと言えます。

  • 大規模リポジトリを持ち、複数ファイル・複数モジュールにまたがる複雑なコードベースを扱っている
  • CI/CDを活用し、マージリクエストベースでの高速フィードバックを重視している
  • セキュリティチェックはしたいが、開発速度や開発者体験(待ち時間やワークフローの中断)は最小限にしたい
  • 独自のセキュリティポリシーやコード規約があり、標準検出ルールだけでは対応しきれないカスタムチェックが必要
  • 偽陽性の多さやチェック時間の長さから、従来のSAST導入に苦労していた

上記に当てはまる場合、Advanced SASTは単なる「強力なセキュリティツール」ではなく、「開発とセキュリティを両立するための現実的な選択肢」と言えます。

まとめ

GitLabの今回のアップデートは、単なる新機能追加にとどまらず、「セキュリティを開発者にとって扱いやすくする」という観点で優れた実践例と言えます。
セキュリティは重要ですが、手間がかかるという悩みを持つエンジニアやチームは多いでしょう。しかし、スキャンの速度と精度が両立すれば、その「手間と時間」は障壁になりません。
また、カスタムルールの定義により、各組織のリスクやコーディングスタイルに合わせた最適なセキュリティチェックが可能となり、「汎用的なSASTでカバーできない隙間」を埋めることができます。既存のCI/CDワークフローにほぼ手を加えず導入できるため、導入障壁も低く、まず試してみる価値はあるかと感じました。

【参考ブログ】
高度なSASTでより高速かつスマートなスキャンを実現

関連リンク

GitLab公式ブログ:https://about.gitlab.com/ja-jp/blog/

DevOps Hub GitLab関連ブログ: /devops-hub/blog/gitlab/

この記事の著者:近藤泰介 -Taisuke Kondoh-

SB C&S株式会社
主にデジタルワークスペース実現のためのソリューション展開、案件支援、先進事例の獲得、協働パートナーの立ち上げを経験。
現在は新規事業開発やDevOps・クラウドネイティブに関する提案活動、販売代理店の立ち上げ、
国内外の新規商材発掘(目利き)/調査といったTec Scouting活動に従事。
また、Microsoftを中心としたビジネス領域の調査・プリセールスも行う。

この著者の記事一覧

DevOps Hubのアカウントをフォローして
更新情報を受け取る

  • Like on Feedly
    follow us in feedly

関連記事

このエントリーをはてなブックマークに追加

お問い合わせ

DevOpsに関することなら
お気軽にご相談ください。

Facebook、TwitterでDevOpsに関する
情報配信を行っています。

DevOps Hub