近日，GitLab 收购一家由 Imperva 和 Check Point 资深安全专家创立的静态应用安全测试初创公司，以期提高应用层风险检测能力，减少误报。

2017 年 GitLab 推出了静态应用程序安全测试 ，Oxeye 在识别和解决应用层风险方面有“独特技术手段”，此次收购能够加强 GitLab 公司的能力，Oxeye 的技术将会应用在 GitLab 整个软件开发生命周期内，以进行静态应用程序安全测试。

GitLab 产品管理总监 Sarah Waldner 在向媒体回复的邮件中表示，Oxeye 的技术能力将提高 GitLab 通过SAST 检测软件缺陷的能力，公司很高兴能够与 Oxeye 建立建设性的合作关系。

GitLab 如何整合 Oxeye？

Calcalist 方面尚未披露更详细的收购条款，据悉共计支付了 3000 万至 4000 万美元。Oxeye 目前有 30 名员工，曾获得了来自 MoreVC 的 530 万美元天使资金，自成立以来一直由 Dean Agron 领导。（他曾在 Imperva 做了六年销售工程师，在 Check Point 做了三年研发）

Waldner表示，Oxeye能够追踪从代码到云的安全漏洞，这使其有别于其它竞争对手，可以为开发人员和安全团队提供一种快速识别和解决最易被利用的风险的强大技术手段。收购完成后，GitLab  公司将立即把 Oxeye 集成到 GitLab 的 SAST 产品中。

Waldner 预计一年内 Oxeye 的功能将提升 GitLab SAST 对 Python、Go、Java 和 JavaScript 的扫描能力，并设定迭代改进的里程碑。Waldner 还强调，将 Oxeye 的功能集成到 GitLab 中，将增强这一关键任务产品领域，帮助满足客户的安全需求。

收购 Oxeye，GitLab 客户会获得那些收益？

对于收购 Oxeye 能够获得那些收益一事，Waldner 指出 收购 Oxeye 将使 GitLab 能够在其引擎中进行新型程序分析，在函数间和文件间执行程序间检查，这项新功能将带来更准确、更可操作的安全发现列表。此外，Waldner 还表示，GitLab 和 Oxeye 的现有客户将受益于更准确、更可操作的安全发现列表，以及更少的误报和更多的真阳性检测。

收购 Oxeye 后，GitLab 公司将专注于提高其安全与合规能力，巩固 GitLab 在应用安全测试市场的地位，并帮助客户更高效地构建安全软件。Oxeye 将补充 GitLab 现有的动态应用安全测试、模糊测试、容器扫描和依赖性扫描功能，所有这些功能都旨在帮助用户交付安全的应用程序。

最后，Waldner 强调，GitLab 的 DevSecOps 平台旨在帮助客户更快地发现并纠正软件中的安全漏洞，彻底消除软件开发过程中的低效问题。

参考文章:

https://www.inforisktoday.com/gitlab-acquires-oxeye-to-bolster-sast-in-devsecops-workflow-a-24695