沿襲我們的月度發佈傳統,極狐GitLab 發佈了 18.5 版本。本次更新的亮點包括:Maven 虛擬倉庫 UI(Beta)、全新個人主頁、實例級合規與安全策略管理 以及 DAST 認證腳本 等。
這些能力聚焦產品規劃協作、軟件供應鏈與安全運營的效率提升,幫助團隊在一個平台裏完成從計劃到交付、從開發到防護的閉環。
關於極狐GitLab 的安裝升級,可以查看官方指導文檔
版本信息
容器鏡像
- 18.5.0 容器鏡像
registry.gitlab.cn/omnibus/gitlab-jh:18.5.0-jh.0- 18.5.0 Helm Chart(JH)
helm search repo gitlab-jh
NAME CHART VERSION APP VERSION
gitlab-jh/gitlab 9.5.0 v18.5.0
gitlab-jh/gitlab-runner 0.82.0 18.5.018.5 關鍵功能
Maven 虛擬倉庫 Web 管理界面(測試版)
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
GitLab 18.5 引入了一個全新的 Maven 虛擬倉庫 Web 管理界面,提供全面的可視化管理體驗。 過去,平台工程師只能通過 API 調用 來配置和管理虛擬倉庫, 這種方式不僅繁瑣,還需要具備較強的技術背景, 給日常維護帶來了較大的操作負擔。
通過新的 Web 界面,平台工程團隊的運維開銷顯著降低。 常見任務(如清理過期緩存、調整上游源順序以優化性能、測試連通性等) 如今都可通過 可視化操作 一鍵完成。
同時,開發團隊也能獲得更高的依賴配置可見性, 從而在構建性能與安全策略方面開展更充分的討論與協作。
Maven 虛擬倉庫 目前仍處於 測試階段(Beta), 面向 GitLab Premium 和 Ultimate 客户 開放。 當前測試版的限制包括:
- 每個頂層羣組最多可創建 20 個虛擬倉庫;
- 每個虛擬倉庫最多可配置 20 個上游源(Upstream)。
全新個人主頁:快速回到正在處理的工作
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
現在,你可以使用全新的 個人主頁(Personal Homepage), 在一個界面中集中查看所有關鍵的 GitLab 活動, 幫助你更輕鬆地從上次中斷的地方繼續工作。
該主頁整合了你的:
- 待辦事項(To-dos)
- 分配給你的 Issue
- 合併請求(Merge Requests)
- 評審請求(Review Requests)
- 最近查看的內容(Recently Viewed Items)
實例級合規與安全策略管理
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在大型企業環境中,多個頂層羣組往往需要遵循統一的安全與合規標準。 例如,公司可能要求所有項目必須符合 ISO 27001 或 SOC 2 框架, 並統一執行相同的流水線合規策略(Pipeline Compliance Policies)。
在 GitLab 18.5 中,你現在可以在單一頂層羣組內創建、配置並管理這些合規與安全策略, 並通過 「合規與安全策略組(Compliance and Security Policy Group)」 進行集中管理。
此功能允許企業在頂層實現策略統一與強制執行, 同時仍支持各業務羣組根據自身情況創建補充或更細化的策略。
DAST 認證腳本(DAST Authentication Script)
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在進行 動態應用安全測試(DAST) 時, 許多 Web 應用需要通過複雜的登錄流程或多因素認證(MFA)才能訪問受保護區域。 此前,這類認證過程往往需要人工介入, 而現在你可以通過腳本在 CI/CD 流水線 中自動執行這些認證步驟。
DAST 認證腳本 允許你在掃描任務開始前定義自動化登錄邏輯, 包括基於時間的一次性密碼(OTP MFA)等高級認證方式。 這不僅能提高掃描的自動化程度, 還確保關鍵安全控制在測試過程中得到完整保留。
極狐 GitLab 18.5 其他改進
配置 Issue 與任務的狀態生命週期
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
在以往版本中,Issue(議題) 和 任務(Task) 必須共享相同的狀態配置,這使得複雜項目在管理不同類型工作項時缺乏靈活性。
在 GitLab 18.5 中,你現在可以分別為 Issue 和 任務 定義獨立的狀態生命週期(Status Lifecycle)。 例如,任務可以使用「未開始 → 進行中 → 完成」的簡單流程,而 Issue 則可以採用「已提出 → 設計中 → 審核中 → 已關閉」的更復雜工作流。
此外,GitLab 還提供了內置的狀態映射功能。當工作項類型發生轉換(如從任務變為 Issue)時,系統會自動映射對應的狀態,無需批量編輯或人工調整。
在 Issue 中查看子任務完成進度
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
你現在可以直接通過 子任務組件(Child Items Widget) 在 Issue 中追蹤任務進展, 一目瞭然地查看整體狀態概覽。
此改進讓你能夠實時掌握執行過程中可能出現的瓶頸,在衝刺截止日期(Sprint Deadline)受影響之前,及時識別風險項並採取調整措施。
該功能顯著提升了項目透明度與工作可視化程度,幫助團隊更高效地管理複雜的任務層級結構。
環境 **deployment_tier** 字段支持變量展開
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
你現在可以在 **environment:deployment_tier** 字段中使用 CI/CD 變量, 從而根據流水線條件動態配置部署層級。
此功能讓部署配置更加靈活、自動化, 特別適合需要根據環境或分支動態切換部署級別的 DevOps 場景。
高級 SAST 支持 C/C++(測試版)
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
你現在可以在 高級 SAST(Static Application Security Testing) 中使用對 C/C++ 的支持(測試版)。 此更新使掃描器能夠在 跨文件和跨函數 的範圍內分析代碼, 從而識別更復雜的漏洞模式。
依賴掃描(有限可用性)
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
依賴掃描(Dependency Scanning) 的新模板現在可以生成一份完整的報告,其中包含項目中所有組件及其對應的漏洞。該報告能夠與 安全執行策略(Security Execution Policies, SEP)和 保護執行策略(Protection Execution Policies, PEP) 協同使用,幫助團隊在更高層級上統一管理依賴項風險。
此功能目前處於 有限可用性(Limited Availability) 階段,面向 旗艦版(Ultimate) 客户開放。
密鑰有效性檢查(測試版)
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
當在代碼中檢測到可能泄漏的憑證時,GitLab 現在可以自動檢查這些密鑰是否仍然有效。
在安全掃描報告中,系統會在檢測結果旁顯示密鑰的有效性狀態,幫助你快速識別需要立即吊銷的憑證,從而加快修復響應並降低潛在風險。
常繞過合併請求審批策略
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y | ||
| GitLab Dedicated | Y |
在緊急情況下,某些團隊需要在不完全滿足審批策略的條件下,立即合併關鍵的修復或補丁代碼。
GitLab 18.5 引入了 異常繞過(Exception-based Bypass) 功能,允許指定的用户或羣組在合併請求(Merge Request)審批策略中,以受控方式繞過審批要求。
管理員可以為這些用户配置繞過權限,並要求在執行繞過操作時提供明確的理由説明。所有此類操作都會被記錄並可供審計,確保合規性與透明度。
該功能幫助企業在保持安全與合規控制的同時,在緊急情況下仍具備足夠的靈活性來快速響應。
此功能適用於 旗艦版(Ultimate) 客户。
管道安全標籤中刷新安全發現狀態
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
現在,在 流水線(Pipeline)安全標籤頁 中,安全掃描的漏洞狀態會自動與項目的安全發現(Security Findings)保持同步。
這意味着如果你在漏洞報告中更改了漏洞的狀態——例如從「已檢測(Detected)」更新為「已確認(Confirmed)」或「已解決(Resolved)」——該狀態會在流水線視圖中實時更新,無需手動刷新或重新運行掃描。
此改進讓安全團隊能夠更高效地追蹤漏洞修復進度,確保在流水線層面獲得準確、最新的安全態勢。
該功能適用於 旗艦版(Ultimate) 客户。
外部控制狀態請求的控制
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在某些安全或受管環境中,你可能希望完全由外部系統來控制安全掃描的狀態更新。
在 GitLab 18.5 中,管理員可以禁用 GitLab 自動發送的「每 12 小時刷新一次控制狀態(control state)」的週期性請求。 一旦禁用,GitLab 將不會再主動請求狀態同步,而是完全依賴外部系統通過 API 來推送更新。
此功能為與外部合規系統、集中安全管理平台的集成提供了更高的可控性,確保所有狀態變更都經過企業安全策略的統一管控。
該改進特別適用於需要嚴格治理和審計追蹤的組織,並面向 旗艦版(Ultimate) 客户開放。
依賴列表僅顯示活動漏洞
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在 GitLab 18.5 中, 依賴項列表(Dependency List) 現在只會顯示處於 “活動狀態” 的漏洞。
也就是説,只有狀態為 已檢測(Detected) 或 已確認(Confirmed) 的漏洞 會出現在依賴列表中。
已解決(Resolved)或已駁回(Dismissed)的漏洞將不再顯示, 從而讓團隊更專注於當前仍需處理的安全問題。
此改進使依賴列表更加簡潔、實用, 幫助開發和安全團隊聚焦於真正存在風險的依賴項。
該功能適用於 旗艦版(Ultimate) 客户。
依賴列表僅顯示活動漏洞
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在 GitLab 18.5 中, 依賴項列表(Dependency List) 現在只會顯示處於 “活動狀態” 的漏洞。
也就是説,只有狀態為 已檢測(Detected) 或 已確認(Confirmed) 的漏洞 會出現在依賴列表中。
已解決(Resolved)或已駁回(Dismissed)的漏洞將不再顯示, 從而讓團隊更專注於當前仍需處理的安全問題。
此改進使依賴列表更加簡潔、實用, 幫助開發和安全團隊聚焦於真正存在風險的依賴項。
該功能適用於 旗艦版(Ultimate) 客户。
依賴列表僅顯示活動漏洞
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在 GitLab 18.5 中,依賴項列表(Dependency List) 現在只會顯示處於 “活動狀態” 的漏洞。
也就是説,只有狀態為 已檢測(Detected) 或 已確認(Confirmed) 的漏洞會出現在依賴列表中。
已解決(Resolved)或已駁回(Dismissed)的漏洞將不再顯示,從而讓團隊更專注於當前仍需處理的安全問題。
此改進使依賴列表更加簡潔、實用,幫助開發和安全團隊聚焦於真正存在風險的依賴項。
該功能適用於 旗艦版(Ultimate) 客户。
改進組和項目的“非活動項”管理
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
在 GitLab 18.5 中,我們改進了 組(Group) 與 項目(Project) 的「非活動項」管理體驗。
新的「非活動」標籤頁(Inactive Tab)可統一顯示:
- 已歸檔(Archived)的組或項目;
- 標記為待刪除(Scheduled for Deletion)的項目。
此外,API 也新增了相應參數,允許管理員通過編程方式查詢非活動組和項目,從而更方便地執行批量清理、統計或審計操作。
該改進幫助企業在保持數據整潔的同時,更好地管理長期未使用的資源,為治理與存儲優化提供支持。
Markdown 表格自動排版
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
在 GitLab 18.5 中,純文本編輯器(Plain Text Editor)新增了 “重新排版表格(Reformat Table)” 功能,可自動對 Markdown 表格進行對齊與格式化。
當你在純文本模式下編輯 Markdown 文件時,點擊「重新排版」按鈕即可自動調整列寬與間距,讓表格結構更整齊、可讀性更高。
此功能讓文檔維護更加輕鬆,尤其適用於在合併請求(Merge Request)或 Wiki 中頻繁修改 Markdown 表格的團隊。
該功能適用於所有版本。
GitLab Runner 18.5 發佈
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
我們同步發佈了 GitLab Runner 18.5。 Runner 是 GitLab CI/CD 的核心組件之一,負責執行構建任務(Job)並將結果返回至 GitLab 實例。
本次版本包含多項穩定性和性能改進,修復了已知問題並優化了作業執行體驗。詳細更新內容請參閲 GitLab Runner CHANGELOG。
這一版本進一步提升了構建效率與可靠性,為企業持續集成和持續交付提供更穩定的執行環境。
高級 SAST 差異掃描
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在 GitLab 18.5 中,高級 SAST(Static Application Security Testing) 現已支持 差異掃描(Diff Scanning)。
這意味着安全掃描可以僅針對合併請求(Merge Request)中的 代碼差異部分 執行,而無需對整個項目進行完整掃描。
該功能顯著減少了掃描時間和資源消耗,尤其適用於大型代碼庫或頻繁提交的團隊。
同時,它還能幫助開發者更快速地識別新引入的潛在漏洞,加速安全審查流程,並在代碼合併前提升整體安全質量。
此功能適用於 旗艦版(Ultimate) 客户。
高級 SAST 自定義檢測邏輯
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在 GitLab 18.5 中,你現在可以為 高級 SAST(Static Application Security Testing) 創建自定義檢測規則,從而根據組織特定的安全需求擴展漏洞檢測能力。
通過自定義檢測邏輯, 安全團隊能夠:
- 編寫自定義規則以識別內部特有的安全風險;
- 檢測不符合組織編碼標準的模式;
- 增強特定語言或框架下的漏洞識別覆蓋率。
這些規則可以與 GitLab 原生檢測規則並行使用,在保持默認掃描能力的同時,實現更靈活、更精準的安全策略執行。
此功能適用於 旗艦版(Ultimate) 客户,幫助安全團隊更主動地防禦業務特定風險。
推送保護與流水線密鑰檢測規則增強
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在 GitLab 18.5 中,我們增強了 推送保護(Push Protection) 與 流水線密鑰檢測(Pipeline Secret Detection) 的檢測規則,以更全面地防止敏感信息泄漏。
此次更新包括:
- 改進了對常見 API 密鑰和令牌格式的識別能力;
- 增強了正則匹配邏輯,以減少誤報;
- 在流水線執行過程中增加了實時密鑰掃描能力。
這些增強讓 GitLab 能夠在開發和集成階段更早地發現潛在泄漏,並阻止敏感憑證被意外提交到代碼庫。
該功能適用於 旗艦版(Ultimate) 客户,有助於構建更安全的 DevSecOps 流程。
GitLab 18.5 發佈總結
GitLab 18.5 帶來了大量提升開發效率與安全性的更新。 從企業級合規與策略集中管理、增強的 SAST/DAST 安全能力、以及更靈活的 CI/CD 配置與可視化改進,這一版本進一步強化了 GitLab 作為 全生命週期 DevSecOps 平台 的核心競爭力。
無論你是平台工程師、安全專家,還是產品經理或開發團隊成員,GitLab 18.5 都讓你的工作更加高效、智能、安全。
歡迎訪問 GitLab 官方發行説明了解完整功能列表與技術細節。
