沿襲我們的月度發佈傳統,極狐GitLab 發佈了 18.1 版本,該版本帶來了Maven 虛擬倉庫、DAST 檢測與密鑰檢測默認規則的一致性、增強的 CODEOWNERS 文件驗證、在依賴列表中通過組件版本進行過濾、高級 SAST 已支持 PHP等幾十個重點功能的改進。下面是對部分重點功能的詳細解讀。
關於極狐GitLab 的安裝升級,可以查看官方指導文檔。
- 18.1.0 容器鏡像
registry.gitlab.cn/omnibus/gitlab-jh:18.1.0-jh.0- 18.1.0 Helm Chart
helm search repo gitlab-jh
NAME CHART VERSION APP VERSION
gitlab-jh/gitlab 9.1.0 v18.1.0
gitlab-jh/gitlab-runner 0.78.0 18.1.0 極狐GitLab 18.1 重要改進
Maven 虛擬倉庫現已進入 Beta
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
Maven 虛擬倉庫能夠簡化極狐GitLab 中的 Maven 依賴管理。如果沒有 Maven 虛擬倉庫,你必須配置每一個項目來從 Maven Central、私有倉庫或極狐GitLab 軟件包倉庫訪問依賴。由於這種方法是對倉庫進行順序查詢,所以會使得構建速度減慢,並且使得安全審計和合規報告變得更加複雜。
Maven 虛擬倉庫通過將多個上游倉庫聚合在單個端點來解決這些問題。平台工程師可以通過一個 URL 來配置 Maven Central、私有倉庫或極狐GitLab 軟件包倉庫。智能緩存改進了構建性能並能和極狐GitLab 認證系統集成起來。組織可以受益於減少配置開銷、更快的構建速度,以及集中化的訪問控制,從而提高安全性和合規性。
現在,Maven 虛擬倉庫在 JihuLab.com 和私有化部署上為專業版、旗艦版用户可用(處於 Beta)。GA 版本將包含額外的能力,諸如針對倉庫配置的基於 web 的用户界面、可共享的上游功能、緩存管理的生命週期策略以及增強的分析功能。當前的測試版限制包括每個頂級組最多 20 個虛擬註冊庫,每個虛擬註冊庫最多 20 個上游,並且在測試版期間僅支持通過 API 配置。
原生極狐GitLab 憑據的密碼泄露檢測
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 |
現在,當你登錄 JihuLab.com 時,可以為你的賬號憑據進行一次安全檢查。如果你的密碼是已知泄露密碼的一部分,極狐GitLab 會顯示一個橫幅並向你發送郵件通知。這些通知包含如何更新你憑據的指南。
為了最大化安全性,極狐GitLab 推薦使用獨一無二的、強壯的密碼、啓用雙因素認證,並定期審查你的賬號活動。
注意:此功能僅為原生極狐GitLab 用户名和密碼可用。SSO 憑據是無法被檢測的。
通過 CI/CD 組件實現 SLSA 等級 1 的合規
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
現在,你可以通過極狐GitLab 新的 CI/CD 組件,實現 SLSA 級別 1 合規性,這些組件用於簽名和驗證,由極狐GitLab Runner 生成的符合 SLSA 的構件來源元數據。這些組件將 Sigstore Cosign 功能封裝為可重用的模塊,能夠輕鬆集成到 CI/CD 工作流中。
極狐GitLab 18.1 中的其他改進
代碼搜索中每個文件的多個匹配項
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
現在,精確代碼搜索(Beta)將來自同一個文件的多個搜索結果合併為單一視圖。此項改進:
- 保留相鄰匹配項之間的上下文,而不是顯示孤立的行。
- 通過消除相近匹配項的重複內容,減少視覺混亂。
- 通過清晰地顯示每個文件的匹配項數量,增強導航體驗。
- 通過以編輯器中顯示的方式展示代碼,提升可讀性。
有了此項改進,在你的代碼庫中查找和理解代碼模式將變得更加高效。
增強的 CODEOWNERS 文件驗證,包含權限檢查
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
現在,除了基礎的語法檢查外,極狐GitLab 佳提供了關於 CODEOWNERS 文件驗證的增強檢查。當查看 CODEOWNERS 文件時,在它們影響你的合併請求工作流前,極狐GitLab 會自動執行全面的驗證以幫你識別語法和權限問題。
增強的驗證會檢查你 CODEOWNERS 文件中的前 200 個唯一用户和羣組引用,並驗證了以下內容:
- 所有引用的用户和羣組都能訪問項目。
- 用户要用必要的權限來審批合併請求。
- 羣組至少要用開發者或更高級別的訪問權限。
- 羣組要至少包含一個具有合併請求審批權限的用户。
此項積極的驗證能夠通過及早捕捉配置問題來阻止審核工作流的中斷,確保合併請求時創建時 Code Owners 可以切實履行它的審核能力。
在 VS Code 中查看下游流水線作業日誌
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
極狐GitLab 工作流的 VS Code 插件現在可以直接在編輯器上顯示下游流水線日誌。之前,要從子流水線查看日誌,就需要切換到極狐GitLab web 界面。
DAST 檢測與密鑰檢測默認規則的一致性
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
現在,DAST 分析器可以自動採納極狐GitLab 密鑰檢測分析器使用的默認密鑰檢測規則。這一改進確保了兩者檢測到的密鑰類型的一致性。
在依賴列表中通過組件版本進行過濾
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
現在,依賴列表支持通過組件的版本號進行過濾。你可以選擇多個版本號(比如 version=1.1,1.2,1.4),但是不支持範圍選擇。此功能在羣組和項目上都可用。
在合規狀態報告中控制狀態彈窗
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
合規狀態報告中的控制有三個不同的狀態:
- 通過
- 失敗
- 待處理
無論有幾個控制狀態附在要求上,如果有一個控制狀態是“待處理”,那麼整個需求狀態也會顯示為“等待”。這偏離了為可視化失敗控制而建立的既定 UX 模式,其中要求會顯示與要求相關聯的控制數量,即使其中至少有一個控制失敗。
為了提供更多關於“待處理”控制項的上下文和信息,我們現在在要求行狀態上提供了懸停彈窗,其中列出了每個控制項的狀態。現在,你可以瞭解哪些控制處於待處理狀態,哪些是有可能成功或失敗的,而不是僅能看到單一的“待處理”狀態。
過濾機器人和人類用户
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | |||
| 私有化部署 | Y | Y | Y |
安裝的極狐GitLab 實例通常可以有大量的人類用户和機器人用户。現在,你可以在管理員界面上通過用户類型來對用户列表進行過濾。過濾用户能夠幫你:
- 快速識別並將人工用户與自動化賬户分開管理。
- 在制定用户類型上執行目標管理操作。
- 簡化用户審計和管理工作流。
用户資料中的 ORCID 標識符
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
現在,極狐GitLab 現在支持在用户個人資料中添加 ORCID 標識符,這使 GitLab 對研究人員和學術界更加可訪問和有價值。ORCID(開放研究者與貢獻者標識符)為研究人員提供了一個持久的數字標識符,幫助區分不同的研究人員,並支持研究人員與其專業活動之間的自動化鏈接,確保他們的工作得到正確的認可。
訂閲服務賬號流水線通知
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
現在,你可以為由服務賬號觸發的流水線事件訂閲通知。當流水線通過、失敗或修復時就會發送通知。之前,如果服務賬號有有效的自定義郵件地址,那麼這些通知僅會發送到服務賬號的郵件地址。
查看無效的個人訪問令牌
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
當訪問令牌過期或被撤銷時,極狐GitLab 會自動停用這些訪問令牌。現在,你可以查看這些無效的令牌。之前,當令牌無效後,訪問令牌是無法再可見的。此項變更增強了這些令牌類型的可追蹤性和安全性。
極狐GitLab 查詢語言視圖的史詩支持(Beta)
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
針對極狐GitLab 查詢語言(GLQL)視圖,我們做了一項重要改進。現在,你可以在查詢中使用 epic 作為類型,在各個羣組中搜索 epic,並根據父級 epic 進行查詢!
用審核面板強化合並請求審核體驗
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
當你審核合併請求時,如果能看到你之前提交的所有評論和反饋是非常有價值的。之前,這個體驗在最終評論和查看待處理評論的額外彈窗之間顯得碎片化,導致很難獲得完整的概覽。
現在,當你執行代碼審核時,你可以訪問一個專門的抽屜,將所有待處理的草稿評論整合在一個有序的視圖中。增強的審核面板將審核提交接口移動到了一個更加容易訪問的位置,並提供了一個數字徽章來顯示你待處理評論的總數。當你打開面板時,你會看到一個可滾動的列表,裏面整理了你所有的評論草稿,這樣在提交前就能更方便地審閲和管理你的反饋。
極狐GitLab Runner 18.1
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
我們還發布了極狐GitLab Runner 18.0。極狐GitLab Runner 是一個輕量級、高擴展的代理,用來運行你的 CI/CD 作業並且將結果發送回極狐GitLab 實例。極狐GitLab Runner 和極狐GitLab CI/CD 綁定在一起,而極狐GitLab CI/CD 是一個開源且內置在極狐GitLab 裏面的服務。
修復的缺陷:
- 如果你升級到極狐GitLab 17.10 或 17.11,當請求作業時 runners 可能會接收到
404響應。
高級 SAST 已支持 PHP
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
我們已經在極狐GitLab 高級 SAST 中增加了對於 PHP 的支持。要是用此新的跨文件、跨函數掃描支持,需要啓用高級 SAST。如果你已經啓用了高級 SAST,則 PHP 支持會被自動激活。
流水線執行策略中的變量優先級控制
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
安全團隊通常需要在安全保障和研發體驗之間做精妙權衡。確保安全掃描的準確執行是非常重要的,但安全分析工具可能需要開發團隊提供特定輸入才能正確執行。有了變量優先級控制,安全團隊就可以通過新的 variables_override配置選項來精細化控制變量在流水線執行策略中的處理。
使用此新的配置,現在你可以:
- 強制執行允許項目特定容器鏡像路徑的容器掃描策略(CS_IMAGE)
- 允許較低風險的變量,諸如 SAST_EXCLUDED_PATHS同時阻塞較高風險的變量,諸如 SAST_DISABLED。
- 定義使用全局 CI/CD 變量加強了安全(遮掩或隱藏的)的全局共享憑據,比如 AWS_CREDENTIALS,同時允許在適當情況下通過項目級 CI/CD 變量進行項目特定覆蓋。
此強大的功能支持以下兩種方法:
- 默認鎖定變量(allow: false):鎖定所有變量,除了你列為例外的特定變量。
- 默認允許變量(allow: true):允許變量被自定義,但需將關鍵風險變量列入例外清單進行限制。
當流水線執行策略作為 CI/CD 作業的源時,如要改進追蹤性並進行故障排查時,我們還引入了作業日誌來幫助開發者和安全團隊識別由策略執行的作業。作業日誌提供了變量覆蓋的影響詳情來幫助你瞭解變量是否被策略覆蓋或鎖定。
真實影響
此項改進有效彌合了安全要求與開發靈活性之間的鴻溝:
- 安全團隊可以強制執行標準化的掃描,同時允許對指定項目進行自定義。
- 開發者在無需請求策略例外時還能對指定項目變量進行維護控制。
- 組織可以在無需打斷開發工作流的情況下實現持續的安全策略。
通過解決此重要的變量控制挑戰,極狐GitLab 能夠在不犧牲團隊高效交付軟件所需靈活性的情況下實現安全的穩定策略。
為外部自定義控制定義 Name
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
之前,當創建自定義合規框架時,你是無法為外部自定義控制定義名稱的,這就導致難以對外部控制項與極狐GitLab 原生控制項進行區分。
現在,當定義外部自定義控制時,我們新增了一個 Name字段,作為工作流的一部分,所以你可以創建多個外部自定義控制並清楚地為每個控制定義獨一無二的名稱。
合規框架 UI 中的分頁要求
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
當創建合規框架時,你可以最多指定 50 個要求。
然而,存在這麼多要求的情況下要導航到某個合規框架是非常苦難的,因為他們會在用户界面上消耗大量空間。
在此版本中,我們為要求引入了新的分頁機制,當合規框架上附有大量要求時,可以讓用户更容易地導航、查找並選擇指定要求。
當創建合規框架時,你可以最多指定 50 個要求。
然而,存在這麼多要求的情況下要導航到某個合規框架是非常苦難的,因為他們會在用户界面上消耗大量空間。
在此版本中,我們為要求引入了新的分頁機制,當合規框架上附有大量要求時,可以讓用户更容易地導航、查找並選擇指定要求。
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
我們在持續對合規中心提供的 UI 性能和過濾選項進行改進。在此版本中,我們有:
- 改進了 編輯框架 頁面的 UI 速度和性能,特別是有大量合規要求和項目的頁面。
- 引入了新的過濾選項以便你可以在合規中心的 合規狀態報告 中按需求、項目獲框架進行分組展示。
通過交付這些改進,我們將持續保障合規中心及相關功能在大規模使用場景下的性能表現,為高頻使用該平台的客户提供穩定支持。
GraphQL API 中 projectMember 中新增 accessLevels 參數
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
我們高興地宣佈,在 GraphQL API 中,為 accessLevels 參數添加了 projectMembers 字段。使用此殘酷可以直接從 API 調用中通過訪問級別來過濾項目成員。之前,你不得不拉取完整的項目成員列表並在本地應用過濾,這就增加了計算開銷。現在,分析項目權限並生成成員關係圖變得更加容易且資源利用更高效。此項增強功能對於管理大規模部署且具有複雜權限體系的組織尤為關鍵。
