极狐GitLab 18.1 重点功能解读

沿袭我们的月度发布传统，极狐GitLab 发布了 18.1 版本，该版本带来了Maven 虚拟仓库、DAST 检测与密钥检测默认规则的一致性、增强的 CODEOWNERS 文件验证、在依赖列表中通过组件版本进行过滤、高级 SAST 已支持 PHP等几十个重点功能的改进。下面是对部分重点功能的详细解读。

关于极狐GitLab 的安装升级，可以查看官方指导文档。

• 18.1.0 容器镜像

registry.gitlab.cn/omnibus/gitlab-jh:18.1.0-jh.0

• 18.1.0 Helm Chart

helm search repo gitlab-jh
NAME                   	CHART VERSION	APP VERSION	
gitlab-jh/gitlab       	9.1.0        	v18.1.0	
gitlab-jh/gitlab-runner	0.78.0       	18.1.0	    	

极狐GitLab 18.1 重要改进

Maven 虚拟仓库现已进入 Beta

Maven 虚拟仓库能够简化极狐GitLab 中的 Maven 依赖管理。如果没有 Maven 虚拟仓库，你必须配置每一个项目来从 Maven Central、私有仓库或极狐GitLab 软件包仓库访问依赖。由于这种方法是对仓库进行顺序查询，所以会使得构建速度减慢，并且使得安全审计和合规报告变得更加复杂。

Maven 虚拟仓库通过将多个上游仓库聚合在单个端点来解决这些问题。平台工程师可以通过一个 URL 来配置 Maven Central、私有仓库或极狐GitLab 软件包仓库。智能缓存改进了构建性能并能和极狐GitLab 认证系统集成起来。组织可以受益于减少配置开销、更快的构建速度，以及集中化的访问控制，从而提高安全性和合规性。

现在，Maven 虚拟仓库在 JihuLab.com 和私有化部署上为专业版、旗舰版用户可用（处于 Beta）。GA 版本将包含额外的能力，诸如针对仓库配置的基于 web 的用户界面、可共享的上游功能、缓存管理的生命周期策略以及增强的分析功能。当前的测试版限制包括每个顶级组最多 20 个虚拟注册库，每个虚拟注册库最多 20 个上游，并且在测试版期间仅支持通过 API 配置。

原生极狐GitLab 凭据的密码泄露检测

现在，当你登录 JihuLab.com 时，可以为你的账号凭据进行一次安全检查。如果你的密码是已知泄露密码的一部分，极狐GitLab 会显示一个横幅并向你发送邮件通知。这些通知包含如何更新你凭据的指南。

为了最大化安全性，极狐GitLab 推荐使用独一无二的、强壮的密码、启用双因素认证，并定期审查你的账号活动。

注意：此功能仅为原生极狐GitLab 用户名和密码可用。SSO 凭据是无法被检测的。

通过 CI/CD 组件实现 SLSA 等级 1 的合规

现在，你可以通过极狐GitLab 新的 CI/CD 组件，实现 SLSA 级别 1 合规性，这些组件用于签名和验证，由极狐GitLab Runner 生成的符合 SLSA 的构件来源元数据。这些组件将 Sigstore Cosign 功能封装为可重用的模块，能够轻松集成到 CI/CD 工作流中。

极狐GitLab 18.1 中的其他改进

代码搜索中每个文件的多个匹配项

现在，精确代码搜索（Beta）将来自同一个文件的多个搜索结果合并为单一视图。此项改进：

• 保留相邻匹配项之间的上下文，而不是显示孤立的行。
• 通过消除相近匹配项的重复内容，减少视觉混乱。
• 通过清晰地显示每个文件的匹配项数量，增强导航体验。
• 通过以编辑器中显示的方式展示代码，提升可读性。

有了此项改进，在你的代码库中查找和理解代码模式将变得更加高效。

增强的 CODEOWNERS 文件验证，包含权限检查

现在，除了基础的语法检查外，极狐GitLab 佳提供了关于 CODEOWNERS 文件验证的增强检查。当查看 CODEOWNERS 文件时，在它们影响你的合并请求工作流前，极狐GitLab 会自动执行全面的验证以帮你识别语法和权限问题。

增强的验证会检查你 CODEOWNERS 文件中的前 200 个唯一用户和群组引用，并验证了以下内容：

• 所有引用的用户和群组都能访问项目。
• 用户要用必要的权限来审批合并请求。
• 群组至少要用开发者或更高级别的访问权限。
• 群组要至少包含一个具有合并请求审批权限的用户。

此项积极的验证能够通过及早捕捉配置问题来阻止审核工作流的中断，确保合并请求时创建时 Code Owners 可以切实履行它的审核能力。

在 VS Code 中查看下游流水线作业日志

极狐GitLab 工作流的 VS Code 插件现在可以直接在编辑器上显示下游流水线日志。之前，要从子流水线查看日志，就需要切换到极狐GitLab web 界面。

DAST 检测与密钥检测默认规则的一致性

现在，DAST 分析器可以自动采纳极狐GitLab 密钥检测分析器使用的默认密钥检测规则。这一改进确保了两者检测到的密钥类型的一致性。

在依赖列表中通过组件版本进行过滤

现在，依赖列表支持通过组件的版本号进行过滤。你可以选择多个版本号（比如 version=1.1,1.2,1.4），但是不支持范围选择。此功能在群组和项目上都可用。

在合规状态报告中控制状态弹窗

合规状态报告中的控制有三个不同的状态：

• 通过
• 失败
• 待处理

无论有几个控制状态附在要求上，如果有一个控制状态是“待处理”，那么整个需求状态也会显示为“等待”。这偏离了为可视化失败控制而建立的既定 UX 模式，其中要求会显示与要求相关联的控制数量，即使其中至少有一个控制失败。

为了提供更多关于“待处理”控制项的上下文和信息，我们现在在要求行状态上提供了悬停弹窗，其中列出了每个控制项的状态。现在，你可以了解哪些控制处于待处理状态，哪些是有可能成功或失败的，而不是仅能看到单一的“待处理”状态。

过滤机器人和人类用户

安装的极狐GitLab 实例通常可以有大量的人类用户和机器人用户。现在，你可以在管理员界面上通过用户类型来对用户列表进行过滤。过滤用户能够帮你：

• 快速识别并将人工用户与自动化账户分开管理。
• 在制定用户类型上执行目标管理操作。
• 简化用户审计和管理工作流。

用户资料中的 ORCID 标识符

现在，极狐GitLab 现在支持在用户个人资料中添加 ORCID 标识符，这使 GitLab 对研究人员和学术界更加可访问和有价值。ORCID（开放研究者与贡献者标识符）为研究人员提供了一个持久的数字标识符，帮助区分不同的研究人员，并支持研究人员与其专业活动之间的自动化链接，确保他们的工作得到正确的认可。

订阅服务账号流水线通知

现在，你可以为由服务账号触发的流水线事件订阅通知。当流水线通过、失败或修复时就会发送通知。之前，如果服务账号有有效的自定义邮件地址，那么这些通知仅会发送到服务账号的邮件地址。

查看无效的个人访问令牌

当访问令牌过期或被撤销时，极狐GitLab 会自动停用这些访问令牌。现在，你可以查看这些无效的令牌。之前，当令牌无效后，访问令牌是无法再可见的。此项变更增强了这些令牌类型的可追踪性和安全性。

极狐GitLab 查询语言视图的史诗支持（Beta）

针对极狐GitLab 查询语言（GLQL）视图，我们做了一项重要改进。现在，你可以在查询中使用 epic 作为类型，在各个群组中搜索 epic，并根据父级 epic 进行查询！

用审核面板强化合并请求审核体验

当你审核合并请求时，如果能看到你之前提交的所有评论和反馈是非常有价值的。之前，这个体验在最终评论和查看待处理评论的额外弹窗之间显得碎片化，导致很难获得完整的概览。

现在，当你执行代码审核时，你可以访问一个专门的抽屉，将所有待处理的草稿评论整合在一个有序的视图中。增强的审核面板将审核提交接口移动到了一个更加容易访问的位置，并提供了一个数字徽章来显示你待处理评论的总数。当你打开面板时，你会看到一个可滚动的列表，里面整理了你所有的评论草稿，这样在提交前就能更方便地审阅和管理你的反馈。

极狐GitLab Runner 18.1

我们还发布了极狐GitLab Runner 18.0。极狐GitLab Runner 是一个轻量级、高扩展的代理，用来运行你的 CI/CD 作业并且将结果发送回极狐GitLab 实例。极狐GitLab Runner 和极狐GitLab CI/CD 绑定在一起，而极狐GitLab CI/CD 是一个开源且内置在极狐GitLab 里面的服务。

修复的缺陷：

• 如果你升级到极狐GitLab 17.10 或 17.11，当请求作业时 runners 可能会接收到 404响应。

高级 SAST 已支持 PHP

我们已经在极狐GitLab 高级 SAST 中增加了对于 PHP 的支持。要是用此新的跨文件、跨函数扫描支持，需要启用高级 SAST。如果你已经启用了高级 SAST，则 PHP 支持会被自动激活。

流水线执行策略中的变量优先级控制

安全团队通常需要在安全保障和研发体验之间做精妙权衡。确保安全扫描的准确执行是非常重要的，但安全分析工具可能需要开发团队提供特定输入才能正确执行。有了变量优先级控制，安全团队就可以通过新的 variables_override配置选项来精细化控制变量在流水线执行策略中的处理。

使用此新的配置，现在你可以：

• 强制执行允许项目特定容器镜像路径的容器扫描策略（CS_IMAGE）
• 允许较低风险的变量，诸如 SAST_EXCLUDED_PATHS同时阻塞较高风险的变量，诸如 SAST_DISABLED。
• 定义使用全局 CI/CD 变量加强了安全（遮掩或隐藏的）的全局共享凭据，比如 AWS_CREDENTIALS，同时允许在适当情况下通过项目级 CI/CD 变量进行项目特定覆盖。

此强大的功能支持以下两种方法：

• 默认锁定变量（allow: false）：锁定所有变量，除了你列为例外的特定变量。
• 默认允许变量（allow: true）：允许变量被自定义，但需将关键风险变量列入例外清单进行限制。

当流水线执行策略作为 CI/CD 作业的源时，如要改进追踪性并进行故障排查时，我们还引入了作业日志来帮助开发者和安全团队识别由策略执行的作业。作业日志提供了变量覆盖的影响详情来帮助你了解变量是否被策略覆盖或锁定。

真实影响

此项改进有效弥合了安全要求与开发灵活性之间的鸿沟：

• 安全团队可以强制执行标准化的扫描，同时允许对指定项目进行自定义。
• 开发者在无需请求策略例外时还能对指定项目变量进行维护控制。
• 组织可以在无需打断开发工作流的情况下实现持续的安全策略。

通过解决此重要的变量控制挑战，极狐GitLab 能够在不牺牲团队高效交付软件所需灵活性的情况下实现安全的稳定策略。

为外部自定义控制定义 Name

之前，当创建自定义合规框架时，你是无法为外部自定义控制定义名称的，这就导致难以对外部控制项与极狐GitLab 原生控制项进行区分。

现在，当定义外部自定义控制时，我们新增了一个 Name字段，作为工作流的一部分，所以你可以创建多个外部自定义控制并清楚地为每个控制定义独一无二的名称。

合规框架 UI 中的分页要求

当创建合规框架时，你可以最多指定 50 个要求。

然而，存在这么多要求的情况下要导航到某个合规框架是非常苦难的，因为他们会在用户界面上消耗大量空间。

在此版本中，我们为要求引入了新的分页机制，当合规框架上附有大量要求时，可以让用户更容易地导航、查找并选择指定要求。

合规中心的 UI 性能和过滤改进

我们在持续对合规中心提供的 UI 性能和过滤选项进行改进。在此版本中，我们有：

• 改进了 编辑框架 页面的 UI 速度和性能，特别是有大量合规要求和项目的页面。
• 引入了新的过滤选项以便你可以在合规中心的合规状态报告中按需求、项目获框架进行分组展示。

通过交付这些改进，我们将持续保障合规中心及相关功能在大规模使用场景下的性能表现，为高频使用该平台的客户提供稳定支持。

GraphQL API 中 projectMember中新增 accessLevels参数

我们高兴地宣布，在 GraphQL API 中，为 accessLevels参数添加了 projectMembers字段。使用此残酷可以直接从 API 调用中通过访问级别来过滤项目成员。之前，你不得不拉取完整的项目成员列表并在本地应用过滤，这就增加了计算开销。现在，分析项目权限并生成成员关系图变得更加容易且资源利用更高效。此项增强功能对于管理大规模部署且具有复杂权限体系的组织尤为关键。