沿袭我们的月度发布传统，极狐GitLab 发布了 18.5 版本。本次更新的亮点包括：Maven 虚拟仓库 UI（Beta）、全新个人主页、Agentic Chat 支持 GPT‑5 模型、实例级合规与安全策略管理 以及 DAST 认证脚本等。

这些能力聚焦产品规划协作、软件供应链与安全运营的效率提升，帮助团队在一个平台里完成从计划到交付、从开发到防护的闭环。

版本信息

容器镜像

• 18.5.0 容器镜像

registry.gitlab.cn/omnibus/gitlab-jh:18.5.0-jh.0

• 18.5.0 Helm Chart（JH）

helm search repo gitlab-jh
NAME                      CHART VERSION APP VERSION 
gitlab-jh/gitlab          9.5.0         v18.5.0    
gitlab-jh/gitlab-runner   0.82.0        18.5.0

18.5 关键功能

Maven 虚拟仓库 Web 管理界面（测试版）

GitLab 18.5 引入了一个全新的 Maven 虚拟仓库 Web 管理界面，提供全面的可视化管理体验。 过去，平台工程师只能通过 API 调用 来配置和管理虚拟仓库， 这种方式不仅繁琐，还需要具备较强的技术背景， 给日常维护带来了较大的操作负担。

通过新的 Web 界面，平台工程团队的运维开销显著降低。 常见任务（如清理过期缓存、调整上游源顺序以优化性能、测试连通性等） 如今都可通过 可视化操作 一键完成。

同时，开发团队也能获得更高的依赖配置可见性， 从而在构建性能与安全策略方面开展更充分的讨论与协作。

Maven 虚拟仓库 目前仍处于 测试阶段（Beta）， 面向 GitLab Premium 和 Ultimate 客户 开放。 当前测试版的限制包括：

• 每个顶层群组最多可创建 20 个虚拟仓库；
• 每个虚拟仓库最多可配置 20 个上游源（Upstream）。

全新个人主页：快速回到正在处理的工作

现在，你可以使用全新的 个人主页（Personal Homepage）， 在一个界面中集中查看所有关键的 GitLab 活动， 帮助你更轻松地从上次中断的地方继续工作。

该主页整合了你的：

• 待办事项（To-dos）
• 分配给你的 Issue
• 合并请求（Merge Requests）
• 评审请求（Review Requests）
• 最近查看的内容（Recently Viewed Items）

实例级合规与安全策略管理

在大型企业环境中，多个顶层群组往往需要遵循统一的安全与合规标准。 例如，公司可能要求所有项目必须符合 ISO 27001 或 SOC 2 框架， 并统一执行相同的流水线合规策略（Pipeline Compliance Policies）。

在 GitLab 18.5 中，你现在可以在单一顶层群组内创建、配置并管理这些合规与安全策略， 并通过 「合规与安全策略组（Compliance and Security Policy Group）」 进行集中管理。

此功能允许企业在顶层实现策略统一与强制执行， 同时仍支持各业务群组根据自身情况创建补充或更细化的策略。

DAST 认证脚本（DAST Authentication Script）

在进行 动态应用安全测试（DAST） 时， 许多 Web 应用需要通过复杂的登录流程或多因素认证（MFA）才能访问受保护区域。 此前，这类认证过程往往需要人工介入， 而现在你可以通过脚本在 CI/CD 流水线 中自动执行这些认证步骤。

DAST 认证脚本 允许你在扫描任务开始前定义自动化登录逻辑， 包括基于时间的一次性密码（OTP MFA）等高级认证方式。 这不仅能提高扫描的自动化程度， 还确保关键安全控制在测试过程中得到完整保留。

极狐 GitLab 18.5 其他改进

配置 Issue 与任务的状态生命周期

在以往版本中，Issue（议题） 和 任务（Task） 必须共享相同的状态配置，这使得复杂项目在管理不同类型工作项时缺乏灵活性。

在 GitLab 18.5 中，你现在可以分别为 Issue 和 任务 定义独立的状态生命周期（Status Lifecycle）。 例如，任务可以使用「未开始 → 进行中 → 完成」的简单流程，而 Issue 则可以采用「已提出 → 设计中 → 审核中 → 已关闭」的更复杂工作流。

此外，GitLab 还提供了内置的状态映射功能。当工作项类型发生转换（如从任务变为 Issue）时，系统会自动映射对应的状态，无需批量编辑或人工调整。

在 Issue 中查看子任务完成进度

你现在可以直接通过 子任务组件（Child Items Widget） 在 Issue 中追踪任务进展， 一目了然地查看整体状态概览。

此改进让你能够实时掌握执行过程中可能出现的瓶颈，在冲刺截止日期（Sprint Deadline）受影响之前，及时识别风险项并采取调整措施。

该功能显著提升了项目透明度与工作可视化程度，帮助团队更高效地管理复杂的任务层级结构。

环境 deployment_tier 字段支持变量展开

你现在可以在 environment:deployment_tier 字段中使用 CI/CD 变量， 从而根据流水线条件动态配置部署层级。

此功能让部署配置更加灵活、自动化， 特别适合需要根据环境或分支动态切换部署级别的 DevOps 场景。

高级 SAST 支持 C/C++（测试版）

你现在可以在 高级 SAST（Static Application Security Testing） 中使用对 C/C++ 的支持（测试版）。 此更新使扫描器能够在 跨文件和跨函数 的范围内分析代码， 从而识别更复杂的漏洞模式。

依赖扫描（有限可用性）

依赖扫描（Dependency Scanning） 的新模板现在可以生成一份完整的报告，其中包含项目中所有组件及其对应的漏洞。该报告能够与 安全执行策略（Security Execution Policies, SEP）和 保护执行策略（Protection Execution Policies, PEP） 协同使用，帮助团队在更高层级上统一管理依赖项风险。

此功能目前处于 有限可用性（Limited Availability） 阶段，面向 旗舰版（Ultimate） 客户开放。

密钥有效性检查（测试版）

当在代码中检测到可能泄漏的凭证时，GitLab 现在可以自动检查这些密钥是否仍然有效。

在安全扫描报告中，系统会在检测结果旁显示密钥的有效性状态，帮助你快速识别需要立即吊销的凭证，从而加快修复响应并降低潜在风险。

常绕过合并请求审批策略

在紧急情况下，某些团队需要在不完全满足审批策略的条件下，立即合并关键的修复或补丁代码。

GitLab 18.5 引入了 异常绕过（Exception-based Bypass） 功能，允许指定的用户或群组在合并请求（Merge Request）审批策略中，以受控方式绕过审批要求。

管理员可以为这些用户配置绕过权限，并要求在执行绕过操作时提供明确的理由说明。所有此类操作都会被记录并可供审计，确保合规性与透明度。

该功能帮助企业在保持安全与合规控制的同时，在紧急情况下仍具备足够的灵活性来快速响应。

此功能适用于 旗舰版（Ultimate） 客户。

管道安全标签中刷新安全发现状态

现在，在 流水线（Pipeline）安全标签页 中，安全扫描的漏洞状态会自动与项目的安全发现（Security Findings）保持同步。

这意味着如果你在漏洞报告中更改了漏洞的状态——例如从「已检测（Detected）」更新为「已确认（Confirmed）」或「已解决（Resolved）」——该状态会在流水线视图中实时更新，无需手动刷新或重新运行扫描。

此改进让安全团队能够更高效地追踪漏洞修复进度，确保在流水线层面获得准确、最新的安全态势。

该功能适用于 旗舰版（Ultimate） 客户。

外部控制状态请求的控制

在某些安全或受管环境中，你可能希望完全由外部系统来控制安全扫描的状态更新。

在 GitLab 18.5 中，管理员可以禁用 GitLab 自动发送的「每 12 小时刷新一次控制状态（control state）」的周期性请求。 一旦禁用，GitLab 将不会再主动请求状态同步，而是完全依赖外部系统通过 API 来推送更新。

此功能为与外部合规系统、集中安全管理平台的集成提供了更高的可控性，确保所有状态变更都经过企业安全策略的统一管控。

该改进特别适用于需要严格治理和审计追踪的组织，并面向 旗舰版（Ultimate） 客户开放。

依赖列表仅显示活动漏洞

在 GitLab 18.5 中， 依赖项列表（Dependency List） 现在只会显示处于 “活动状态” 的漏洞。

也就是说，只有状态为 已检测（Detected） 或 已确认（Confirmed） 的漏洞 会出现在依赖列表中。

已解决（Resolved）或已驳回（Dismissed）的漏洞将不再显示， 从而让团队更专注于当前仍需处理的安全问题。

此改进使依赖列表更加简洁、实用， 帮助开发和安全团队聚焦于真正存在风险的依赖项。

该功能适用于 旗舰版（Ultimate） 客户。

改进组和项目的“非活动项”管理

在 GitLab 18.5 中，我们改进了 组（Group） 与 项目（Project） 的「非活动项」管理体验。

新的「非活动」标签页（Inactive Tab）可统一显示：

• 已归档（Archived）的组或项目；
• 标记为待删除（Scheduled for Deletion）的项目

此外，API 也新增了相应参数，允许管理员通过编程方式查询非活动组和项目，从而更方便地执行批量清理、统计或审计操作。

该改进帮助企业在保持数据整洁的同时，更好地管理长期未使用的资源，为治理与存储优化提供支持。

Markdown 表格自动排版

在 GitLab 18.5 中，纯文本编辑器（Plain Text Editor）新增了 “重新排版表格（Reformat Table）” 功能，可自动对 Markdown 表格进行对齐与格式化。

当你在纯文本模式下编辑 Markdown 文件时，点击「重新排版」按钮即可自动调整列宽与间距，让表格结构更整齐、可读性更高。

此功能让文档维护更加轻松，尤其适用于在合并请求（Merge Request）或 Wiki 中频繁修改 Markdown 表格的团队。

该功能适用于所有版本。

GitLab Runner 18.5 发布

我们同步发布了 GitLab Runner 18.5。 Runner 是 GitLab CI/CD 的核心组件之一，负责执行构建任务（Job）并将结果返回至 GitLab 实例。

本次版本包含多项稳定性和性能改进，修复了已知问题并优化了作业执行体验。详细更新内容请参阅 GitLab Runner CHANGELOG。

这一版本进一步提升了构建效率与可靠性，为企业持续集成和持续交付提供更稳定的执行环境。

高级 SAST 差异扫描

在 GitLab 18.5 中，高级 SAST（Static Application Security Testing） 现已支持 差异扫描（Diff Scanning）。

这意味着安全扫描可以仅针对合并请求（Merge Request）中的 代码差异部分 执行，而无需对整个项目进行完整扫描。

该功能显著减少了扫描时间和资源消耗，尤其适用于大型代码库或频繁提交的团队。

同时，它还能帮助开发者更快速地识别新引入的潜在漏洞，加速安全审查流程，并在代码合并前提升整体安全质量。

此功能适用于 旗舰版（Ultimate） 客户。

高级 SAST 自定义检测逻辑

在 GitLab 18.5 中，你现在可以为 高级 SAST（Static Application Security Testing） 创建自定义检测规则，从而根据组织特定的安全需求扩展漏洞检测能力。

通过自定义检测逻辑， 安全团队能够：

• 编写自定义规则以识别内部特有的安全风险；
• 检测不符合组织编码标准的模式；
• 增强特定语言或框架下的漏洞识别覆盖率。

这些规则可以与 GitLab 原生检测规则并行使用，在保持默认扫描能力的同时，实现更灵活、更精准的安全策略执行。

此功能适用于 旗舰版（Ultimate） 客户，帮助安全团队更主动地防御业务特定风险。

推送保护与流水线密钥检测规则增强

在 GitLab 18.5 中，我们增强了 推送保护（Push Protection） 与 流水线密钥检测（Pipeline Secret Detection）的检测规则，以更全面地防止敏感信息泄漏。

此次更新包括：

• 改进了对常见 API 密钥和令牌格式的识别能力；
• 增强了正则匹配逻辑，以减少误报；
• 在流水线执行过程中增加了实时密钥扫描能力。

这些增强让 GitLab 能够在开发和集成阶段更早地发现潜在泄漏，并阻止敏感凭证被意外提交到代码库。

该功能适用于 旗舰版（Ultimate） 客户，有助于构建更安全的 DevSecOps 流程。

GitLab 18.5 发布总结

GitLab 18.5 带来了大量提升开发效率与安全性的更新。 从企业级合规与策略集中管理、增强的 SAST/DAST 安全能力、以及更灵活的 CI/CD 配置与可视化改进，这一版本进一步强化了 GitLab 作为 全生命周期 DevSecOps 平台 的核心竞争力。

无论你是平台工程师、安全专家，还是产品经理或开发团队成员，GitLab 18.5 都让你的工作更加高效、智能、安全。

欢迎访问 GitLab 官方发行说明了解完整功能列表与技术细节。