项目级动态安全扫描 DAST 和密钥检测扫描的执行策略
我们为极狐GitLab 统一化安全策略的愿景完成了第一版的功能迭代。用户现在可以要求定期运行动态安全扫描 DAST 和密钥检测扫描,可以独立于 .gitlab-ci.yml 文件的内容,作为项目 CI 流水线的一部分。这样允许安全团队单独管理这些扫描要求,而不让开发人员改变配置。你可以在项目中的 安全与合规 > 策略页面 来使用这些策略。
授权群组访问极狐GitLab Kubernetes Agent
极狐GitLab Kubernetes Agent 为 Kubernetes 集群和极狐GitLab 之间提供了一个安全连接。在极狐GitLab 14.2之前,CI/CD Tunnel 只允许从 Kubernetes Agent 注册的项目来推送到集群。在极狐GitLab 14.3 中,Agent 可以授权访问整个群组。因此,现在可以授权群组下的每个项目都可以访问集群,而不需要为每个项目单独注册一个 Agent。
新 Wiki 编辑器可视化编辑表格结构
编辑一个有 9 列 25 行的 Markdown 表格是一件简单的事情,但是在 Markdown 中为该表添加第 10 列呢?这会涉及到对每一行进行非常重复还容易出错的编辑操作,犯一个错误或放错 | 的位置,表格就无法呈现。
Wiki 功能的新 WYSIWYG Markdown 编辑器可以让你使用工具栏中的按钮快速而轻松地插入一个表格。然而,在选择了最初的行数和列数之后,处理表格的结构就比较困难了。在极狐GitLab 14.3 中,你现在可以点击任何选定单元格右上角的圆点图标来添加或删除列和行,无论是在选定单元格之前还是之后都可以。现在有了这个功能,随着你表格的内容扩大,也不会增加操作的复杂度。
针对受保护环境的群组级权限管理
通常情况下,大型企业组织在开发人员和操作人员之间有一个明确的权限边界。开发人员可以在低层级环境(如开发环境)上部署和测试应用程序。操作员负责部署到更高层级的环境,如生产环境。此外,在一个组织中,如果一个群组下有成千上万的项目,确保所有项目的受保护环境配置正确并不是一个可扩展的解决方案。
在这个版本中,我们引入了群组级的受保护环境,是基于部署层作为标识符。这使得操作符能够负责任地锁定部署到更高层次的环境,而不会不必要地阻止开发人员作为个人项目的维护者开展工作。
下一代静态安全扫描 SAST 以减少 Ruby 语言的误报率
极狐GitLab 静态安全扫描 SAST 功能在过去是由十几个开源静态安全分析器支撑的。这些分析器每月为使用极狐GitLab 的开发者主动发现数百万个漏洞。这些工具使用了各种不同的方法来识别漏洞,从基本的重码模式匹配到抽象的语法树解析,但可能会导致误报的问题。极狐GitLab 的安全工具虽然已经提供了漏洞指纹识别功能,允许你持续地排除这些误报,但是,我们希望更进一步,不需要这种手动分流的方式。
今天,我们发布了第一个版由极狐GitLab 的静态分析和漏洞研究小组在内部创建维护的静态应用安全测试引擎。最初,这个工具专注于 Ruby 和 Rails,来帮助减少误报的问题。极狐GitLab 的下一代 SAST 引擎采用了我们多年来运行维护开源安全工具的经验,这些工具为极狐GitLab SAST 提供了能力,并应用了最先进的程序分析技术。这个新的引擎利用了包括数据和控制流分析在内的程序表示法和一种新的模式提取语言,可以用于漏洞检测和消除可能被其他综合安全工具误报的漏洞。这个引擎还为我们提供了一个框架,整合极狐GitLab 旗舰版中提供的不同类型的安全测试功能,使它们更加智能。
作为您的源码管理、CI/CD 和安全扫描功能的供应商,极狐GitLab 在把安全测试深入整合到您的软件开发生命周期(SDLC)方面具有独特的优势,可以为您带来快速、准确和可扩展的安全结果。我们对这个新的专有引擎的未来感到兴奋,我们期待着在未来的版本中扩大其可用性、覆盖的语言种类和检测能力。
极狐GitLab CI/CD 按条件配置 Include 关键字
include 是编写完整 CI/CD 流水线时最常用的关键词之一。如果你正在构建大型流水线,你可能正在使用 include 关键字将外部 YAML 配置引入你的流水线。
在这个版本中,我们正在扩展这个关键字的功能,按 rules 条件来使用 include。现在,你可以决定何时应该或不应该引入外部 CI/CD 配置。这将帮助你编写一个标准化的流水线,能够根据你选择的条件动态地修改自己。
