使用 Jira 个人访问令牌进行身份验证
以前,您只能使用 Jira 用户名对 Jira 事务集成进行身份验证和密码。
现在,您可以使用 Jira 个人访问令牌进行身份验证。
如果您使用的是 Jira Data Center 和 Jira Server 以及 Jira 8.14 及更高版本。Jira 个人访问令牌是用户名和密码的更安全的替代方法。
筛选要导入的 GitHub 存储库
如果你在GitHub上拥有或合作了很多仓库,你可能很难通过当前的过滤选项找到那些你想导入到GitLab的仓库。
为了更容易找到合适的仓库,我们增加了额外的过滤器。现在你可以通过三个标签来列出你可以导入的仓库子集:
- 所有者,列出你拥有的资源库。
- 合作者,列出你合作的仓库。
- GitHub 组织,列出属于 GitHub 组织的仓库。
在组织标签,你可以进一步缩小搜索范围,选择一个特定的组织,只列出属于该组织的仓库。
为标签选择自定义颜色
之前,您只能为标签指定固定数量的颜色。
此版本为标签管理引入了颜色选择器,允许您为标签选择任何颜色范围。
添加对任务、目标和关键结果的表情符号反应
现在,您可以通过为工作项添加表情符号反应来为任务、目标和关键结果做出贡献。
在此版本之前,您只能添加对议题、合并请求、代码片段和史诗的反应。
自定义价值流分析的新阶段事件
价值流分析已扩展为两个新的阶段事件:首先分配议题和首先分配合并请求。这些事件可用于测量首次将项目分配给用户所花费的时间。
为了实现此功能,极狐GitLab 开始在 极狐GitLab 16.0 中存储分配事件的历史记录。这意味着极狐GitLab 16.0 之前的 MR 分配事件和议题不可用。
实时合并请求更新
处理合并请求时,保证审批、流水线或其他可能影响合并更改能力的信息最新是很重要的。
我们改进了合并请求中合并按钮组件和审批组件的体验,让它们在合并请求中能实时更新。这是一项很大的改进,可以提高交付更改的速度,以及知道您看到最新信息后可以向前移动合并请求的信心。
我们正在寻找更多实时改进合并请求的领域,因此请关注更新。
CI/CD流水线中的Per-cache回退缓存密钥
使用缓存是通过重用在以前的作业或流水线中已提取的依赖项来加快流水线速度的好方法。但是,当还没有缓存时,缓存的好处就会丢失,因为作业必须从头开始,获取每个依赖项。
我们之前介绍了一个在找不到缓存时使用的回退缓存,您可以全局定义该缓存。这对于对所有作业使用类似缓存的项目非常有用。现在,在 16.0 中,我们改进了该功能,使用Per-cache回退密钥。您最多可以为每个作业的缓存定义 5 个回退键,从而大大降低作业在没有有用缓存的情况下运行的风险。如果您有各种各样的缓存,现在可以根据需要使用适当的回退缓存。
下游流水线取消时触发下游流水线的任务镜像状态
以前,配置了 strategy: depends 的触发器任务依赖于下游流水线的任务状态。如果下游流水线处于正在运行状态,则触发器任务也会标记为正在运行。遗憾的是,如果下游任务未完全完成并且状态已取消,则触发器任务的状态将错误地失败。
在此版本中,我们使用策略更新了配置 strategy: depends 的触发器任务依赖以准确反映下游管道的统计数据。取消下游流水线时,触发器也会显示已取消。
此更改可能会影响现有流水线,尤其是当作业依赖于触发器作业的状态标记为失败时。我们建议查看流水线配置并进行任何必要的调整以适应此行为更改。
可配置的最大包含 CI/CD 配置文件数
include 关键字允许您从多个文件编写 CI/CD 配置。例如,您可以拆分一个将 .gitlab-ci.yml 文件长到多个文件中以提高可读性,或者在多个项目中重用一个 CI/CD 配置文件。
以前,单个 CI/CD 配置最多可以包含 150 个文件,但在新版本中,管理员可以在实例设置中将此限制修改为不同的值。
极狐GitLab Runner 16.0
我们今天也发布了 极狐GitLab Runner 16.0!极狐GitLab Runner 是轻量级、高度可扩展的代理,可运行 CI/CD 作业并将结果发送回 极狐GitLab 实例。极狐GitLab Runner 与 极狐GitLab CI/CD 结合使用,极狐GitLab CI/CD 是 极狐GitLab 附带的开源持续集成服务。
使用 CI/CD 流水线导入 Maven/Gradle 包
您是否一直在考虑将 Maven 或 Gradle 存储库迁移到 极狐GitLab,但无法投入时间来规划迁移?极狐GitLab 很自豪地宣布 MVC 推出 Maven/Gradle 软件包导入器。
现在,您可以使用包导入器工具从任何符合Maven/Gradle的注册表(如Artifactory)导入包。
要使用该工具,只需创建一个 config.yml 文件,其中包含要导入到 极狐GitLab 中的包的详细信息。然后将导入程序添加到 .gitlab-ci.yml 流水线配置文件,其余部分由导入程序完成。它在流水线中运行,动态生成一个子流水线,其中包含将所有包导入 极狐GitLab 包注册表的作业。
Browser-based DAST 性能改进
我们优化了Browser-based DAST 分析器执行扫描的方式。这些改进具有显着意义。
减少了使用Browser-based DAST分析器运行 DAST 扫描所需的时间。进行了以下改进:
- 添加了日志摘要统计信息,以帮助确定扫描期间花费的时间。这可以通过包含环境变量 DAST_BROWSER_LOG=”stat:debug” 来启用。
- 通过并行运行被动检查来优化被动检查。
- 通过缓存匹配 HTTP 响应正文中的内容时使用的正则表达式来优化被动检查。
- 优化了 DAST 确定页面是否已完成加载的方式。现在,我们不会等待排除的文档类型或超出范围的 URL。
- 减少了页面加载后 DOM 快速稳定的页面的等待时间。
通过这些改进,我们看到Browser-based DAST扫描时间减少了50%-80%,具体取决于正在扫描的应用程序。虽然并非所有扫描都可以看到此百分比下降,但Browser-based DAST 扫描现在完成所需的时间应该要少得多。
在 SAST 中更快、更轻松地进行 Scala 扫描
极狐GitLab 静态应用程序安全测试 (SAST) 现在提供基于 Semgrep 的 Scala 代码扫描。
这项工作建立在我们之前在 极狐GitLab 14.10 中引入的基于 Semgrep 的 Java 扫描的基础上。
与我们已经过渡到基于 Semgrep 扫描的其他语言一样,Scala 扫描覆盖率使用 极狐GitLab 管理的检测规则来检测各种安全问题。
新的基于Semgrep的扫描运行速度明显快于基于SpotBugs的现有分析器。它也不需要在扫描前编译您的代码,因此使用起来更简单。
极狐GitLab 的静态分析和漏洞研究团队共同努力,将规则转换为 Semgrep 格式,保留了大多数现有规则。我们还在转换规则时对其进行了更新、优化和测试。
如果您使用 极狐GitLab 管理的 SAST 模板 (SAST.gitlab-ci.yml),则基于 Semgrep 和基于 SpotBugs 的分析器现在只要找到 Scala 代码就会运行。在极狐GitLab 旗舰版中,安全仪表板结合了来自两个分析器的结果,因此您不会看到重复的漏洞报告。
在未来的版本中,我们将更改 极狐GitLab 管理的 SAST 模板 (SAST.gitlab-ci.yml),以便仅运行基于 Semgrep 的 Scala 代码分析器。基于 SpotBugs 的分析器仍将扫描其他语言的代码,包括 Groovy 和 Kotlin。如果您只想使用基于 Semgrep 的扫描,则可以尽早禁用 SpotBugs。
如果您对基于 Semgrep 的新 Scala 扫描有任何疑问、反馈或问题,请提交问题,我们很乐意为您提供帮助。
通过Browser-based DAST 引入带外应用程序安全测试
以前,极狐GitLab 的 DAST 分析器在执行主动检查时不支持回调攻击。这意味着带外应用程序安全测试 (OAST) 需要与 DAST 扫描分开配置。
现在,您可以通过扩展Browser-based DAST 分析器配置来启用回调攻击来运行 OAST。
在此版本中,我们引入了 BAS.latest.gitlab-ci.yml 模板。漏洞和攻击模拟 CI/CD 模板具有Browser-based DAST 分析器的作业配置,并支持容器到容器网络,以将针对服务容器的扩展 DAST 扫描添加到 CI/CD 流水线。
我们不断迭代以开发新的漏洞和攻击模拟功能。我们很乐意听到您对在Browser-based DAST 中添加回调攻击的反馈。
免费用户可用的其他注册功能
拥有运行 极狐GitLab 企业版的自我管理实例的 极狐GitLab 免费客户现在可以在注册功能计划下访问另外五个付费功能:
- 密码复杂性策略
- 描述更改历史记录
- 问题板配置
- 维护模式
- 覆盖引导模糊测试
要访问这些功能,请在 极狐GitLab 注册并通过 Service Ping 向我们发送活动数据。
Omnibus 改进
- PostgreSQL 12已不再被支持。最低要求的版本是PostgreSQL 13。使用打包的PostgreSQL 12的用户必须在安装极狐GitLab 16.0之前进行数据库升级。
- Omnibus GitLab docker镜像的新基础操作系统是Ubuntu 22.04。
- 极狐GitLab 16.0禁用了Consul的旧遥测端点,这些端点在Consul 1.9中被废弃。这使得我们可以将Consul更新到较新的版本。
- 极狐GitLab 16.0包括红帽企业Linux(RHEL)9和兼容发行版的软件包。
- 极狐GitLab 16.0包括带有安全更新的Mattermost 7.10。建议从早期版本升级。
在批量消除漏洞时提供原因
在漏洞报告中选择一个或多个漏洞时,可以批量改变它们的状态。
在这个版本中,你现在可以在选择驳回状态时选择驳回原因,并在改变漏洞状态时添加评论。
延迟群组和项目删除设置为默认值
为了防止意外删除项目和组,从 极狐GitLab 16.0 开始,默认情况下将为所有 极狐GitLab 旗舰版和高级版客户启用延迟删除功能。
私有化部署的用户仍然可以选择定义 1 到 90 天的删除延迟期,SaaS 用户的默认保留期为 7 天,不可调整。
旗舰版和高级版群组的用户仍可以通过两步删除过程立即从群组或项目设置中删除群组或项目。
我们相信,此更改将有助于更安全的删除过程,并有助于防止意外删除。
支持扫描结果策略的基于角色的审批操作
使用基于角色的审批操作,您可以将扫描结果策略配置为需要 极狐GitLab 支持的角色(包括所有者、维护者和开发人员)的批准。
这为您提供了更大的灵活性,而不是要求单个审批者或定义的用户组,从而更轻松地根据您在 极狐GitLab 中已经利用的角色大规模实施策略,尤其是在大型组织中。
私有化部署的极狐GitLab 使用两个数据库连接
从16.0开始,极狐GitLab的自我管理安装将默认有两个数据库连接,而不是一个。这一变化使得自我管理版本的极狐GitLab的行为与JihuLab.com相似,也是朝着为自我管理版本的极狐GitLab的CI功能启用单独的数据库迈出的一步。
这一变化适用于使用Omnibus GitLab、GitLab Helm chart、GitLab Operator、GitLab Docker镜像和从源代码安装的安装方法。
项目列表 API 的未经身份验证用户的速率限制
项目列表 API 的未经身份验证的用户今后将受到速率限制。
在 JihuLab.com 上,限制设置为每个唯一 IP 地址每 10 分钟 400 个请求。
默认情况下,自我管理 极狐GitLab 实例的用户具有相同的速率限制,但管理员可以根据需要更改速率限制。我们鼓励每 10 分钟需要向项目列表 API 发出超过 400 个请求的用户注册 极狐GitLab 帐户。
将协作者最为附加信息导入项目中
在极狐GitLab 15.10 中,我们开始在 GitHub 项目导入期间将 GitHub 仓库协作者映射为 极狐GitLab 项目成员。我们收到了反馈说这导致了混乱,一些 GitHub 合作者是意外添加和消耗的席位。
在极狐GitLab 16.0 中,我们迭代了 GitHub 仓库协作者并将其添加到要导入的其他项目。这为用户提供了选项以避免导入这些用户并了解导入它们的可能影响。
这个选项是默认选择的。如果不选择它,可能会导致新用户使用群组或命名空间中的席位,并被授予与项目所有者一样高的权限。只有直接合作者会被导入,外部合作者不会被导入。
限制用户的会话长度
管理员可以在登录时删除用户的“记住我”选项,以便无法延长会话并强制用户重新进行身份验证。限制会话的持续时间可以提高实例安全性。
对任务、目标和关键结果的子记录重新排序
如果你是任务或 OKR 的用户,你可能不止一次希望我们可以对小组件中的子记录重新排序!
通过这项工作,用户现在可以对工作项小部件中的子记录重新排序,从而允许他们指示相对优先级或指示下一步操作。
添加或解决有关任务、目标和关键结果的待办事项
我们知道 极狐GitLab 待办事项列表是一项广泛采用的功能,但它不适用于任务、目标和关键结果。
在此版本中,我们引入了从工作项记录中打开或关闭待办事项的功能。
通过quick action更改工作项类型
通过这个新的 quick action,您现在可以将任务转换为议题,将关键结果转换为目标。
CI/CD 组件
在此版本中,我们很高兴地宣布 CI/CD 组件作为一项实验性功能提供。CI/CD 组件是可重用的单一用途构建基块,可用于组合项目 CI/CD 配置的一部分,甚至整个流水线。
当与输入关键字结合使用时,CI/CD 组件可以变得更加灵活。您可以通过输入可用于作业名称、变量、凭据等的值来根据您的确切需求配置组件。
projects/:id/jobs 端点的速率限制降低
以前,GET /api/:version/projects/:id/jobs 的速率限制为每分钟 2000 个经过身份验证的请求。
为了使其与其他速率限制保持一致并提高效率和可靠性,我们已将限制降低到每分钟 600 个经过身份验证的请求。
以用户身份创建群组runner
在此新工作流中,将新runner添加到 极狐GitLab 群组需要授权用户在 极狐GitLab UI 中创建runner并包含基本的配置元数据。使用此方法,runner现在可以轻松追溯到用户,这将帮助管理员解决构建问题或响应安全事件。
在Admin管理区创建实例级 runner
在这个新的工作流程中,向 极狐GitLab 实例添加新runner需要授权用户在 极狐GitLab UI 中创建runner并包含基本的配置元数据。使用此方法,runner现在可以轻松追溯到用户,这将帮助管理员解决构建问题或响应安全事件。
用于创建runner的 REST API 端点
用户现在可以使用新的 REST API 端点 POST /user/runners 来自动创建与用户关联的runner。创建runner时,将生成身份验证令牌。此新端点支持下一个 极狐GitLab runner令牌体系结构工作流。
使用 Scala 从 Maven 注册表下载软件包
极狐GitLab 软件包库现在支持使用 Scala 构建工具 (sbt) 下载 Maven 包。以前,Scala 用户无法从软件包库下载 Maven 包,因为不支持基本身份验证。结果,Scala用户要么被阻止使用软件包库,要么不得不使用Maven(mvn)或Gradle作为替代方案。
通过添加对 Scala 的支持,我们希望帮助您将软件包库用于数据密集型项目。
注意,尚不支持使用 sbt 发布工件。
SAST 分析器更新
极狐GitLab SAST 包括许多安全分析器,极狐GitLab 静态分析团队会积极维护、更新和支持这些分析器。我们在 16.0 版本里程碑期间发布了以下更新:
- 基于 Semgrep 的分析器包括更新的 极狐GitLab 管理的扫描规则。有关更多详细信息,请参阅更新日志。我们已将规则更新为:
- 更新OWASP映射,以显示它们是基于2017年OWASP十佳的。
- 处理PyYAML.load规则中的额外情况。
- 根据极狐GitLab漏洞研究团队的修订,大幅改进了C规则的描述和指导。
- 增加对Scala代码的扫描支持。
- 基于Flawfinder的分析器现在支持通过–neverignore标志来忽略注释中的 “忽略 “指令。更多细节请参见CHANGELOG。
- 基于KICS的分析器已经更新到KICS 1.7.0版本。参见 CHANGELOG 以了解更多细节。
- 基于MobSF的分析器现在支持多个模块和项目,这解决了几个错误报告。更多细节请见CHANGELOG。
另外,正如之前宣布的,作为极狐GitLab 16.0的一部分,我们增加了每个分析器的主要版本号。
如果你包含极狐GitLab管理的SAST模板(SAST.gitlab-ci.yml)并运行极狐GitLab 16.0或更高版本,你会自动收到这些更新。
要保持在任何分析器的特定版本上,并防止自动更新,你可以钉住它的版本。
关于以前的变化,请看上个月的更新。
密钥检测更新
我们会定期发布 极狐GitLab 密钥检测分析器的更新。在 极狐GitLab 16.0 里程碑期间,我们:
- 添加了 极狐GitLab 管理的检测规则,用于:
- Meta、Oculus 和 Instagram API 的访问令牌。
- 分段公共 API 的令牌。
- 将 Gitleaks 扫描引擎更新到版本 8.16.3。
- 修复了在存储库只有一个提交时阻止扫描的错误。
- 如前所述,将分析器主要版本增加到 5。
有关更多详细信息,请参阅更新日志。
如果使用 极狐GitLab 管理的密钥检测模板 (Secret-Detection.gitlab-ci.yml) 并运行 极狐GitLab 16.0 或更高版本,则会自动收到这些更新。
若要保留在任何分析器的特定版本上并阻止自动更新,可以固定其版本。
有关以前的更改,请参阅上个月的更新。
服务台自动答复中议题描述的占位符
对于服务台请求者来说,在自动感谢电子邮件回复中查看其原始请求非常有用。
在此版本中,我们添加了 %{ISSUE_DESCRIPTION} 占位符,以便服务台管理员可以在感谢电子邮件中包含原始请求。
GitLab chart改进
- 对极狐GitLab 16.0的更新也将cert-manager更新到了1.11.x版本。这个cert-manager的更新包括一些突破性的变化,你必须在升级前阅读。这些变化包括对容器名称的改变,最好在极狐GitLab的主要版本中进行。要查看更新功能的细节,请看cert-manager 1.11的发布说明。
- PostgreSQL 12不再被支持。最低要求的版本是PostgreSQL 13,并增加了对PostgreSQL 14的支持。新chart安装的极狐GitLab默认包括PostgreSQL 14,升级时必须遵循升级捆绑的PostgreSQL版本的步骤。
- 对极狐GitLab 16.0的更新包括将Redis子chart更新到16.13.2版本,包括Redis 6.2.7。
- 我们删除了捆绑的Grafana chart。欲了解更多信息,请参见我们的移除页面上的移除捆绑的Grafana Helm chart。如果你使用捆绑的Grafana,你必须切换到Grafana实验室的较新的chart版本,或者从可信的供应商那里购买Grafana运营商。
- 极狐GitLab 16.0包括在global.registry.*配置中包含了webservice和Sidekiq的注册表服务细节,以简化工作,因为这两个值都存在。你可以通过覆盖来保持旧的行为。
- Helm的最小支持版本是3.5.2。
- 极狐GitLab Runner的默认版本现在是Ubuntu 22.04。
在不使用批量操作的情况下添加和删除合规性框架
在极狐GitLab 15.11中,我们在合规性框架报告中增加了批量添加和删除合规性框架。
现在在极狐GitLab 16.0中,你也可以直接从报告表行中添加和删除项目的合规性框架。
在极狐GitLab 16.0之前,你必须在群组的设置中创建和编辑框架。
现在在极狐GitLab 16.0中,你可以在合规性框架报告中创建或编辑。这简化了框架的创建工作流程,减少了在管理框架时切换上下文的需要。
将其他组或项目所有者完成的待办事项标记为完成
当用户为群组或项目提出访问请求时,该请求将显示在群组或项目所有者的待办事项列表中。对于具有多个所有者的群组和项目,请求将显示在每个所有者的待办事项列表中。
借助此新功能,已由其他所有者完成的待办事项将在其他人的待办事项列表中标记为“完成”。
按目标分支名称筛选合规性冲突
在 极狐GitLab 16.0 之前,合规性违规报告显示了所有分支上的所有违规行为。
现在,你可以使用新的搜索目标分支字段来过滤违规行为,让你专注于你最关心的分支。
禁用关注者的选项
我们收到了用户的反馈,他们希望防止其用户个人资料获得不受欢迎的关注者。我们听取了您的疑虑,因此现在,在“首选项”下的用户配置文件设置中,您可以禁用以下操作。
禁用此功能后,没有人可以关注您,您也无法关注任何人。将删除所有现有的关注者和关注者关系,并将计数设置为零。
部署冻结处于活动状态时显示消息
极狐GitLab 现在会在部署冻结生效时在“环境”页面上显示一条消息。这有助于确保您的团队了解何时发生冻结以及何时不允许部署。
