极狐GitLab 18.2 重点功能解读

沿袭我们的月度发布传统，极狐GitLab 发布了 18.2 版本，该版本带来了议题和任务的自定义工作流状态、新的合并请求主页、新的群组概览合规仪表盘、下载安全报告的 PDF 导出文件、中心化的安全策略管理（Beta）等几十个重点功能的改进。下面是对部分重点功能的详细解读。

关于极狐GitLab 的安装升级，可以查看官方指导文档。

• 18.2.0 容器镜像

registry.gitlab.cn/omnibus/gitlab-jh:18.2.0-jh.0

• 18.2.0 Helm Chart

helm search repo gitlab-jh
NAME                   	CHART VERSION	APP VERSION	
gitlab-jh/gitlab       	9.2.0        	v18.2.0	
gitlab-jh/gitlab-runner	0.79.0       	18.2.0	    	

极狐GitLab 18.2 重要改进

议题和任务的自定义工作流状态

不再局限于简单的开启/关闭状态，你可以自定义流程阶段，以便更贴合团队的真实工作方式。

与依赖标签不同的是，现在你可以定义能够准确反映你工作进度的状态。有了可配置的状态，你就可以：

• 定义自定义工作流以便更加贴合团队的实际进度。
• 用合适的状态（更加容易找到、更新以及报告）替代工作流标签。
• 除了使用“已完成”或“被取消”来关闭议题外，让完成结果更清晰化。
• 对工作项状态进行更精准的过滤和报告来获得更好的项目洞察。
• 当议题在不同列中移动时，议题看板中使用状态可以自动更新。
• 跨多个工作项的批量更新状态让工作流管理更高效。
• 为关联工作项使用状态可见性来追踪依赖。

自定义工作流状态还支持在评论中的快捷操并和极狐GitLab 开启/关闭系统自动同步。

新的合并请求主页

当你同时担任提交者和审核者，处理几十个合并请求时，在多个项目之间管理代码评审可能会让人应接不暇、难以应对。

新的合并请求主页通过智能优先排序当前最需要你关注的内容，彻底改变了你管理评审任务的方式，并提供了两种强大的视图模式：

• 工作流视图：通过合并请求的审核状态进行组织，通过代码审核工作流中的阶段进行分组。
• 角色视图：通过你是否是作者或审核者来对你的合并请求进行分组，能让你的职责划分更清晰。

活跃选项表明合并请求需要你的关注，已合并显示最近完成的工作，搜索提供了完整的过滤能力。

新的主页通过将作者和审核者结合起来扩展了你对合并请求的可见性，确保你从不会忽略已经委托给你的工作。

使用不可变容器标签来提高安全

容器仓库对现代化 DevSecOps 团队来说是非常重要的基础设施。然而，即使已经具有了受保护容器标签功能，组织依旧面临挑战：标签在创建后，具有足够权限的用户是可以修改标签的。这对于通过使用指定容器镜像标签版本以确保生产稳定的团队来说充满了风险。任何修改——即使是认证用户——也可能引入非期望的比啊功能或破坏部署完整性。

有了不可变容器标签，您可以保护容器镜像免受非期望变更。一旦标签被创建而且和不可变规则相匹配，那么任何人都无法修改该容器镜像。现在你可以：

• 使用 RE2 正则表达式模式来为每个项目创建至多 5 个保护规则（包括受保护和不可变规则）。
• 保护重要的标签，诸如 latest、语义版本（比如 v1.0.0）或从任何修改而来的候选版本。
• 确保不可变标签能从清除策略中自动排除在外。

不可变容器标签需要下一代容器镜像，这在 JihuLab.com 上是默认启用的。对于私有化部署用户，你必须启用元数据数据库来使用不可变容器标签。

新的群组概览合规仪表盘

合规中心是合规团队的重要位置，来对合规状态报告、违规报告以及群组的合规框架进行管理。

新的群组概览合规仪表盘能够让合规经理对群组中所有项目的合规信息有一个聚合视图。第一个迭代能够展示如下信息：

• 特定合规框架覆盖的项目百分比。
• 群组所有项目中不合格需求的占比。
• 群组所有项目中受控失败的占比。
• 需要“注意”的特定合规性。

有了此新的群组视图，合规管理者现在拥有一个统一的视图，可以清晰地从高层次了解其合规状况。

为实例映射工作空间 Kubernetes 代理

现在，极狐GitLab 管理员可以为实例映射启用的工作空间 Kubernetes 代理了。然后用户就可以从实例的任意群组或项目创建工作空间了。

此项变更通过允许组织一次性创建工作空间 Kubernetes 代理来增加工作空间的可扩展性，而且可以让这些代理能够被整个实例上的当前和将来创建的项目所访问。

下载安全报告的 PDF 导出文件

为了和其他利益相关者沟通你在漏洞管理努力方面的状态和进度，现在你可以将每个项目获群组的安全仪表盘导出为 PDF 文档。

中心化的安全策略管理（Beta）

在合规性至关重要的大型企业中，团队常常苦于策略管理分散在多个项目和群组中难以统一管理。没有集中式的可见性，确保一致的强制执行就会变成一件非常耗时的事情，而且增加了合规风险。

集中式安全策略管理通过单独设计的合规和安全策略（CSP）群组来在极狐GitLab 整个组织中引入了统一的方法来创建、管理并强制执行安全策略。这能够让安全团队：

• 一次定义策略并在任意地方应用：通过 CSP 一次性创建实例范围的安全策略并在所有群组和项目上自动强制执行。
• 配置业务单元策略：顶级群组可以配置他们专属的策略体系同时从 CSP 群组继承组织策略。
• 确保遵循最小权限原则：为实例建立中心化的策略管理层。

此次 Beta 版的发布，为中心化策略管理建立了基础框架，可以支持所有现有的安全策略类型，而且对于群组、项目或实例来说是可配置的。

极狐GitLab 18.2 中的其他改进

管理员可在无需用户确认的情况下重新指派贡献

现在，管理员可以将贡献从占位用户重新指派给活跃用户而无需用户确认。此项功能为大型组织解决了一个关键挑战：当用户不检查其邮件来审批重新指派时，流程就会被卡住。

在启用了用户模拟的极狐GitLab 实例上，管理员可以维护数据的完整性同时简化用户的管理工作流。重新指派完成后用户依旧可以接收到通知邮件，这是为了确保整个流程的透明性。

为团队成员指派史诗

现在你可以为个体指派史诗，这就明确了谁负责统筹战略举措。史诗指派人有助于你在项目组合层面明确归属，让长期目标的决策更快速、责任归属更清晰。团队可以快速看到对于史诗的进度、依赖或范围变更应该去联系谁。

配置史诗展示外观

现在当你查看你的工作项列表时，你可以完全控制要显示哪些元数据，以便更加容易地聚焦在那些对你最重要的信息上。

之前，所有的元数据字段都是可见的，这可能让对工作项的整体扫描变成巨量的工作。现在，你可以通过关闭或打开指定的字段，诸如指派人、标记、日期或里程碑来自定义你的视图。

GLQL 视图排序和分页

此版本对 GLQL 视图引入了增强排序和分页，让大型数据集的工作更简单。

现在你可以对关键字段进行排序，包括截止日期、健康状态以及受欢迎度等，来快速找到最相关的项。新的“加载更多”分页系统对数据加载提供了更好的控制，把原先一次性铺满整页、令人应接不暇的大量结果，替换成可按需分批加载、易于消化的小块内容。

这些改进能够帮助团队在复杂项目数据间进行高效导航而且在任何时候都能聚焦在最重要的事情上。

极狐GitLab Runner 18.2

我们还发布了极狐GitLab Runner 18.0。极狐GitLab Runner 是一个轻量级、高扩展的代理，用来运行你的 CI/CD 作业并且将结果发送回极狐GitLab 实例。极狐GitLab Runner 和极狐GitLab CI/CD 绑定在一起，而极狐GitLab CI/CD 是一个开源且内置在极狐GitLab 里面的服务。

修复的缺陷：

• 当你升级到极狐GitLab Runner 18.1.0 以后，Runner 会在 FIPS 模式下失败
• 使用 FF_USE_DUMB_INIT_WITH_KUBERNETES_EXECUTOR时，无法启动作业 pod
• ubi-fips 镜像并非极狐GitLab Runner FIPS 的默认 helper 镜像版本
• 当你禁用极狐GitLab 模式后，Runner 依旧会有一定时间的离线

容器扫描支持多架构容器镜像

容器扫描功能现已内置 Linux Arm64 架构的容器镜像版本。当在 Linux Arm64 runner 上运行时，分析器将不再需要模拟，就会让分析更加快速。此外，现在你还可以在你想扫描的平台上通过设置 TRIVY_PLATFORM环境变量来扫描多架构镜像。

改进了容器扫描的归档文件支持

极狐GitLab 18.2 为容器扫描带来了改进的归档文件扫描支持。如果特定软件包中的某个漏洞在多个镜像中都存在，你现在会看到该漏洞分别归属到每一张被扫描的镜像。

对 JavaScript 的静态可达性支持

现在，组件成分分析对 JavaScript 库支持静态可达性分析了。现在你可以将静态可达性产生的数据用作你管理和修复决策的一部分了。静态可达性数据还可以和 EPSS、KEV 以及 CVSS 分数一起使用来为你的漏洞提供一个更加聚焦的视图。

漏洞报告中的可达性过滤

现在用户可以在漏洞报告中对数据进行过滤以仅包含可触达的漏洞。可触达的漏洞代表漏洞：

• 在通用漏洞披露”（CVE）列表中。
• 作为显示导入库的一部分。

审批策略的源分支模式例外

之前，使用 GitFlow 的团队在将 release/*分支合并到 main分支的时候总是会遇到审批死锁问题，因为绝大多数贡献者都已经参与到了版本开发中，因此他们就不能作为审核人员。

合并请求审批策略中的分支模式例外通过绕过指定源-目标分支中的审批要求来解决了此问题。为分支到主分支的合并配置严格审批的同时还简化了发版到主分支的工作流。

关键能力：

• 基于模式的配置：定义源分支模式，诸如 release/*或 hotfix/*来绕过审批要求。
• 简化集成：分支例外是直接集成到现有合并请求审批策略中的，而且可以通过 UI 或 policy.yml来进行配置。

这既消除了采用复杂变通方案的必要，又保留了合并请求审批策略在标准开发工作流中的安全优势。

漏洞 ID 添加到漏洞报告的 CSV 导出中

之前，漏洞报告的 CSV 导出是不报告漏洞 ID 的。现在你可以在 CSV 导出的漏洞列表中找到每一个漏洞的 ID。

自定义管理员角色处于 beta

自定管理员角色能够给私有化部署实例的管理员带来精细化的权限管控。相比赋予所有访问权限，现在，管理员可以创建特定的角色来仅访问用户所需的指定功能。此项功能可以帮助组织实现对于管理功能的最小权限实践，从过度授权访问方面上减少了安全风险，而且提高了运营效率。

停用向审计流目标的数据推送

之前，是没有办法临时停止向审计流目的地推送数据的。在有些情况下你可能想这么做，包括对于流的连接性进行故障排查或在不删除配置的情况下对配置进行变更并重启。

在极狐GitLab 18.2 中，我们增加了一个开关来打开或关闭审计流。当审计流关闭时，审计事件就不会被发送到所选择的目的地。当再次激活时，审计流又会被再次推送到所选择的目的地。

对所有审计流目的地进行功能过滤

之前，特定的审计流目的地没有可用的过滤功能。

现在对于所有的目的地，我们支持通过 UI 进行功能过滤，可过滤的功能包括：

• 通过审计事件类型。
• 通过群组或项目。

此项变更还意味着审计事件目的地（诸如 AWS）现在可以通过审计事件进行过滤了。

从占位用户重新指派为非活跃用户

之前，管理员可将贡献和成员关系从占位用户重新指派给活跃用户。

现在在私有化部署实例上，管理员还可以将贡献和成员关系从占位用户重新指派给非活跃用户。此项功能能够允许你保留实例上被阻塞、禁止或停止用户的贡献历史和成员关系。

管理员需要首先启用此设置，启用后，在重新指派期间，此项设置能够通过跳过用户确认来简化用户管理同时保持安全的访问控制。

为史诗（Epic）分配里程碑，以强化长期规划

现在你可以直接将里程碑指派给史诗，实现从战略举措到具体执行的自然级联规划。这项增强功能帮助你把季度规划或 SAFe 项目增量等更长期规划节奏，与史诗对齐；同时仍可保持迭代专注于开发冲刺。

有了这样清晰的层级结构，你可以减少管理工作量而且能更清楚地洞察战略举措如何按照组织既定时间框架推进。

在史诗页面上以抽屉形式或完成形式打开史诗

你现在可以通过新增的切换开关，在从列表页打开史诗时，选择以抽屉视图还是整页导航方式呈现。

使用抽屉形式能够快速查看史诗详情同时保持史诗列表内容，或当你需要更多屏幕空间以进行详情编辑和完整导航时，你就可以打开完整页面。

极狐GitLab Flavored Markdown 工作项引用和编辑器改进

现在你可以在极狐GitLab Flavored Markdown 中使用统一的 [work_item:123]语法来引用议题、史诗和工作项了。此项新的语法能够和现有的引用（诸如对议题的 #123或史诗的 &123）一起工作，而且支持使用 [work_item:namespace/project/123]进行跨项目引用。

纯文本编辑器还新增了一项偏好设置：在你按下回车键时保持光标缩进，从而让撰写嵌套列表、代码块等结构化内容变得更加轻松。

触发器作业可以镜像下游流水线状态

之前，使用 strategy:depend的触发器作业在处理复杂流水线状态（诸如手动作业、阻塞流水线或在执行期间具有变更状态的尝试流水线）会有限制。这可能会让下游流水线看起来像是正在运行，但是实际上它却被手动作业所阻塞。新的 strategy:mirror关键字通过镜像下游流水线的事实状态来提供更精准的状态报告。中间状态包括 running、manual、blocked以及 canceled。这能够让团队对于其下游流水线的当前状态有更好的可见性，同时又不会打破当前工作流。

DAST 支持基于事件的一次性密码 MFA

动态分析现在支持基于事件的一次性密码（TOTP）多多因素认证。

现在你可以在启用了 TOTP MFA 的项目上运行 DAST 扫描以确保完整的安全测试。此项强化功能可以通过在从部署了 MFA 的生产环境上镜像到的配置中测试应用程序来交付更加精准的扫描结果。

对验证 DAST 登录成功提供了更完善的支持

之前， DAST_AUTH_SUCCESS_IF_AT_URL变更需要一个外部 URL 来匹配验证成功的认证。此项工作对于静态登录页面来说非常有效，但是对于登录 URL 中包含动态元素的应用来说就很困难了。

现在，你可以在 DAST_AUTH_SUCCESS_IF_AT_URL变量中使用通配符模式来匹配动态的 URL 模式。此项改进为需要验证认证成功的需求提供了灵活性，即使精确的 URL 在会话间进行变动。

显示依赖路径

之前，确定依赖是否是直接依赖或是由其他依赖导入的间接依赖是非常困难的。

现在你可以使用新的依赖路径功能来确定一个库是直接引入的还是通过其他方式导入的。你可以在项目群组的依赖项列表以及漏洞详情页面上找到依赖路径。该功能让开发者可以根据库的导入方式，判断最高效的修复路径。

完整的资产可见性安全清单现在处于 beta

应用安全团队需要对其组织下面的所有资产安全有全面的可见性。之前，极狐GitLab 的安全工作流主要聚焦在项目级别的扫描器配置和项目级别的漏洞上，让理解覆盖率差距的理解、销量以及基于风险的优先级排序决策变得很困难。

安全清单提供了极狐GitLab 实例的中心化视图，能够让应用安全团队：

• 获取跨项目和群组的安全覆盖率完整可见性。
• 识别缺乏安全扫描和有配置缺陷的资产。
• 基于风险做出有依据的决策，明确将安全工作聚焦在何处。
• 持续追踪安全态势的改进情况。

此项目能够帮助缩小单个项目安全和组织级的安全策略方面的差距，为你提供高效管理安全项目的资产清单基础。

漏洞 GraphQL API 返回额外信息

现在你可以通过 GraphQL API 查询漏洞最初被引入的流水线，以及最近一次检测到它的流水线。漏洞 GraphQL API 现已新增：

• initialDetectedPipeline：用来获取漏洞是什么时候被引入的额外提交信息，比如作者的用户名。
• latestDettectedPipeline：用来获取漏洞是什么时候被移除的额外提交信息，比如提交 SHA。

凭据清单现已包含服务账号令牌

现在，极狐GitLab 在凭据清单中支持服务账号令牌了，能够给你更好的可见性以及控制在你软件供应链安全中使用的多种认证方式。凭据清单提供了一个在你组织中使用凭据完整的视图。