返回文章列表
极狐GitLab 16.11 重点功能解读
小马哥
极狐GitLab DevOps 技术布道师
沿袭我们的月度发版机制,这个月我们正式发布极狐GitLab 16.11。此次发布带来众多功能更新,包括安全策略范围、使用产品分析更好的了解用户以及为企业用户禁用个人访问令牌等。
极狐GitLab 16.11 重点改进
安全策略范围
|
|
|
|
|
|
|
|
|
|
|
|
策略范围提供了针对策略的精细化管理和强制执行。在合并请求批准(扫描结果)策略和扫描执行策略中,此新功能可以使安全和合规团队能够将策略实施范围限定到合规性框架或群组中包含/剔除某些项目的项目中。
虽然现在安全策略项目中管理的所有策略都是针对所有链接的群组、子群组以及项目,但是策略范围允许你按照策略细化策略的轻质执行。这将允许安全和合规团队能够:
- 更轻松地在整个组织中集中管理策略,同时还能实现策略的精细化管理。
- 更好的了解这些机制在极狐GitLab 中的实施和执行,并且如何将这些控制汇总到他们定义好的合规性框架中。
- 查看并管理哪些策略是通过合规中心链接到合规框架的。
- 更好的规划以及了解他们的安全和合规状况。
使用产品分析更好的了解用户
|
|
|
|
|
|
|
|
|
|
|
|
了解用户如何与应用程序互动至关重要,这样能够便于就未来的创新和优化作出数据驱动的决策。你是否有注意到顶级业务的关键 URL 的使用率有所上升?你是否看到越来越多的客户在使用移动端设备,比如 Android 设备。如果团队能够获取到此类问题的一些答案,并且能够从极狐GitLab 侧直接获得,那么这将帮助研发团队对自身的工作进行优化,为用户提供更大的价值。
有了极狐GitLab 新的产品分析特性功能,你可以检测你的应用程序、收集有关用户的关键使用情况以及数据,并且将这些数据展示在极狐GitLab 内部。你可以将这些数据展示在仪表盘上或者上报到仪表盘,以及通过多种过滤器来发现更多与你的用户有关的洞察。现在你的团队可以快速识别并对客户使用过程中的一些问题做出快速响应。
为了使用此产品分析功能,你需要有一个 Kubernetes 集群,并且使用 Helm Chart 来安装一个应用,然后通过配置让你的应用程序将流量转发到这个应用。极狐GitLab 随后会链接到此集群并且获取数据,然后进行可视化。
为企业用户禁用个人访问令牌
|
|
|
|
|
|
|
|
|
|
|
|
极狐GitLab 群组拥有者现在可以禁止群组中的任意企业用户创建或者使用个人访问令牌。由于个人访问令牌会关联一些很强的权限,所以有些拥有者想要从安全的角度来禁止这些令牌。
当在 Jihulab.com 上,需要在安全性和可访问性之间做取舍的时候,这种精细化的控制就能给出很好的答案。
对 wiki 页面链接的自动补全支持
|
|
|
|
|
|
|
|
|
|
|
|
我们很高兴地宣布在极狐GitLab 16.11 中我们增加了对于 wiki 页面链接的自动补全!有了这个新功能,从史诗和议题关联 wiki 页面就变得无比容易了—— 而这只需要简单操作即可实现。
那些通过拷贝 wiki 页面 URL 然后将其粘贴到史诗或议题中的日子已经一去不复返了。现在,只需要导航到具有 wiki 页面的任何群组或项目,访问史诗或议题,然后使用自动补全的快捷方式就能从史诗或议题无缝连接到对应的 wiki 页面了。
项目概览页面的侧边栏元数据
|
|
|
|
|
|
|
|
|
|
|
|
我们重新设计了项目概览页面。现在你可以在单个侧边栏的链接上看到项目的所有信息,而不是分布在多个地方。
如果任何作业失败,可以选择立即取消流水线
|
|
|
|
|
|
|
|
|
|
|
|
有时候,当你注意到有作业失败后,你可能会手动取消其他的流水线以节约资源,然后将精力聚焦在引起失败的问题上面。在极狐GitLab 16.11 中,你可以对流水线进行配置,当任意作业失败时,可以自动取消流水线。对于那些需要花费大量时间来运行的流水线,特别是那些并行运行且长期运行的作业来说,这个功能能够有效降低资源和成本的消耗。
你甚至可以配置一旦有下游流水线失败就立即取消整个流水线的运行,这些取消的流水线包括父曾流水线以及所有其他的下游流水线。
极狐GitLab 16.11 的其他改进
配置导入作业的限制
|
|
|
|
|
|
|
|
|
|
|
|
直到现在,导入作业的最大限制数为:
- GitHub 导入器为 1000。
- Bitbucket Cloud 和 Bitbucket Server 导入器为 100。
这些限制都是硬编码的,无法修改的。这些限制可能会减慢导入速度,因为它们可能不足以让导入作业以与作业排队时的相同速度进行处理。
在此版本中,我们在应用程序设置中取消了硬编码设置。尽管我们没有在 JihuLab.com(SaaS)上增加这些限制,但是对于私有化部署的管理员来说,他们可以根据自身需求来配置导入作业的数量限制了。
可以在群组或者实例上配置极狐GitLab Slack app
|
|
|
|
|
|
|
|
|
|
|
|
之前,你只能一次为单个项目配置极狐GitLab Slack app。在这个版本中,现在可以配置群组或实例的集成,并同时对多个项目进行配置更改。
这一改进功能使得极狐GitLab Slack app 与已经弃用的 Slack 通知集成的功能更加接近。
改进了侧边栏中极狐GitLab pages 的可视化程度
|
|
|
|
|
|
|
|
|
|
|
|
在之前的版本中,对于具有极狐GitLab pages 站点的项目,很难找到站点 URL。
从极狐GitLab 16.11 开始,右侧的侧边栏会有一个快捷链接指向站点,因此你就可以在无需查看文档的情况下找到 URL 了。
使用颜色来区分史诗
|
|
|
|
|
|
|
|
|
|
|
|
为了进一步提高在整个组织中使用组合管理功能的能力,现在可以使用路线图和史诗板上的颜色来区分史诗。
通过这种轻量但好用的功能,可以快速区分不同群组之间的关系、生命周期中的不同阶段、研发成熟度等。
扩展了 Hashicorp Vault Secret 的支持,包括 Artifactory 和 AWS
|
|
|
|
|
|
|
|
|
|
|
|
极狐GitLab 和 Hashicorp vault 的支持已经进一步扩展以支持更多类型的密钥。现在你可以选择在极狐GitLab Runner 16.11 中引入 generic类型的密钥引擎。此引擎支持 Hashicorp Vault Artifactory Secret Plugin 和 AWS 密钥引擎。使用此选项可以更加安全地在极狐GitLab CI/CD 流水线中获取你需要的密钥信息。
用特定的退出码改进失败 CI 作业的自动重试
|
|
|
|
|
|
|
|
|
|
|
|
之前,比如当脚本执行失败时候,除了 retry:max之外,你还可以使用 retry:when来配置发生特定错误时(例如脚本执行失败)作业的重试次数。
在此版本中,现在你可以使用 retry:exit_codes来基于特定的退出码来配置失败作业的重试次数。你可以搭配使用 retry:exit_codes、retry:when、retry:max根据你的特定需求对流水线的行为进行微调以改善或者提高流水线的执行效率。
依赖项扫描支持 Yarn v4
|
|
|
|
|
|
|
|
|
|
|
|
依赖项扫描支持 Yarn v4 了。这加强了极狐GitLab 对于 Yarm v4 lockfile 的分析和解析能力。
使用违规数据扩展策略机器人评论
|
|
|
|
|
|
|
|
|
|
|
|
安全策略机器人能够为用户提供上下文,以了解何时在其项目上实施策略、何时完成评估以及是否存在任何阻塞 MR 的违规行为,并为这些问题的解决提供指南。现在我们对机器人注释的这种方式进行了扩张,以便添加更多额外的信息来辨明为什么某个 MR 被策略阻塞了,以及关于如何解决这些问题上的一些更细粒度的反馈等。注释可以提供的详情有:
- 阻塞 MR 的安全漏洞
- 策略之外的许可证
- 可能会默认出现“失败关闭”和阻止行为的策略错误等
- 在安全漏洞评估过程中与流水线有关的详细信息
有了这些额外的信息,你就可以更快速地了解你 MR 的状态并且自己对任何议题进行故障排查。
更多用户名选项
|
|
|
|
|
|
|
|
|
|
|
|
用户名只能包含非重音字母、数字、下划线(_)、中划线(—)和句号(.)。而且用户名不能以中划线(—)开始,不能以句号(.)、.git或者 .atom结尾。
用户名的验证现在能够更加准确地说明此标准。这项改进的验证意味着你在选择你的用户名时会有更清晰的选项。
改进了用户列表搜索及过滤
|
|
|
|
|
|
|
|
|
|
|
|
管理中心的用户界面已经进行了改进。
之前,选项卡水平跨越用户列表的顶部,因此很难导航到所需的过滤器。
现在,过滤器已经被整合到了搜索框中,让搜索及过滤用户变得更加容易。
Omnibus 改进
|
|
|
|
|
|
|
|
|
|
|
|
在极狐GitLab 17.0 中,支持的 PostgreSQL 最小版本为 14。为了对这一变更做好准备,在极狐GitLab 16.11 中,我们已经将 attempt_auto_pg_upgrade?设置为 true,这将会尝试自动将 PostgreSQL 的版本升级到 14。
此流程与上次我们提高支持 PostgreSQL 最低版本的操作是一样的。
自定义 webhook 标头
|
|
|
|
|
|
|
|
|
|
|
|
之前,极狐GitLab 并不支持自定义标头。这也就意味着你无法在那些需要从特定名称的标头中接受认证令牌的系统中使用 webhook。
在此版本中,你在创建或编辑 Webhook 时,最多可以添加 20 个自定义标头。你可以使用这些自定义的标头对外部服务进行身份验证。
有了这个功能以及在极狐GitLab 16.10 引入的自定义 webhook 模版,你就可以完全设计自定义 webhook 了。你可以配置你的 webhook 以便:
- Post 自定义负载。
- 添加任意需要的认证标头。
与密钥令牌和 URL 变量一样,自定义标头会在目标 URL 更改时重置。
使用 REST API 测试项目 hook
|
|
|
|
|
|
|
|
|
|
|
|
之前,你只能在极狐GitLab UI 上对项目 hook 进行测试。在此版本中,你可以使用 REST API 来触发对特定项目的 hook 进行测试。
可以对价值流事件进行累积计算
|
|
|
|
|
|
|
|
|
|
|
|
我们引入了一种更加稳定的方式来计算标签事件之间的持续时长。此更改适应事件多次发生的场景,诸如在合并请求中标签在开发和审核状态之间来回变换。之前,持续时间为第一个和最后一个标签事件之间经过的时间总和。
现在,持续时间按照累积时间计算,这意味着它现在仅正确表示议题或者合并请求具有给定标签的时间。
群组评论模板
|
|
|
|
|
|
|
|
|
|
|
|
在组织内部,对于议题、史诗或合并请求中使用相同的模板化响应会非常有帮助。这些响应可能包含需要回答的标准问题、通用问题的响应或者针对合并请求审核注释的结构等。
群组评论模板能使你创建可以应用到评论区的响应,以便加速你的整个工作流。新增的评论模板允许组织集中式的创建和管理模板,以便所有的用户都能够从相同的模板中受益。
为了创建一个评论模板,在极狐GitLab 的任意评论区中,选择插入评论模板 --> 管理群组评论模板。在评论模板创建之后,所有的群组成员就可以使用了。当添加评论的时候选择插入评论模板,就会应用之前你保存的响应。
我们对评论模板的下一个迭代感到兴奋,我们很快会添加对于项目级别的评论模板。
控制下载作业制品的人员
|
|
|
|
|
|
|
|
|
|
|
|
默认情况下,对流水线具有访问权限的所有人员都可以下载公共流水线中 CI/CD 作业生成的制品。然而,有一些不想制品被下载的场景,或者只能被具有高访问权限的团队成员下载。
因此在这个版本中,我们增加了一个 artifacts:access关键字。现在,你可以控制制品是否可以被对流水线具有访问权限的所有用户下载,或者只有开发者权限或者更高权限的人下载,乃至不允许任何人下载。
极狐GitLab Runner 16.11
|
|
|
|
|
|
|
|
|
|
|
|
此次我们还发布了极狐GitLab Runner 16.11!极狐GitLab Runner 是一个轻量级、高扩展的代理,用来运行你的 CI/CD 作业并且将结果发送回极狐GitLab 实例。极狐GitLab Runner 和极狐GitLab CI/CD 绑定在一起,而极狐GitLab CI/CD 是一个开源且内置在极狐GitLab 里面的服务。
修复的缺陷:
- Crash: Fatal: concurrent map read and map write
- FF_KUBERNETES_HONOR_ENTRYPOINT feature not working
改进的流水线详情页面
|
|
|
|
|
|
|
|
|
|
|
|
流水线图标给你的流水线提供了一个全局视角来展示作业状态、运行时间更新、多项目流水线以及父子流水线。
今天,我们很高兴地宣布我们发布了重新设计且具备更强审美、更好的群组作业可视化的流水线图标,这提高了移动端体验,并且在既有的视图中扩展了下游流水线的可视化。
Auto DevOps 构建步骤的升级
|
|
|
|
|
|
|
|
|
|
|
|
由于 Auto DevOps 的 Auto 构件组件使用的镜像 heroku/buildpacks:20已经被上游弃用,我们正在迁移至 heroku/builder:20镜像。
此重大变更出现在极狐GitLab 主版本之外,以适应上游的重大变更。此次升级不会破坏你的流水线。作为临时解决方案,你还可以手动配置 heroku/builder:20镜像且跳过构建器下线的错误。
此外,我们正在计划在极狐GitLab 17.0 中将 heroku/builder:20升级到 heroku/builder:22。
DAST 分析器性能更新
|
|
|
|
|
|
|
|
|
|
|
|
在极狐GitLab 16.11 版本中,我们完成了如下 DAST 改进:
- 缩短导航路径以提高爬虫性能,根据我们的基准测试,这能够减少 20% 的扫描时间。
- 优化了 DAST 报告以减少内存使用,这减少了 DAST 扫描期间的内存峰值。
依赖关系图支持依赖项扫描 SBOM
|
|
|
|
|
|
|
|
|
|
|
|
用户可以访问在 CycloneDX SBOM 中的依赖项图标信息,该 SBOM 作为依赖项扫描报告的一部分。依赖项图标信息可用于以下包管理器:
- NuGet
- Yarn 1.x
- sbt
- Conan
在合规框架中展示链接的安全策略
|
|
|
|
|
|
|
|
|
|
|
|
由于合规中心成为了合规经理们争论的地方,现在你可以管理合规框架并且深入了解通过安全策略创建并链接到合规框架的控制措施。
重复安全策略的问题已解决
|
|
|
|
|
|
|
|
|
|
|
|
在极狐GitLab 16.9 以及之前的版本中,对一个项目来说存在从父群组或者子群组集成安全策略并且将其链接到同一个安全策略项目上的可能。结果就是在策略列表中产生了重复的策略。
此问题已经得到解决,并且无法再链接到已继承策略的安全策略项目中。
使用 API 更新应用程序密钥
|
|
|
|
|
|
|
|
|
|
|
|
现在你可以使用应用程序 API 来更新应用程序密钥了。之前,你不得不在 UI 上做这件事情。现在你可以使用 API 来编写程序实现密钥的更新。
针对即将过期的群组和项目访问令牌的 webhook 通知
|
|
|
|
|
|
|
|
|
|
|
|
现在针对项目和群组访问令牌的 webhook 事件正式可用了。
之前,获取过期令牌通知的唯一方式就是邮件。如果 webhook 事件被触发,则会在令牌过期前 7 天触发。
更新了项目归档能力
|
|
|
|
|
|
|
|
|
|
|
|
现在可以在项目列表中轻松识别归档项目了。从极狐GitLab 16.11 开始,归档项目会在群组概览的归档选项卡中显示一个归档徽章。
同时会有一条告警信息来显示归档项目是只读的。这条消息在所有项目的页面上都可以看到,以确保即使用户在归档项目的子页面上进行工作时这条消息不会被丢失。
此外,当删除群组时,确认模式会列出已归档项目的数量,以防止意外删除。
小马哥
极狐GitLab DevOps 技术布道师
