GitLab 18.1 正式发布Maven 虚拟仓库、密码泄露检测等功能,可升级体验!
GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。
学习极狐GitLab 的相关资料:
- 极狐GitLab 官网
- 极狐GitLab 官网文档
- 极狐GitLab 论坛
沿袭我们的月度发布传统,极狐GitLab 发布了 18.1 版本,该版本带来了Maven 虚拟仓库、DAST 检测与密钥检测默认规则的一致性、增强的 CODEOWNERS 文件验证、在依赖列表中通过组件版本进行过滤、高级 SAST 已支持 PHP等几十个重点功能的改进。下面是对部分重点功能的详细解读。
关于极狐GitLab 的安装升级,可以查看官方指导文档。
- 18.1.0 容器镜像
registry.gitlab.cn/omnibus/gitlab-jh:18.1.0-jh.0
- 18.1.0 Helm Chart
helm search repo gitlab-jh
NAME CHART VERSION APP VERSION
gitlab-jh/gitlab 9.1.0 v18.1.0
gitlab-jh/gitlab-runner 0.78.0 18.1.0
Maven 虚拟仓库现已进入 Beta
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
Maven 虚拟仓库能够简化极狐GitLab 中的 Maven 依赖管理。如果没有 Maven 虚拟仓库,你必须配置每一个项目来从 Maven Central、私有仓库或极狐GitLab 软件包仓库访问依赖。由于这种方法是对仓库进行顺序查询,所以会使得构建速度减慢,并且使得安全审计和合规报告变得更加复杂。
Maven 虚拟仓库通过将多个上游仓库聚合在单个端点来解决这些问题。平台工程师可以通过一个 URL 来配置 Maven Central、私有仓库或极狐GitLab 软件包仓库。智能缓存改进了构建性能并能和极狐GitLab 认证系统集成起来。组织可以受益于减少配置开销、更快的构建速度,以及集中化的访问控制,从而提高安全性和合规性。
现在,Maven 虚拟仓库在 JihuLab.com 和私有化部署上为专业版、旗舰版用户可用(处于 Beta)。GA 版本将包含额外的能力,诸如针对仓库配置的基于 web 的用户界面、可共享的上游功能、缓存管理的生命周期策略以及增强的分析功能。当前的测试版限制包括每个顶级组最多 20 个虚拟注册库,每个虚拟注册库最多 20 个上游,并且在测试版期间仅支持通过 API 配置。
原生极狐GitLab 凭据的密码泄露检测
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 |
现在,当你登录 JihuLab.com 时,可以为你的账号凭据进行一次安全检查。如果你的密码是已知泄露密码的一部分,极狐GitLab 会显示一个横幅并向你发送邮件通知。这些通知包含如何更新你凭据的指南。
为了最大化安全性,极狐GitLab 推荐使用独一无二的、强壮的密码、启用双因素认证,并定期审查你的账号活动。
注意:此功能仅为原生极狐GitLab 用户名和密码可用。SSO 凭据是无法被检测的。
通过 CI/CD 组件实现 SLSA 等级 1 的合规
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
现在,你可以通过极狐GitLab 新的 CI/CD 组件,实现 SLSA 级别 1 合规性,这些组件用于签名和验证,由极狐GitLab Runner 生成的符合 SLSA 的构件来源元数据。这些组件将 Sigstore Cosign 功能封装为可重用的模块,能够轻松集成到 CI/CD 工作流中。