极狐GitLab 17.9 正式发布,40+ DevSecOps 重点功能解读【三】
GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。
学习极狐GitLab 的相关资料:
- 极狐GitLab 官网
- 极狐GitLab 官网文档
- 极狐GitLab 论坛
沿袭我们的月度发布传统,极狐GitLab 发布了 17.9 版本,该版本带来了使用并行部署运行多个 Pages 站点、自动删除旧流水线、极狐GitLab 管理的 Kubernetes 资源、多核高级 SAST 提供更快的扫描等几十个重点功能的改进。下面是部分重点功能的详细解读。
关于极狐GitLab 的安装升级,可以查看官方指导文档。
- 17.9 容器镜像
registry.gitlab.cn/omnibus/gitlab-jh:17.9.0-jh.0
- 17.7 Helm Chart
helm search repo gitlab-jh
NAME CHART VERSION APP VERSION
gitlab-jh/gitlab 8.9.0 v17.9.0
gitlab-jh/gitlab-runner 0.74.0 17.9.0
相关链接
- 极狐GitLab 17.9 正式发布,40+ DevSecOps 重点功能解读【一】
- 极狐GitLab 17.9 正式发布,40+ DevSecOps 重点功能解读【二】
强化工作流可见性:合并请求审核时间的新洞察
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
为了改进开发工作流追踪,价值流分析(VSA)已经用新事件进行了扩展——合并请求最后批准于。合并请求批准事件标志着审核阶段的结束以及最终流水线运行或合并阶段的开始。例如,要计算合并请求的总审核时间,你可以创建一个价值流分析(VSA)阶段,将“首次分配合并请求审核人”设为起始事件,“最后批准合并请求”设为结束事件。
通过这一改进,团队能够更深入地了解优化审核时间的机会,这有助于缩短开发的整体周期,从而实现更快的软件交付。
针对漏洞风险优先级的 EPSS、KEV 和 CVSS 数据
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
我们已经支持如下漏洞风险数据:
- 漏洞预测评分系统(EPSS)
- 已知被利用漏洞(KEV)
- 常见漏洞和暴露(CVE)
现在,你可以利用这些数据,高效地对依赖项和容器镜像中的漏洞所带来的风险进行优先级排序。 你可以在漏洞详情页面的漏洞报告数据中找到相应的数据。
使用完全控制在 UI 上配置 DAST 扫描
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
为了高效测试复杂的应用程序,安全团队需要在配置 DAST 扫描时需要更多的灵活性。之前,通过 UI 进行的 DAST 扫描配置有受限制的配置选项,这阻碍了对具有特定安全要求的应用程序进行成功的扫描。 这也就意味着您不得不为了快速安全评估而使用基于流水线的扫描。
现在,您可以在 UI 上配置和基于流水线扫描具有相同控制粒度的 DAST 扫描。这包含:
- 完整的认证配置,包含自定义标头和 cookie。
- 精确的爬虫设置,诸如最大页面、最大深度以及排除在外的 URL。
- 高级扫描超时和重试次数。
- 自定义扫描行为,诸如最大爬虫链接和 DOM 深度。
- 针对特定漏洞类型的目标扫描模式。
将这些配置保存为可复用的个人资料来在您的应用程序中维护安全测试的一致性。每次配置变更都能用安全审计事件进行追踪,所以您就能知道设置是什么时候被添加的、编辑的甚至删除的。
这种增强的控制功能有助于你在利用详细的审计跟踪记录来确保合规性的同时,开展更有效的安全扫描。你无需花费时间去管理流水线配置,而是能够快速为每个应用程序启动合适的扫描,从而更迅速地发现并修复漏洞。