极狐GitLab 18.5 正式发布,更新 Maven 虚拟仓库 UI(Beta)、全新个人主页、实例级合规与安全策略管理 以及 DAST 认证脚本 等
沿袭我们的月度发布传统,极狐GitLab 发布了 18.5 版本。本次更新的亮点包括:Maven 虚拟仓库 UI(Beta)、全新个人主页、实例级合规与安全策略管理 以及 DAST 认证脚本 等。
这些能力聚焦产品规划协作、软件供应链与安全运营的效率提升,帮助团队在一个平台里完成从计划到交付、从开发到防护的闭环。
关于极狐GitLab 的安装升级,可以查看官方指导文档
版本信息
容器镜像
- 18.5.0 容器镜像
registry.gitlab.cn/omnibus/gitlab-jh:18.5.0-jh.0
- 18.5.0 Helm Chart(JH)
helm search repo gitlab-jh
NAME CHART VERSION APP VERSION
gitlab-jh/gitlab 9.5.0 v18.5.0
gitlab-jh/gitlab-runner 0.82.0 18.5.0
18.5 关键功能
Maven 虚拟仓库 Web 管理界面(测试版)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
GitLab 18.5 引入了一个全新的 Maven 虚拟仓库 Web 管理界面,提供全面的可视化管理体验。 过去,平台工程师只能通过 API 调用 来配置和管理虚拟仓库, 这种方式不仅繁琐,还需要具备较强的技术背景, 给日常维护带来了较大的操作负担。
通过新的 Web 界面,平台工程团队的运维开销显著降低。 常见任务(如清理过期缓存、调整上游源顺序以优化性能、测试连通性等) 如今都可通过 可视化操作 一键完成。
同时,开发团队也能获得更高的依赖配置可见性, 从而在构建性能与安全策略方面开展更充分的讨论与协作。
Maven 虚拟仓库 目前仍处于 测试阶段(Beta), 面向 GitLab Premium 和 Ultimate 客户 开放。 当前测试版的限制包括:
-
每个顶层群组最多可创建 20 个虚拟仓库;
-
每个虚拟仓库最多可配置 20 个上游源(Upstream)。
全新个人主页:快速回到正在处理的工作
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
现在,你可以使用全新的 个人主页(Personal Homepage), 在一个界面中集中查看所有关键的 GitLab 活动, 帮助你更轻松地从上次中断的地方继续工作。
该主页整合了你的:
-
待办事项(To-dos)
-
分配给你的 Issue
-
合并请求(Merge Requests)
-
评审请求(Review Requests)
-
最近查看的内容(Recently Viewed Items)
实例级合规与安全策略管理
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在大型企业环境中,多个顶层群组往往需要遵循统一的安全与合规标准。 例如,公司可能要求所有项目必须符合 ISO 27001 或 SOC 2 框架, 并统一执行相同的流水线合规策略(Pipeline Compliance Policies)。
在 GitLab 18.5 中,你现在可以在单一顶层群组内创建、配置并管理这些合规与安全策略, 并通过 「合规与安全策略组(Compliance and Security Policy Group)」 进行集中管理。
此功能允许企业在顶层实现策略统一与强制执行, 同时仍支持各业务群组根据自身情况创建补充或更细化的策略。
DAST 认证脚本(DAST Authentication Script)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在进行 动态应用安全测试(DAST) 时, 许多 Web 应用需要通过复杂的登录流程或多因素认证(MFA)才能访问受保护区域。 此前,这类认证过程往往需要人工介入, 而现在你可以通过脚本在 CI/CD 流水线 中自动执行这些认证步骤。
DAST 认证脚本 允许你在扫描任务开始前定义自动化登录逻辑, 包括基于时间的一次性密码(OTP MFA)等高级认证方式。 这不仅能提高扫描的自动化程度, 还确保关键安全控制在测试过程中得到完整保留。
极狐 GitLab 18.5 其他改进
配置 Issue 与任务的状态生命周期
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
在以往版本中,Issue(议题) 和 任务(Task) 必须共享相同的状态配置,这使得复杂项目在管理不同类型工作项时缺乏灵活性。
在 GitLab 18.5 中,你现在可以分别为 Issue 和 任务 定义独立的状态生命周期(Status Lifecycle)。 例如,任务可以使用「未开始 → 进行中 → 完成」的简单流程,而 Issue 则可以采用「已提出 → 设计中 → 审核中 → 已关闭」的更复杂工作流。
此外,GitLab 还提供了内置的状态映射功能。当工作项类型发生转换(如从任务变为 Issue)时,系统会自动映射对应的状态,无需批量编辑或人工调整。
在 Issue 中查看子任务完成进度
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
你现在可以直接通过 子任务组件(Child Items Widget) 在 Issue 中追踪任务进展, 一目了然地查看整体状态概览。
此改进让你能够实时掌握执行过程中可能出现的瓶颈,在冲刺截止日期(Sprint Deadline)受影响之前,及时识别风险项并采取调整措施。
该功能显著提升了项目透明度与工作可视化程度,帮助团队更高效地管理复杂的任务层级结构。
环境 **deployment_tier** 字段支持变量展开
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
你现在可以在 **environment:deployment_tier** 字段中使用 CI/CD 变量, 从而根据流水线条件动态配置部署层级。
此功能让部署配置更加灵活、自动化, 特别适合需要根据环境或分支动态切换部署级别的 DevOps 场景。
高级 SAST 支持 C/C++(测试版)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
你现在可以在 高级 SAST(Static Application Security Testing) 中使用对 C/C++ 的支持(测试版)。 此更新使扫描器能够在 跨文件和跨函数 的范围内分析代码, 从而识别更复杂的漏洞模式。
依赖扫描(有限可用性)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
依赖扫描(Dependency Scanning) 的新模板现在可以生成一份完整的报告,其中包含项目中所有组件及其对应的漏洞。该报告能够与 **安全执行策略(Security Execution Policies, SEP)**和 保护执行策略(Protection Execution Policies, PEP) 协同使用,帮助团队在更高层级上统一管理依赖项风险。
此功能目前处于 有限可用性(Limited Availability) 阶段,面向 旗舰版(Ultimate) 客户开放。
密钥有效性检查(测试版)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
当在代码中检测到可能泄漏的凭证时,GitLab 现在可以自动检查这些密钥是否仍然有效。
在安全扫描报告中,系统会在检测结果旁显示密钥的有效性状态,帮助你快速识别需要立即吊销的凭证,从而加快修复响应并降低潜在风险。
常绕过合并请求审批策略
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y | ||
| GitLab Dedicated | Y |
在紧急情况下,某些团队需要在不完全满足审批策略的条件下,立即合并关键的修复或补丁代码。
GitLab 18.5 引入了 异常绕过(Exception-based Bypass) 功能,允许指定的用户或群组在合并请求(Merge Request)审批策略中,以受控方式绕过审批要求。
管理员可以为这些用户配置绕过权限,并要求在执行绕过操作时提供明确的理由说明。所有此类操作都会被记录并可供审计,确保合规性与透明度。
该功能帮助企业在保持安全与合规控制的同时,在紧急情况下仍具备足够的灵活性来快速响应。
此功能适用于 旗舰版(Ultimate) 客户。
管道安全标签中刷新安全发现状态
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
现在,在 流水线(Pipeline)安全标签页 中,安全扫描的漏洞状态会自动与项目的安全发现(Security Findings)保持同步。
这意味着如果你在漏洞报告中更改了漏洞的状态——例如从「已检测(Detected)」更新为「已确认(Confirmed)」或「已解决(Resolved)」——该状态会在流水线视图中实时更新,无需手动刷新或重新运行扫描。
此改进让安全团队能够更高效地追踪漏洞修复进度,确保在流水线层面获得准确、最新的安全态势。
该功能适用于 旗舰版(Ultimate) 客户。
外部控制状态请求的控制
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在某些安全或受管环境中,你可能希望完全由外部系统来控制安全扫描的状态更新。
在 GitLab 18.5 中,管理员可以禁用 GitLab 自动发送的「每 12 小时刷新一次控制状态(control state)」的周期性请求。 一旦禁用,GitLab 将不会再主动请求状态同步,而是完全依赖外部系统通过 API 来推送更新。
此功能为与外部合规系统、集中安全管理平台的集成提供了更高的可控性,确保所有状态变更都经过企业安全策略的统一管控。
该改进特别适用于需要严格治理和审计追踪的组织,并面向 旗舰版(Ultimate) 客户开放。
依赖列表仅显示活动漏洞
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在 GitLab 18.5 中, 依赖项列表(Dependency List) 现在只会显示处于 “活动状态” 的漏洞。
也就是说,只有状态为 已检测(Detected) 或 已确认(Confirmed) 的漏洞 会出现在依赖列表中。
已解决(Resolved)或已驳回(Dismissed)的漏洞将不再显示, 从而让团队更专注于当前仍需处理的安全问题。
此改进使依赖列表更加简洁、实用, 帮助开发和安全团队聚焦于真正存在风险的依赖项。
该功能适用于 旗舰版(Ultimate) 客户。
依赖列表仅显示活动漏洞
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在 GitLab 18.5 中, 依赖项列表(Dependency List) 现在只会显示处于 “活动状态” 的漏洞。
也就是说,只有状态为 已检测(Detected) 或 已确认(Confirmed) 的漏洞 会出现在依赖列表中。
已解决(Resolved)或已驳回(Dismissed)的漏洞将不再显示, 从而让团队更专注于当前仍需处理的安全问题。
此改进使依赖列表更加简洁、实用, 帮助开发和安全团队聚焦于真正存在风险的依赖项。
该功能适用于 旗舰版(Ultimate) 客户。
依赖列表仅显示活动漏洞
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在 GitLab 18.5 中,依赖项列表(Dependency List) 现在只会显示处于 “活动状态” 的漏洞。
也就是说,只有状态为 已检测(Detected) 或 已确认(Confirmed) 的漏洞会出现在依赖列表中。
已解决(Resolved)或已驳回(Dismissed)的漏洞将不再显示,从而让团队更专注于当前仍需处理的安全问题。
此改进使依赖列表更加简洁、实用,帮助开发和安全团队聚焦于真正存在风险的依赖项。
该功能适用于 旗舰版(Ultimate) 客户。
改进组和项目的“非活动项”管理
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
在 GitLab 18.5 中,我们改进了 组(Group) 与 项目(Project) 的「非活动项」管理体验。
新的「非活动」标签页(Inactive Tab)可统一显示:
-
已归档(Archived)的组或项目;
-
标记为待删除(Scheduled for Deletion)的项目。
此外,API 也新增了相应参数,允许管理员通过编程方式查询非活动组和项目,从而更方便地执行批量清理、统计或审计操作。
该改进帮助企业在保持数据整洁的同时,更好地管理长期未使用的资源,为治理与存储优化提供支持。
Markdown 表格自动排版
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
在 GitLab 18.5 中,纯文本编辑器(Plain Text Editor)新增了 “重新排版表格(Reformat Table)” 功能,可自动对 Markdown 表格进行对齐与格式化。
当你在纯文本模式下编辑 Markdown 文件时,点击「重新排版」按钮即可自动调整列宽与间距,让表格结构更整齐、可读性更高。
此功能让文档维护更加轻松,尤其适用于在合并请求(Merge Request)或 Wiki 中频繁修改 Markdown 表格的团队。
该功能适用于所有版本。
GitLab Runner 18.5 发布
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
我们同步发布了 GitLab Runner 18.5。 Runner 是 GitLab CI/CD 的核心组件之一,负责执行构建任务(Job)并将结果返回至 GitLab 实例。
本次版本包含多项稳定性和性能改进,修复了已知问题并优化了作业执行体验。详细更新内容请参阅 GitLab Runner CHANGELOG。
这一版本进一步提升了构建效率与可靠性,为企业持续集成和持续交付提供更稳定的执行环境。
高级 SAST 差异扫描
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在 GitLab 18.5 中,高级 SAST(Static Application Security Testing) 现已支持 差异扫描(Diff Scanning)。
这意味着安全扫描可以仅针对合并请求(Merge Request)中的 代码差异部分 执行,而无需对整个项目进行完整扫描。
该功能显著减少了扫描时间和资源消耗,尤其适用于大型代码库或频繁提交的团队。
同时,它还能帮助开发者更快速地识别新引入的潜在漏洞,加速安全审查流程,并在代码合并前提升整体安全质量。
此功能适用于 旗舰版(Ultimate) 客户。
高级 SAST 自定义检测逻辑
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在 GitLab 18.5 中,你现在可以为 高级 SAST(Static Application Security Testing) 创建自定义检测规则,从而根据组织特定的安全需求扩展漏洞检测能力。
通过自定义检测逻辑, 安全团队能够:
-
编写自定义规则以识别内部特有的安全风险;
-
检测不符合组织编码标准的模式;
-
增强特定语言或框架下的漏洞识别覆盖率。
这些规则可以与 GitLab 原生检测规则并行使用,在保持默认扫描能力的同时,实现更灵活、更精准的安全策略执行。
此功能适用于 旗舰版(Ultimate) 客户,帮助安全团队更主动地防御业务特定风险。
推送保护与流水线密钥检测规则增强
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在 GitLab 18.5 中,我们增强了 推送保护(Push Protection) 与 流水线密钥检测(Pipeline Secret Detection) 的检测规则,以更全面地防止敏感信息泄漏。
此次更新包括:
-
改进了对常见 API 密钥和令牌格式的识别能力;
-
增强了正则匹配逻辑,以减少误报;
-
在流水线执行过程中增加了实时密钥扫描能力。
这些增强让 GitLab 能够在开发和集成阶段更早地发现潜在泄漏,并阻止敏感凭证被意外提交到代码库。
该功能适用于 旗舰版(Ultimate) 客户,有助于构建更安全的 DevSecOps 流程。
GitLab 18.5 发布总结
GitLab 18.5 带来了大量提升开发效率与安全性的更新。 从企业级合规与策略集中管理、增强的 SAST/DAST 安全能力、以及更灵活的 CI/CD 配置与可视化改进,这一版本进一步强化了 GitLab 作为 全生命周期 DevSecOps 平台 的核心竞争力。
无论你是平台工程师、安全专家,还是产品经理或开发团队成员,GitLab 18.5 都让你的工作更加高效、智能、安全。
欢迎访问 GitLab 官方发行说明了解完整功能列表与技术细节。