GitLab 是一個全球知名的一體化 DevOps 平臺,很多人都通過私有化部署 GitLab 來進行源代碼托管。極狐GitLab 是 GitLab 在中國的發行版,專門為中國程序員服務。可以一鍵式部署極狐GitLab。
學習極狐GitLab 的相關資料:
- 極狐GitLab 官網
- 極狐GitLab 官網文檔
- 極狐GitLab 論壇
沿襲我們的月度發布傳統,極狐GitLab 發布了 17.9 版本,該版本帶來了使用并行部署運行多個 Pages 站點、自動刪除舊流水線、極狐GitLab 管理的 Kubernetes 資源、多核高級 SAST 提供更快的掃描等幾十個重點功能的改進。下面是部分重點功能的詳細解讀。
關于極狐GitLab 的安裝升級,可以查看官方指導文檔。
- 17.9 容器鏡像
registry.gitlab.cn/omnibus/gitlab-jh:17.9.0-jh.0
- 17.7 Helm Chart
helm search repo gitlab-jh
NAME CHART VERSION APP VERSION
gitlab-jh/gitlab 8.9.0 v17.9.0
gitlab-jh/gitlab-runner 0.74.0 17.9.0
相關鏈接
- 極狐GitLab 17.9 正式發布,40+ DevSecOps 重點功能解讀【一】
- 極狐GitLab 17.9 正式發布,40+ DevSecOps 重點功能解讀【二】
強化工作流可見性:合并請求審核時間的新洞察
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 | Y | Y |
為了改進開發工作流追蹤,價值流分析(VSA)已經用新事件進行了擴展——合并請求最后批準于。合并請求批準事件標志著審核階段的結束以及最終流水線運行或合并階段的開始。例如,要計算合并請求的總審核時間,你可以創建一個價值流分析(VSA)階段,將“首次分配合并請求審核人”設為起始事件,“最后批準合并請求”設為結束事件。
通過這一改進,團隊能夠更深入地了解優化審核時間的機會,這有助于縮短開發的整體周期,從而實現更快的軟件交付。
針對漏洞風險優先級的 EPSS、KEV 和 CVSS 數據
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
我們已經支持如下漏洞風險數據:
- 漏洞預測評分系統(EPSS)
- 已知被利用漏洞(KEV)
- 常見漏洞和暴露(CVE)
現在,你可以利用這些數據,高效地對依賴項和容器鏡像中的漏洞所帶來的風險進行優先級排序。 你可以在漏洞詳情頁面的漏洞報告數據中找到相應的數據。
使用完全控制在 UI 上配置 DAST 掃描
| 基礎版 | 專業版 | 旗艦版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
為了高效測試復雜的應用程序,安全團隊需要在配置 DAST 掃描時需要更多的靈活性。之前,通過 UI 進行的 DAST 掃描配置有受限制的配置選項,這阻礙了對具有特定安全要求的應用程序進行成功的掃描。 這也就意味著您不得不為了快速安全評估而使用基于流水線的掃描。
現在,您可以在 UI 上配置和基于流水線掃描具有相同控制粒度的 DAST 掃描。這包含:
- 完整的認證配置,包含自定義標頭和 cookie。
- 精確的爬蟲設置,諸如最大頁面、最大深度以及排除在外的 URL。
- 高級掃描超時和重試次數。
- 自定義掃描行為,諸如最大爬蟲鏈接和 DOM 深度。
- 針對特定漏洞類型的目標掃描模式。
將這些配置保存為可復用的個人資料來在您的應用程序中維護安全測試的一致性。每次配置變更都能用安全審計事件進行追蹤,所以您就能知道設置是什么時候被添加的、編輯的甚至刪除的。
這種增強的控制功能有助于你在利用詳細的審計跟蹤記錄來確保合規性的同時,開展更有效的安全掃描。你無需花費時間去管理流水線配置,而是能夠快速為每個應用程序啟動合適的掃描,從而更迅速地發現并修復漏洞。
登錄鎖定及忘記密碼處理)
 堆 (詳細包含用途、分類、存儲、操作等))
 __declspec(deprecated(msg)))
