極狐GitLab 15.7 發布極狐GitLab CLI 和基于瀏覽器的DAST的正式版本

極狐GitLab代理為使用CI/CD來管理你的Kubernetes集群提供了一個更安全的解決方案。你可以通過共享代理連接的訪問權限，在多個項目和組中使用一個代理。在以前的版本中，你不能與個人命名空間共享訪問。這個版本增加了對個人命名空間的CI/CD連接共享的支持。你現在可以從你個人命名空間下的任何項目中使用一個代理。

Documentation Issue

支持來自默認分支以外的GitOps部署

SaaS

私有化部署版

在以前的版本中，Kubernetes的極狐GitLab代理只能用于存儲在主分支上的manifest文件。這種模式有已知的局限性，例如，你不能將下一個版本的manifest存儲在發布分支上，并在一個臨時環境中進行測試。

現在，你可以在manifest項目配置的同時指定一個Git描述。除了主分支，你還可以從另一個分支、一個git標簽或特定的提交中同步你的manifest文件。

Documentation Epic

用你的SSH密鑰簽署提交文件

SaaS

私有化部署版

現在簽署提交文件變得更簡單了。使用SSH密鑰來簽署提交，向別人證明一個經過驗證的提交是由你撰寫的。

以前簽署提交的方法需要GPG密鑰或X.509證書，這兩種方法都不能用于登錄極狐GitLab?，F在增加了對SSH密鑰的提交簽名的支持，使得重新使用認證密鑰對來簽署提交文件成為可能。如果你已經用SSH密鑰認證了極狐GitLab，那么在你的本地Git配置中添加三行代碼，就可以對未來提交的所有內容進行簽名。

默認情況下，在當前配置文件中的所有SSH密鑰都可以用于認證和簽署提交。如果要確保一個密鑰只用于其中一個目的，請上傳一個新的密鑰。

Documentation Issue

極狐GitLab 私有化部署版本支持 Jira Cloud app

SaaS

私有化部署版

對于私有化部署的極狐GitLab，我們很高興地宣布支持“Jira Cloud app”!

從這個版本開始，你可以把私有化部署的極狐GitLab實例鏈接到Jira云，并啟用Jira開發面板。這項功能支持將智能提交、合并請求、分支、構建、部署和功能標志的更新同步回Jira開發面板。你可以將“GitLab for Jira Cloud”應用與你的基本Jira集成配對。

欲了解更多信息，請參閱連接GitLab for Jira Cloud應用程序的私有化部署實例。

如果你使用Jira Server或Jira Data Center，你應該使用[Jira DVCS連接器]](https://docs.gitlab.com/ee/integration/jira/dvcs.html)。

Documentation Epic

通過更新變量來重試手動作業

SaaS

私有化部署版

當運行手動作業時，用戶可以指定作業中使用的額外CI/CD變量。然而，如果你想重試同一作業，總是不得不使用與第一次相同的變量。如果想用不同的變量運行作業，就必須運行一個新的流水線。

在這個版本中，我們增加了在每次運行手動作業時指定變量的能力，包括在重試作業時。這帶來更大的靈活性和便利性，可以隨心所欲地重試手動作業，每次運行都有不同的變量集。

Documentation Issue

基于瀏覽器的DAST一般可用（GA）

SaaS

私有化部署版

在經過極狐GitLab 13.2提供測試版后，我們在極狐GitLab 15.7正式發布基于瀏覽器的DAST分析器。

這個新的分析器是完全內部開發的，利用瀏覽器來驗證、抓取和掃描網絡應用的漏洞。傳統的DAST分析器使用基于代理的方法進行掃描，攔截請求并分析它們的漏洞。正因為如此，在利用現代JavaScript框架或單頁面應用的應用程序上運行DAST掃描一直非常困難。通常情況下，不能得到所期望的對應用程序的全面覆蓋。通過基于瀏覽器的方法，我們能夠直接在瀏覽器中執行JavaScript，就像用戶一樣，以確保你的整個應用程序被掃描出漏洞。使用新的分析器，我們能夠覆蓋一個應用程序中的更多頁面，并減少報告的誤報數量。

目前，我們不會將DAST.gitlab-ci.yml模板中使用的默認分析器切換到基于瀏覽器的分析器，允許用戶手動進行切換并自行評估。但是，我們計劃在未來的某個時間點將該分析器作為所有DAST掃描的默認工具。我們鼓勵大家遷移到新的分析器，這樣當默認切換發生時，將不會對你的任何DAST掃描產生影響。你可以通過在你的.gitlab-ci.yml配置中將 DAST_BROWSER_SCAN 設置為 true 來啟用基于瀏覽器的分析器。請注意，并不是所有傳統的DAST分析器變量都能用于這個新的分析器。在你的 .gitlab-ci.yml 文件中配置的任何不支持的傳統DAST變量將在掃描運行期間被忽略。

我們將持續改進這個分析器，并計劃開發許多基于瀏覽器的方法為我們提供的新功能。你可以通過查看我們基于瀏覽器的DAST史詩和它的問題來了解我們的計劃。

Documentation Issue

從一個下拉列表中選擇預定義的CI/CD變量值

SaaS

私有化部署版

以前，你可以在 “運行流水線 “頁面中預先填入CI/CD變量，并設定一個特定值。不幸的是，如果你對變量的值有多種選擇，你仍然不得不手動輸入你想要的選項。手動輸入是一個容易出錯的過程，因為很容易輸入一個無效的值，或者只是輸入錯誤。

在這個版本中，我們增加了設置數值列表的功能，這些數值會在 “運行流水線 “頁面的下拉列表中顯示?，F在，當手動運行流水線時，你可以定義每個CI/CD變量的確切有效值列表，在使用手動觸發的流水線時，大大簡化了你的工作流程。

Documentation Issue

支持CI/CD變量中的$字符

SaaS

私有化部署版

在引入另一個變量的時候，極狐GitLab試圖將變量展開。因此，你不能有一個以$作為字符串一部分的值，除非它被轉義，這可能會引起混淆。

在這個版本中，我們為項目、組和實例的CI/CD變量引入了一個新設置。你現在可以切換極狐GitLab是否將CI/CD變量解釋為一個原始字符串，或者將$視為另一個應被擴展的變量的開頭。

Documentation Issue

極狐GitLab 15.7 其他功能

Webhook推送事件支持正則表達式

SaaS

私有化部署版

對于推送事件觸發的webhooks，你現在可以定義一個與你的分支策略相一致的regex模式。例如，你可以使用^(feature

hotfix)/來允許任何推送到feature或hotfix分支的事件被觸發。

Documentation Issue

取消從GitHub導入項目

SaaS

私有化部署版

當把GitHub項目導入到極狐GitLab時，你無法取消正在進行的導入。

現在你可以取消從GitHub導入的待定或正在進行的項目。如果導入已經開始，導入的文件將被保留。

Documentation Issue

屏蔽webhook URLs的敏感部分

SaaS

私有化部署版

當你創建webhooks來與外部服務集成，并為事件驅動的工作流程接收極狐GitLab數據時，你可能不得不提供包含敏感數據的回調URL。有了這個功能，你現在可以在配置webhooks時屏蔽個人令牌、密碼、用戶名、域名和任何其他敏感數據。

Documentation Epic

群組擁有者可以使用API列出用戶的電子郵件地址

SaaS

私有化部署版

群組擁有者現在可以使用API來訪問由該群組提供的任何用戶的電子郵件地址。當用戶的賬戶由SCIM創建時，或通過極狐GitLab上群組的SAML SSO首次登錄時，該用戶就由該群組提供了。以前，只有在用戶的電子郵件地址是公開的情況下，群組所有者才能訪問這些信息。

Documentation Issue

通過應用程序設置禁用個人訪問令牌

SaaS

私有化部署版

你現在可以通過一個新的應用程序設置在實例級別上禁用個人訪問令牌（PAT）。以前，沒有禁用PAT的選項。

Documentation Issue

在議題和合并請求側邊欄中添加花費的時間

SaaS

私有化部署版

在15.7之前，快速行動是添加在議題或合并請求上花費的時間的唯一方法。雖然這種方法可行，但對所有用戶來說并不直觀。為了使記錄時間更有效率，現在你可以直接從議題或合并請求的側邊欄添加時間條目。

Documentation Epic

在內容編輯器中支持HTML注釋

SaaS

私有化部署版

當你在wiki頁面或博客文章上進行協作時，你經常會遇到不打算呈現的內聯HTML注釋。以前，內容編輯器會忽略這些注釋以反映實際內容的樣子。然而，問題是，在內容編輯器中進行編輯可能會意外地從文件中刪除這些注釋。

在這個版本中，你可以在線插入新的HTML注釋并編輯頁面上已有的注釋。這些評論的出現方式表明它們不會被渲染。這個功能可以幫助你管理更長的wiki頁面，也是在未來版本中編輯議題描述和評論的重要一步。

Documentation Issue

工作執行狀態徽章

SaaS

私有化部署版

管理員>Runner和{群組_名稱}>CI/CD>Runners中的新作業執行狀態徽章顯示了一個一目了然的指標，以確定特定運行器是否有活動作業。這個迭代的目的是簡化對影響CI構建結果時間的運行器隊列問題的故障排除。

Documentation Issue

用 `workflow:name` 為流水線添加自定義名稱

SaaS

私有化部署版

對于一些項目來說，同一個流水線可以被配置為針對不同的變量或條件而運行，為成功的流水線創造非常不同的結果。你可能很難確定該流水線的哪個版本運行，因為沒有關于該特定運行的輸入的指示。雖然像預定和API這樣的標簽有幫助，但有時仍然很難識別具體的流水線。

Documentation Issue

On-demand DAST API GraphQL scans

SaaS

私有化部署版

從極狐GitLab 15.7開始，按需配置的DAST API站點配置文件支持將GraphQL APIs作為掃描目標。在選擇API作為站點類型后，你現在可以選擇GraphQL掃描方法并指定GraphQL端點路徑。自從我們引入dast-api.gitlab-ci.yml模板以來，這種能力已經可以用于CI/CD流水線中的DAST API掃描。隨著從我們傳統的DAST API分析器切換到我們新的按需掃描的分析器，我們能夠將這個功能添加到我們的按需DAST API配置文件。

Documentation Issue

對npm lockfileVersion 3的依賴性掃描支持

SaaS

私有化部署版

當lockfileVersion: 3被設置被設置時，極狐GitLab依賴掃描現在支持解析和掃描存儲在npm lockfiles中的依賴。

Documentation Issue

靜態分析器更新

SaaS

私有化部署版

極狐GitLab靜態分析包括許多安全分析器，極狐GitLab靜態分析團隊積極管理、維護和更新。以下是15.7版本里程碑期間發布的分析器更新。這些更新帶來了額外的覆蓋面、錯誤修復和改進。

基于Brakeman的分析器更新到5.3.1版本。更多細節見CHANGELOG。
基于CodeClimate的分析器更新到了0.87.3版本。我們還禁用了一個檢查可用更新的網絡調用。更多細節請參見 CHANGELOG。
基于 Gitleaks 的分析器已更新，增加了對 systemd 機器 ID 的檢測規則，并將 go.mod 和 go.sum 文件排除在掃描之外。更多詳情請參見 CHANGELOG。
基于KICS的分析器更新至1.6.5版本。更多細節請見CHANGELOG。該版本增加了新的規則，提高了性能，并修復了某些Terraform配置可能導致分析器崩潰的錯誤。
基于Kubesec的分析器已更新，修復了有多個對象的清單的一個錯誤。詳情見CHANGELOG。
基于NodeJSScan的分析器更新至0.3.4版本。更多詳情請見CHANGELOG。
基于Semgrep的分析器已更新，以提高內置Python規則的性能，并支持自動解決漏洞。更多詳情請參見 CHANGELOG。
更新了多個分析器，使其包括git，這樣分析器就可以清除未提交到倉庫的文件中的漏洞。

如果你包括極狐GitLab管理的SAST模板（SAST.gitlab-ci.yml），你不需要做任何事情來接收這些更新。然而，如果你覆蓋或定制自己的CI/CD模板，你需要更新你的CI/CD配置。

為了保持在任何分析器的特定版本上，你可以釘在一個分析器的次要版本上。釘在以前的版本上會阻止你接收自動分析器的更新，并需要你在CI/CD模板中手動撞上你的分析器版本。

關于以前的變化，請看上個月的更新。

Documentation Issue

在部署API中增加 `finished_after` 過濾器

SaaS

私有化部署版

有了這個更新，你可以按完成前或完成后的日期過濾項目中的部署列表，以有效地搜索工作流程中的相關部署。以前，只允許按更新的日期進行過濾。

Documentation Issue

在GitOps的配置中默認使用當前項目

SaaS

私有化部署版

當你安裝代理時，你通常創建一個沒有配置文件的代理。然而，代理的許多功能，包括基于拉取的部署，需要一個有效的配置。

在以前的版本中，基于拉取的部署需要你指定存放清單文件的項目。如果你有多個項目，你需要為每個項目定制一個配置文件?，F在，你可以省略項目ID，代理將使用當前項目中的清單。如果你的項目使用相同的慣例來存儲其清單，你可以使用相同的配置文件在每個項目中設置一個代理。

Documentation Issue

Geo復制的依賴性代理

SaaS

私有化部署版

Geo現在復制了依賴代理拉通緩存，這意味著在故障轉移后，新推廣的站點可以獲得一個填充的鏡像緩存。你現在可以放心地執行定期故障切換，避免觸及Docker Hub的速率限制，從而影響到推廣站點的運行能力。這將有助于為終端用戶提供無縫的故障轉移體驗。

Documentation Epic

為群組內的新項目設置默認的合規框架

SaaS

私有化部署版

在以前的極狐GitLab版本中，你可以為一個群組創建一個合規性框架，但需要將其單獨應用于每個新項目。

現在，你可以將合規性框架設置為默認框架，以適用于在群組中創建的新項目?，F有的項目不會自動應用默認框架。

Documentation Issue

掃描執行策略支持定義runner標簽

SaaS

私有化部署版

現在可以在極狐GitLab掃描執行策略中定義標簽。這使你可以靈活地指定哪些Runners將被用來執行你的掃描執行策略作業。

Documentation Issue

極狐GitLab chart 改進

SaaS

私有化部署版

云原生極狐GitLab在即將發布的版本中用極狐GitLab-base取代了alpine-certificates的行為。為了防止Alpine和Debian之間的不同行為，并提高容器之間的一致性，我們將在極狐GitLab-base上構建模式。這意味著運行的服務容器將共享一個共同的根文件層，這為Pod實例化時間提供了一個效率提升。這對用戶的影響是，我們將改變使用的鏡像名稱和標簽。我們將在短期內維持一個鏡像標簽。

Documentation

單點登錄用戶可以選擇保持登錄狀態

SaaS

私有化部署版

使用單點登錄的極狐GitLab用戶經常被登出?，F在，這些用戶可以選擇記住我的復選框，并在兩周內保持在極狐GitLab上登錄。當訪問群組資源時，用戶每隔24小時就會被重定向到他們的身份提供者（IdP）以驗證會話。根據他們的IdP的設置，用戶可能不得不在這個時候重新認證到IdP。

Documentation Issue

啟用管理模式時記錄審計事件

SaaS

私有化部署版

現在，當管理員啟用管理模式時，極狐GitLab會記錄一個審計事件。這對安全相關的審計很有幫助，因為管理模式允許用戶提升權限并改變實例級別的設置。

Documentation Issue Merge Request

用戶不能設置一個已知的弱密碼

SaaS

私有化部署版

當用戶設置他們的密碼時，現在會根據已知的弱密碼列表檢查該密碼。如果該密碼與列表中的條目相匹配，用戶必須選擇一個不同的密碼。這有助于用戶選擇更安全的極狐GitLab密碼。

Documentation Issue

自動禁用失敗的webhooks

SaaS

私有化部署版

為了保護極狐GitLab和整個系統的用戶免受任何潛在的濫用或誤用，我們已經實施了一個功能來禁用持續失敗的Webhooks。

返回響應代碼在5xx范圍內的Webhooks被理解為間歇性失敗并被暫時禁用。這些webhooks最初被禁用1分鐘，每次重試都會延長，最長可達24小時。
以4xx錯誤失敗的Webhooks被永久禁用。

所有項目的所有者和維護者都會在應用程序中得到提醒，以調查和重新啟用任何失敗的網絡鉤子。

這項功能現在可以在極狐GitLab SaaS和自我管理的實例中使用，同時還包括處理冷啟動等功能的增強。

Documentation Epic

在Markdown中改變圖片的尺寸

SaaS

私有化部署版

在這個版本之前，沒有任何控件可以改變在Markdown文本區域內呈現的圖片的大小。這常常導致不方便的圖片，而且無法控制它們在描述和評論中占據多少空間?，F在，你可以通過在圖片引用中附加{width=x height=y}屬性來設置圖片在Markdown中直接呈現的寬度和高度。尺寸可以用像素或百分比來指定。

Documentation Issue

合并請求描述模板中的變量

SaaS

私有化部署版

當創建一個合并請求時，你的組織可以定義合并請求模板。這些模板有助于確保某些信息的填寫，為任務提供檢查清單，等等。然而，它們并不包含任何可能對合并請求很重要的Git級信息。這使得以標準化和可重復的方式提供提交信息的細節、分支信息、甚至作者信息變得很有挑戰性。

合并請求描述模板現在支持變量。使用這些變量可以在合并請求中建立業務邏輯和重要的Git信息，如提交和作者信息。模板變量確保傳入的合并請求總是包括你的項目所需的信息，而不需要貢獻者進行繁瑣的手工操作。

Documentation Issue

將項目或群組CI/CD變量的數量限制在200個以內

SaaS

私有化部署版

如果你的實例有項目或群組維護者添加了太多的CI/CD變量，它可能會使用大量的資源來處理每個流水線的所有變量。為了確保你的流水線繼續有效運行，我們為每個群組或項目增加了200個變量的限制。

已經擁有超過200個CI/CD變量的項目和群組可以像以前一樣繼續運行流水線，但將不能再增加任何變量。我們建議將每個群組或項目的CI/CD變量數量減少到200個以下以獲得最佳性能。

Documentation Issue

極狐GitLab Runner 15.7

SaaS

私有化部署版

我們今天還發布了極狐GitLab Runner 15.7! 極狐GitLab Runner是一個輕量級、高擴展性的代理，它可以運行你的CI/CD工作并將結果發回給極狐GitLab實例。極狐GitLab Runner與極狐GitLab CI/CD協同工作，后者是極狐GitLab附帶的開源持續集成服務。

錯誤修復:

當使用ubi-fips時，不能用helm chart項目部署運行器

所有更改的列表在極狐GitLab Runner CHANGELOG中。

Documentation

改進了對極狐GitLab軟件包注冊中心的訪問控制

SaaS

私有化部署版

當你配置你的項目時，你可以選擇可見性級別，啟用/禁用項目功能及其權限。例如，你可以限制項目成員對倉庫、議題、合并請求等的訪問。雖然你可以像這樣控制幾個功能，但你只能打開和關閉極狐GitLab包注冊表。你不能將包注冊表的可見性設置為只對項目成員開放或對每個人都有權限。這個問題使你很難創建一個中央注冊表，其中包含經過批準、審核的軟件包，以便在整個組織中分發。作為一種變通方法，你不得不把每個人都加入到項目中，這帶來了安全風險。

為了幫助你提高工作效率，我們已經為包注冊表增加了特定功能的控制?，F在，項目管理員和所有者對他們如何共享包注冊表有了更多的靈活性和控制。默認情況下，包注冊表的可見性只設置為項目成員。關于查看、下載或更新軟件包需要哪些權限的更多信息，請參考軟件包注冊表可見性權限文檔。

Documentation Issue