GitLab新版14.3來了,這個版本的重點更新項目,都為安全性功能,諸如專案層級的安全性掃描執行政策、新一代SAST引擎,以及GitLab Kubernetes代理群組權限等。

GitLab 14.3在安全政策上往前跨了一步,加入專案層級的DAST,以及秘密掃描執行政策,現在用戶可以要求定期執行DAST和秘密掃描,或是使其成為持續整合工作管線的一部分,並且獨立於.gitlab-ci.yml檔案內容,官方提到,這允許安全團隊單獨管理掃描要求,且不讓開發者變更這些配置。

GitLab 14.3還新增新一代SAST引擎,GitLab的SAST功能綜合了十多個開源靜態安全分析器,每個月都會在GitLab上,主動找出數百萬個漏洞,這些分析器使用各種不同的方法辨識漏洞,從基本的正規表示式,到抽象語法樹解析,但這些方法可能會產生偽陽性的問題,過去GitLab的安全工具,提供漏洞指紋比對功能,讓用戶能夠消除這些誤報。

現在官方在GitLab 14.3加入的安全性更新,是由GitLab靜態分析和漏洞研究小組,所建置和維護的專有靜態應用程式安全測試引擎,在目前初始階段,該SAST工具僅針對Ruby和Rails的程式碼,能夠減少誤報。

官方提到,他們以多年維護GitLab SAST安全工具的經驗,以及先進的程序分析技術,打造這個新的SAST引擎,該引擎使用資料和控制流程分析,以及可用於偵測漏洞和誤報的模式擷取語言,且該引擎還提供了一個框架,能夠方便整合不同類型的安全測試,並讓測試執行更加智慧。GitLab會繼續擴展這個引擎,並且增加語言覆蓋範圍和檢測功能。

而GitLab為了要讓開發人員和營運人員的環境配置不會相互干擾,推出了群組層級權限受保護環境,官方解釋,在大型企業中,開發人員和營運人員有明確的權限邊界,開發人員會在開發環境等層級較低的環境,部署和測試應用程式,營運人員則會在生產環境中操作,要在包含數千個專案的單個群組,正確配置所有專案的受保護環境,並非一件簡單的事。

因此在GitLab 14.3中,官方添加了以部署層作為標示符號的群組受保護環境,讓營運人員可以將應用程式,正確地部署到生產環境中,且不會干擾專案開發人員工作。

另外,GitLab還提供Kubernetes代理和Kubernetes叢集間的安全連接功能,在14.2版本之前,CI/CD通道僅允許,將已經在Kubernetes代理註冊的專案推送到叢集中,而在14.3中,代理可以被授權存取整個群組,也就是說,經授權群組下的每一個專案,都能夠存取叢集,而不需要對每個專案個別進行註冊。

熱門新聞

Advertisement