GitLab進行了多項安全性更新,釋出14.8版本,更新的項目包括加入新的SSH金鑰類型、安全核准政策,工作管線編輯器自動完成,以及模擬稽核事件等新功能。

由於OpenSSH 8.2添加對具有ecdsa-sk和ed25519-sk金鑰類型的FIDO/U2F硬體身份驗證的支援,而現在GitLab也支援這些金鑰類型,允許用戶使用硬體SSH身份驗證。

GitLab現在還支援靈活的安全核准功能,以替代已經棄用的漏洞檢查功能。安全核准與漏洞檢查功能類似,兩者都需要對包含漏洞的合併請求進行核准,但是新的安全核准改善了過去的操作體驗。

現在用戶可以選擇編輯安全核准規則的人員,所以獨立的安全和法遵團隊可以防止開發專案維護人員擅自修改規則,而且也能夠創建或是鏈結多個規則,讓每一種掃瞄器類型,可以對不同嚴重程度的閾值進行過濾。另外,一組安全政策可以用於多個開發專案中,使得用戶可以簡單地維護單一集中式規則集。

雖然安全核准政策和現有的漏洞檢查並不互相衝突,還是可以一起使用,但官方還是建議用戶將漏洞檢查規則搬遷到安全核准政策上,因為漏洞檢查規則已經遭到棄用,很快地,在GitLab 15.0中就會被移除。

GitLab 14.8加入了可以方便用戶編寫GitLab CI/CD工作管線的功能,官方提到,要編寫有效的CI/CD工作管線並不簡單,因為用戶必須要使用精準的語法結構,即便是拼寫錯誤或是錯誤配置,都可能導致工作管線失效。

新的CI/CD工作管線關鍵字自動完成功能,可以提高用戶編寫和除錯工作管線的效率,使得工作管線可以在第一次執行,就能按照預期運作。

另外,GitLab在群組稽核事件頁面上,能夠呈現以使用者模擬(User Impersonation)操作的稽核事件,過去這項功能並未提供給GitLab SaaS用戶,而現在下放到群組頁面,供自管理和SaaS用戶檢視。使用者模擬可讓管理員模擬成為任何使用者,包括其他管理員,使得管理員看得到其他使用者所見到的介面和功能。

而在群組頁面呈現的這些使用者模擬稽核事件,可以讓管理員了解,是否有管理員正在模擬群組中的使用者,並且執行各種行動,管理員也可以了解,究竟是特定用戶執行了某項操作,還是由管理員模擬代為操作的。

熱門新聞

Advertisement