GitLab 13.12加入按需动态应用程序安全测试服务

最新的GitLab 13.12获得可用性和工作管线管理功能更新,不只要让程序代码部署更安全,还要提升团队协作效率。该平台新版重要更新包括GitLab Ultimate用户,可以开始使用按需动态应用程序安全测试(DAST)扫描,还有新版也更新工作管线编辑器,并且持续添加DORA4指标支持。

现在所有GitLab Ultimate用户可按需使用DAST扫描(下图),在CI/CD工作管线外任何已配置环境,都能使用DAST扫描已部署的应用程序和API,用户不需要进行任何程序代码变更或整合请求,就能立刻开始扫描。官方持续更新DAST扫描功能,在先前的13.11版本中,官方在按需DAST网站的配置文件,添加特定身份验证信息、排除URL、添加额外请求标头,以及切换网页应用程序与API扫描等功能。官方提到,他们还会增加诸如扫描调度等功能,以涵盖大部分用户的需求。

在安全扫描功能方面,除了DAST,用于JavaScript、TypeScript和Python的Semgrep SAST分析器,现在也发布正式版本。Semgrep灵活的规则语法,能简化GitLab自定义规则及功能,以扩展和修改检测规则,并且让GitLab用户访问Semgrep社群规则。

另外,GitLab更新向DAST用户,推出了浏览器爬虫Beta测试版,新的爬虫工具经特别设计,可以在JavaScript应用程序中发现,可能会被传统基于代理爬虫程序忽略的页面,使得新的排虫程序有能力提升应用程序的测试覆盖率。

官方提到,现在网页使用越来越多的JavaScript,甚至有一些是专满足JavaScript和单页应用程序开发的工具。但是重度依赖JavaScript的网页,却会增加爬虫扫描页面的困难度,在官方的基准测试里,基于浏览器的爬虫程序,与当前基于代理的爬虫程序相比,爬虫覆盖率明显提高。

除了安全性更新之外,官方也简化了工作管线管理来增加可用性,工作管线编辑器现在带有可折叠指南说明面板,可以快速带新手入门。同时官方还添加在规则中定义变量的功能,供用户能够在满足特定条件时,灵活地配置工作管线变量。

而13.12版本在原生支持DORA4指标的工作,现在加入群组部署频率图表,该图表可以让用户了解部署状况以便发现瓶颈,并改进跨项目和团队的效率。部署频率图表显示所有项目的汇总部署频率指标,用户可以更全面了解多个项目的和团队的部署频率,以精确掌握部署效率。

GitLab的价值流媒体(Value Stream)分析功能也获得更新,价值流媒体分析能协助用户在工作流程中,找出性能低落的根本问题,而在13.12中,官方加入了工作流程项目的分页和排序功能,视觉呈现更清楚,用户也能对特定阶段可视化并且排序项目,以方便查明瓶颈所在。