GitLab新版14.3来了,这个版本的重点更新项目,都为安全性功能,诸如项目层级的安全性扫描执行政策、新一代SAST引擎,以及GitLab Kubernetes代理群组权限等。
GitLab 14.3在安全策略上往前跨了一步,加入项目层级的DAST,以及秘密扫描执行政策,现在用户可以要求定期执行DAST和秘密扫描,或是使其成为持续集成工作管线的一部分,并且独立于.gitlab-ci.yml文件内容,官方提到,这允许安全团队单独管理扫描要求,且不让开发者变更这些配置。
GitLab 14.3还添加新一代SAST引擎,GitLab的SAST功能综合了十多个开源静态安全分析器,每个月都会在GitLab上,主动找出数百万个漏洞,这些分析器使用各种不同的方法识别漏洞,从基本的正规表达式,到抽象语法树解析,但这些方法可能会产生伪阳性的问题,过去GitLab的安全工具,提供漏洞指纹比对功能,让用户能够消除这些误报。
现在官方在GitLab 14.3加入的安全性更新,是由GitLab静态分析和漏洞研究小组,所构建和维护的专有静态应用程序安全测试引擎,在目前初始阶段,该SAST工具仅针对Ruby和Rails的程序代码,能够减少误报。
官方提到,他们以多年维护GitLab SAST安全工具的经验,以及先进的程序分析技术,打造这个新的SAST引擎,该引擎使用资料和控制流程分析,以及可用于侦测漏洞和误报的模式截取语言,且该引擎还提供了一个框架,能够方便集成不同类型的安全测试,并让测试执行更加智能。GitLab会继续扩展这个引擎,并且增加语言覆盖范围和检测功能。
而GitLab为了要让开发人员和运营人员的环境配置不会相互干扰,推出了群组层级权限受保护环境,官方解释,在大型企业中,开发人员和运营人员有明确的权限边界,开发人员会在开发环境等层级较低的环境,部署和测试应用程序,运营人员则会在生产环境中操作,要在包含数千个项目的单个群组,正确配置所有项目的受保护环境,并非一件简单的事。
因此在GitLab 14.3中,官方添加了以部署层作为标示符号的群组受保护环境,让运营人员可以将应用程序,正确地部署到生产环境中,且不会干扰项目开发人员工作。
另外,GitLab还提供Kubernetes代理和Kubernetes集群间的安全连接功能,在14.2版本之前,CI/CD信道仅允许,将已经在Kubernetes代理注册的项目推送到集群中,而在14.3中,代理可以被授权访问整个群组,也就是说,经授权群组下的每一个项目,都能够访问集群,而不需要对每个项目个别进行注册。