GitLab 14.5免费提供基础设施即程序代码安全扫描

GitLab推出最新的14.5版本,这个版本的亮点在于增加了对基础设施即程序代码(Infrastructure as Code,IaC)文件进行扫描,通过更主动的扫描行动,进一步增加了用户的安全。另外,其他更新还有群组层级的整合请求批准配置,以及GitLab Free计划现在也可以使用Kubernetes代理。

在Gitlab 14.5中,官方加入对基础设施即程序代码配置文件的安全扫描功能,与Gitlab的SAST扫描仪一样,所有用户都能够免费使用该功能,官方希望在基础设施即程序代码兴起的当前,能够鼓励程序开发安全实践。

这个初始的基础设施即程序代码扫描仪,支持Terraform、Ansible、AWS CloudFormation和Kubernetes的配置文件,并且以开源KICS(Keeping Infrastructure as Code Secure)项目作为基础。

这个新的扫描仪加入了Gitlab现有的Kubernetes清单SAST扫描仪,当用户原本就熟悉GitLab SAST,那使用起来就会更简单上手,因为基础设施即程序代码扫描的持续集成配置,跟SAST的完全相同,并且支持相同的功能,包括独立的基础设施即程序代码持续集成配置文件,以及安全配置页面上的激活工具,还有所有针对Ultimate层级用户,所提供的漏洞管理功能,像是安全仪表板和整合请求小工具。

而这个基础设施即程序代码扫描仪的设计,也非常易于扩展,除了官方提供的扫描仪,用户也可以使用其他扫描仪来扩展基础设施即程序代码安全扫描。

而群组层级的整合请求批准配置功能的更新,则是Gitlab现在让用户可以在群组层级,定义和强制执行整合请求批准配置的数值,这些数值将会被其他群组中的项目所使用。

官方提到,群组层级的整合请求批准功能,让组织可以更轻松地确保团队间的职责分离,用户现在只需要在一个位置指定配置,就能更新和监控每个项目,其具体好处有二,除了项目可以使用一致的职责分离流程之外,还能不需要手动检查每个项目,是否完成配置修改。

在这个版本,官方向Free层级开放更多的功能,过去GitLab Kubernetes代理仅提供给Premium层级用户,而现在官方将GitLab Kubernetes代理和CI/CD Tunnel等核心功能,下放给Free层级用户。

通过GitLab Kubernetes代理连接Kubernetes集群,能够简化集群应用程序的配置,并实现集群安全GitOps的部署,官方提到,他们希望借由开源功能,吸引更多没有专门基础设施团队,或是对集群管理有强烈需求的用户。