GitLab опубликовал ежемесячный выпуск 14.3 платформы управления версиями. Нововведения в основном присутствуют в коммерческих версиях и охватывают, помимо прочего, статический анализ кода и функции безопасности. Версия также включает новые групповые рекомендации и предлагает дополнения к конвейеру CI / CD (непрерывная интеграция, непрерывная доставка).
Самодельный статический анализ
В версии 10.3 GitLab представил анализ безопасности с помощью SAST (статическое тестирование безопасности приложений). Многочисленные инструменты с открытым исходным кодом служат основой для разные языки программирования и платформы. Новые инструменты добавляются регулярно, и самым последним крупным дополнением в апреле стал Semgrep.
В текущем выпуске платформы GitLab представляет собственный движок SAST, который изначально был разработан для Ruby и Rails. Мотивацией к первоначальному вниманию к языку программирования и основанной на нем веб-структуре, вероятно, послужит тот факт, что платформа управления версиями разрабатывалась на Ruby on Rails с момента ее создания около десяти лет назад.
Собственный механизм SAST предназначен, среди прочего, для обнаружения ложных срабатываний. (Изображение: GitLab)
Новый механизм SAST, помимо прочего, основан на анализе данных и потока управления. Он также поставляется с языком извлечения шаблонов, который можно использовать, с одной стороны, для анализа уязвимостей, а с другой — для устранения ложных срабатываний, о которых сообщают другие инструменты безопасности. Кроме того, в движок, вероятно, можно интегрировать внешние инструменты тестирования.
Спецификации динамического анализа
GitLab 14.3 также расширяет интеграцию динамического тестирования безопасности приложений (DAST). В версии Ultimate теперь можно установить политики безопасности как для DAST, так и для обнаружения секретов. GitLab представил последний в версии 11.9: команды могут использовать его для поиска в своих репозиториях информации, которая должна храниться в секрете, такой как пароли, SSH или ключи API, чтобы предотвратить случайную публикацию учетных данных во время коммитов.
Политики безопасности создаются на уровне проекта и могут быть реализованы либо в определенный временной цикл, либо как часть C-конвейеров. Безопасность и соответствие | Политики реализовать независимо от конфигурации CI в файле .gitlab-ci.yml.
Групповая политика и расширение конвейера
Дальнейшие нововведения предлагают групповые спецификации и права доступа. Помимо прочего, агент GitLab Kubernetes, представленный в версии 13.11, теперь может предоставлять доступ авторизованным группам. Раньше доступ был возможен только из проекта, для которого зарегистрирован агент. Права доступа теперь также можно задавать в группах для защищенных сред.
В бесплатной версии GitLab доступны два дополнения для конвейеров CI / CD, в отличие от перечисленных выше нововведений. С одной стороны, разрешено includeБлоки в определении конвейера сейчас rules— Содержат подблоки, определяющие условия, при которых должна происходить интеграция. Кроме того, переменные в конвейере могут, в свою очередь, содержать другие переменные.
Неделя анонсов в GitLab
Помимо нового релиза и планируемого IPO, у GitLab есть собственная область коллективов на Stack Overflow объявил. Платформа для разработчиков программного обеспечения имела умри Коллективы Представлен в июне вскоре после поглощения технологическим инвестором Prosus. Это области, предназначенные для специального языка программирования или технологии. Помимо области GitLab, в настоящее время существуют коллективы для языка программирования Go и Google Cloud.
Дальнейшие нововведения в GitLab 14.3 можно найти вв официальном объявлении. Там вы также можете увидеть, какие новые функции доступны для вариантов Free, Premium и Ultimate.
(rme)
