客户端|GitLab 14.6发布,优化了Geo高可用以及安全更新等( 四 )



SAST扫描执行策略(ULTIMATE)用户现在可以要求SAST扫描定期运行或作为项目CI管道的一部分运行 , 而与.gitlab-ci.yml文件的内容无关 。 这允许安全团队单独管理这些扫描要求 , 而无需开发人员更改配置 。 可以在安全与合规>策略页面上开始使用安全策略 。 要指定SAST扫描 , 请将字段设置为scansast
默认启用 WebAuthn新版本中默认启用WebAuthn 。 用户现在可以在Apple设备上使用Touch ID作为第二个身份验证因素 , 只要他们的浏览器支持它 。 这也消除了在弃用U2F而支持 WebAuthn 的浏览器中看到的错误消息 。
SAST 和秘密检测的自定义规则集可组合性(ULTIMATE)正在改进我们在GitLab 13.5中引入的SAST和秘密检测的自定义规则集功能 。 自定义规则集让用户可以根据组织的偏好定制SAST和秘密检测分析器的行为 。 为了改进此功能 , 新引入了从多个源添加规则的功能 , 例如Git存储库、本地文件和原始源更改 。 此更改使合成和管理来自不同位置的多个自定义规则集变得更加容易 , 组织可以使用这些规则集跨存储库和源继承规则以获得更大的灵活性 。 最初 , 该更改适用于SAST Semgrep、Nodejs 和 Gosec 分析器以及秘密检测. 未来版本中将此功能扩展到其他分析器 。
静态分析分析器更新GitLab静态分析由一组许多安全分析器组成 , GitLab 静态分析团队积极管理、维护和更新这些分析器 。 14.6 版本中带来了额外的覆盖范围、错误修复和改进 。
Spotbugs更新到v2.28.11:
Log4j库更新为补丁版本 (v4.5.2);
修复自定义CA证书支持 。
PMD更新到 v2.12.10:主动删除Log4j库 。
Semgrep 更新到 v0.76.2 ;
Gosec 更新到 v2.9.5;
如果使用GitLab托管的供应商SAST模板(SAST.gitlab-ci.yml) , 则无需执行任何操作即可接收这些更新 。 但是 , 如果覆盖或自定义自己的CI 板 , 则需要更新CI配置 。 要保留任何分析器的特定版本 , 可以固定到分析器的次要版本 。 固定到以前的版本会阻止接收自动分析器更新 , 并要求在CI模板中手动增加分析器版本 。
变量 DS_EXCLUDED_PATHS 行为更改为预过滤器(ULTIMATE)对于依赖扫描变量的用户DS_EXCLUDED_PATHS , 它现在将进行预过滤 。 依赖扫描现在会DS_EXCLUDED_PATHS在搜索支持的项目时考虑 , 并将预先过滤掉那些匹配的项目 。 预过滤可防止分析器在处理已使用DS_EXCLUDED_PATHS.这使用户可以根据需要跳过依赖文件并构建文件 , 并且在某些情况下可以提高性能 。
此更改于2021年12月2日针对gemnasium、2021年12月6日针对 gemnasium-python 和 2021年12月 日针对 gemnasium-maven 进行 。 此更改适用于所有版本 , 因为更改已向后移植 。
将问题提升为事件的快速行动在为某个问题投入时间和精力后 , 有时参与者会意识到该问题实际上是一个事件 。 利用快速操作/promote_to_incident , 用户现在可以将问题升级为事件 。 当问题被提升时 , 所有现有的上下文(标题、描述、标签、受让人、评论等)仍然是事件的一部分 。
自定义容器扫描漏洞的重复数据删除(ULTIMATE)扫描镜像时 , 容器扫描默认假设镜像命名约定在镜像标签中存储任何特定于分支的标识符而不是镜像名称 。 对于遵循分支名称是映像名称一部分的命名约定的客户 , 此默认设置使扫描程序无法正确删除相同漏洞的重复数据 。 现在可以通过CS_DEFAULT_BRANCH_IMAGE在容器扫描作业中指定新变量来自定义默认设置 。 默认情况下 , 为使用Auto DevOps的项目设置此变量 。 这允许合并请求中的安全检查通过删除默认分支中已经存在的任何漏洞来正确识别新漏洞和预先存在的漏洞 。