GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。

更多关于极狐GitLab 或者 DevOps 的最佳实践,可以关注文末的极狐GitLab 公众号。

极狐GitLab 在去年 5 月份发布了 16.0 版本。此次发布带来了价值流仪表盘现在已经正式可用,还有远端开发工作区、更强劲的极狐GitLab SaaS Runner、注释模版等诸多功能。

使用 CI/CD 流水线导入 Maven/Gradle 包

基础版专业版旗舰版SaaSYYY私有化部署YYY

您是否一直在考虑将 Maven 或 Gradle 存储库迁移到 极狐GitLab,但无法投入时间来规划迁移?极狐GitLab 很自豪地宣布 MVC 推出 Maven/Gradle 软件包导入器。

现在,您可以使用包导入器工具从任何符合Maven/Gradle的注册表(如Artifactory)导入包。

要使用该工具,只需创建一个 config.yml 文件,其中包含要导入到 极狐GitLab 中的包的详细信息。然后将导入程序添加到 .gitlab-ci.yml 流水线配置文件,其余部分由导入程序完成。它在流水线中运行,动态生成一个子流水线,其中包含将所有包导入 极狐GitLab 包注册表的作业。

Browser-based DAST 性能改进

基础版专业版旗舰版SaaSY私有化部署Y

我们优化了Browser-based DAST 分析器执行扫描的方式。这些改进具有显着意义。

减少了使用Browser-based DAST分析器运行 DAST 扫描所需的时间。进行了以下改进:

添加了日志摘要统计信息,以帮助确定扫描期间花费的时间。这可以通过包含环境变量 DAST_BROWSER_LOG=”stat:debug” 来启用。通过并行运行被动检查来优化被动检查。通过缓存匹配 HTTP 响应正文中的内容时使用的正则表达式来优化被动检查。 优化了 DAST 确定页面是否已完成加载的方式。现在,我们不会等待排除的文档类型或超出范围的 URL。减少了页面加载后 DOM 快速稳定的页面的等待时间。

通过这些改进,我们看到Browser-based DAST扫描时间减少了50%-80%,具体取决于正在扫描的应用程序。虽然并非所有扫描都可以看到此百分比下降,但Browser-based DAST 扫描现在完成所需的时间应该要少得多。

在 SAST 中更快、更轻松地进行 Scala 扫描

基础版专业版旗舰版SaaSYYY私有化部署YYY

极狐GitLab 静态应用程序安全测试 (SAST) 现在提供基于 Semgrep 的 Scala 代码扫描。

这项工作建立在我们之前在 极狐GitLab 14.10 中引入的基于 Semgrep 的 Java 扫描的基础上。

与我们已经过渡到基于 Semgrep 扫描的其他语言一样,Scala 扫描覆盖率使用 极狐GitLab 管理的检测规则来检测各种安全问题。

新的基于Semgrep的扫描运行速度明显快于基于SpotBugs的现有分析器。它也不需要在扫描前编译您的代码,因此使用起来更简单。

极狐GitLab 的静态分析和漏洞研究团队共同努力,将规则转换为 Semgrep 格式,保留了大多数现有规则。我们还在转换规则时对其进行了更新、优化和测试。

如果您使用 极狐GitLab 管理的 SAST 模板 (SAST.gitlab-ci.yml),则基于 Semgrep 和基于 SpotBugs 的分析器现在只要找到 Scala 代码就会运行。在极狐GitLab 旗舰版中,安全仪表板结合了来自两个分析器的结果,因此您不会看到重复的漏洞报告。

在未来的版本中,我们将更改 极狐GitLab 管理的 SAST 模板 (SAST.gitlab-ci.yml),以便仅运行基于 Semgrep 的 Scala 代码分析器。基于 SpotBugs 的分析器仍将扫描其他语言的代码,包括 Groovy 和 Kotlin。如果您只想使用基于 Semgrep 的扫描,则可以尽早禁用 SpotBugs。

如果您对基于 Semgrep 的新 Scala 扫描有任何疑问、反馈或问题,请提交问题,我们很乐意为您提供帮助。

通过Browser-based DAST 引入带外应用程序安全测试

基础版专业版旗舰版SaaSY私有化部署Y

以前,极狐GitLab 的 DAST 分析器在执行主动检查时不支持回调攻击。这意味着带外应用程序安全测试 (OAST) 需要与 DAST 扫描分开配置。

现在,您可以通过扩展Browser-based DAST 分析器配置来启用回调攻击来运行 OAST。

在此版本中,我们引入了 BAS.latest.gitlab-ci.yml 模板。漏洞和攻击模拟 CI/CD 模板具有Browser-based DAST 分析器的作业配置,并支持容器到容器网络,以将针对服务容器的扩展 DAST 扫描添加到 CI/CD 流水线。

我们不断迭代以开发新的漏洞和攻击模拟功能。我们很乐意听到您对在Browser-based DAST 中添加回调攻击的反馈。

免费用户可用的其他注册功能

基础版专业版旗舰版SaaS私有化部署Y

拥有运行 极狐GitLab 企业版的自我管理实例的 极狐GitLab 免费客户现在可以在注册功能计划下访问另外五个付费功能:

密码复杂性策略 - 描述更改历史记录 - 问题板配置 - 维护模式 - 覆盖引导模糊测试 要访问这些功能,请在 极狐GitLab 注册并通过 Service Ping 向我们发送活动数据。

可以登录极狐GitLab 安装升级页面,升级最新版本极狐GitLab,体验更多 DevOps 功能。更多关于极狐GitLab 的最佳实践,可以搜索关注公众号【极狐GitLab】或者登录极狐GitLab 官网进行学习。

精彩内容

评论可见,请评论后查看内容,谢谢!!!
 您阅读本篇文章共花了: