极狐GitLab 17.8 重点功能解读

沿袭我们的月度发布传统，极狐GitLab 发布了 17.8 版本，该版本带来了使用受保护容器仓库增强安全、列出与发布相关的部署、机器学习模型实验追踪已经正式可用等几十个重点功能的改进。下面是部分重点功能的详细解读。

关于极狐GitLab 的安装升级，可以查看官方指导文档。

• 17.8 容器镜像

registry.gitlab.cn/omnibus/gitlab-jh:17.8.0-jh.0

• 17.8 Helm Chart

helm search repo gitlab-jh
NAME                       CHART VERSION    APP VERSION    
gitlab-jh/gitlab           8.8.0            v17.8.0        
gitlab-jh/gitlab-runner    0.73.0           17.8.0         

极狐GitLab 17.8 重要改进

使用受保护容器仓库增强安全

我们非常高兴地宣布，受保护的容器仓库现已正式推出，这是一个新的极狐GitLab 容器仓库功能，能够解决管理容器镜像过程中的安全和管控挑战。组织常常面临未经授权访问敏感容器仓库、意外修改、缺乏细粒度控制以及难以维持合规性等挑战。此解决方案通过严格的访问控制，对拉取、推送和管理操作的细粒度控制以及将其无缝集成到极狐GitLab CI/CD 流水线中来增强安全。

受保护容器仓库通过降低核心资产安全泄露风险以及意外变更来为用户提供价值。这一功能通过在不牺牲开发速度的前提下维护安全性来简化工作流程，提升了容器仓库的整体治理水平，并让用户安心，确保重要的容器资产根据组织需求得到妥善保护。

列出与发布相关的部署

尽管极狐GitLab 一直支持从 Git 标签创建发布（release）并追踪部署进度，但是此信息之前分散在多个分离的地方，很难整合在一起。现在，您可以在发布页面直接看到所有与发布相关的部署。发布经理可以快速验证哪儿进行了部署、哪个环境在等待部署。这完善了现有的部署页面集成功能，该功能会显示标签部署的发布说明。

机器学习模型实验追踪已经正式可用

当创建机器学习模型时，数据科学家经常会用不同的参数、配置以及功能进行实验以改善模型的性能。跟踪所有这些元数据及其相关制品，以便数据科学家日后能够复现实验，但是这并非易事。而机器学习实验追踪能够让他们直接将参数、指标以及制品记录在极狐GitLab 中，便于日后访问，同时将所有实验数据保留在您的极狐GitLab环境中。此功能现已全面推出，具备增强的数据显示、改进的权限设置、与极狐GitLab更深度的集成以及错误修复。

极狐GitLab 17.8 的其他改进

在议题或合并请求中追踪多个待办事项

现在，您可以在单个议题或合并请求中追踪多个讨论和提及了。有了此新的功能（多个待办事项），针对每一个提及或操作，您都能接收到单独的待办事项，这就确保了您不会丢失重要的更新，或需要您注意的事情。此项功能能够帮助您更高效的管理您的工作并更快速地响应团队的需求。

史诗祖先

借助重新设计的“层级结构”小部件，浏览您的史诗级任务层级变得更加轻松。该小部件现在以类似面包屑的格式显著显示在每个史诗级任务的顶部。您一眼就能看到直接上级和最终上级，从而快速掌握各史诗级任务之间的关系，这有助于您清晰把握项目结构，在相关史诗级任务之间轻松切换。

当然，您的管理员必须启用新的史诗页面功能。

史诗父级

现在，您可以像处理任务一样，直接从某个史诗任务添加父级，轻松管理史诗任务层级。这一简化流程让您在组织工作时更具灵活性，能快速建立各史诗任务间的关联，为项目维持清晰的架构。

当然，您的管理员必须启用新的史诗页面功能。

在史诗、议题和结果的子项中展示迭代字段

当查看史诗详情时，计划者需要能够看到哪些子议题在迭代（冲刺）中进行了计划，哪些没有被计划。这能够允许团队更容易地确定所有定义好的工作都被安排进了迭代中。

对于史诗，您的管理员必须启用新的史诗页面功能。

史诗 webhook

借助史诗级 Webhooks 功能，大幅提升您的工作流自动化程度。无论何时史诗任务发生变动，您都能在自己心仪的工具中实时接收更新。通过将极狐GitLab 与其他服务集成，您可以加强协作，随时掌握项目进展，简化流程，而无需频繁在不同应用程序间切换。

您的管理员必须启用新的史诗页面功能。

流水线限制在极狐GitLab 基础版中可用

现在，管理员可以通过设置 CI/CD 限制来控制极狐GitLab 基础版的流水线资源使用率。之前，此功能仅在专业版中可用。

在 Kubernetes 仪表盘中搜索 pods

在 Kubernetes 仪表盘中，要想在大型部署中找到特定的 pod 可能是非常耗时的。一个新的搜索栏能够让您通过名称来过滤 pod。搜索可以在所有可用的 pod 中正常工作，而且您还可以将其和状态过滤器结合起来以便精确找到您想要监控或者故障排查的 pod。

密钥检测现在包含修复步骤

迅速修复暴露的密钥信息至关重要，这样能将攻击者利用暴露的凭证入侵系统的风险降至最低。 合适的修复策略包含除移除密钥外的多个步骤，比如轮换凭据并调查潜在的未授权访问。为了帮您保持系统的安全性，现在密钥检测针对每种检测到的密钥类型都提供了具体的修复步骤。这些指南能帮助您系统地处理密钥暴露问题，降低安全漏洞风险。修复步骤会在流水线运行完成后，显示在所有漏洞信息中。

针对 override_ci策略，强化了集中式工作流规则

在流水线执行策略中，override_ci策略现在支持使用工作流规则，以助力对策略中定义的作业以及在使用 include:project 时项目配置中定义的作业实施策略强制。通过在策略中定义工作流规则，您可以根据特定规则筛选出由流水线执行策略执行的作业，例如配置规则以阻止在项目中使用分支流水线。

为了将工作流规则的应用仅限定于策略中定义的作业，最佳实践是为作业定义规则，而非在策略中全局定义。或者，您可以使用单独的 include 字段对作业和规则进行分组。

此前，在使用 override_ci 策略时，工作流规则只能应用于流水线执行策略中定义的作业。

inject_ci策略保持不变，工作流规则仅可用于控制何时强制实施策略作业，而不会影响项目的工作流规则。

在流水线执行策略中可配置 skip_ci

我们已经为流水线执行策略（PEP）引入了一个新的配置选项以便能够更灵活地处理 [skip ci]。此功能可应对特定自动化流程的场景，比如语义化版本发布，在此类场景中，有必要绕过常规的流水线执行，但同时仍需确保关键的安全与合规检查得以进行。

要使用此功能，在流水线执行策略 YAML 配置文件中将 skip_ci设置为 allowed: false或在策略编辑器中启用阻止用户跳过流水线。然后，指定允许使用 [skip ci]的用户或服务账号。默认情况下，所有用户都会被阻止跳过流水线执行作业，除非他们在 skip_ci配置中作为例外被排除在外。

在合并请求审批策略中支持多种不同的审批操作

此前，合并请求审批策略的每个策略仅支持单一的审批规则，只允许使用 “或” 条件来罗列一组审批人。因此，要强制来自不同角色、单个审批人或不同组的分层安全审批变得更具挑战性。

有了此更新，您可以为每个合并请求审批策略创建至多 5 个审批规则，这提供了更多的灵活性以及更棒的审批策略。每个规则都可指定不同的审核者或角色，而且每个规则都可以被单独评估。比如，安全团队可以定义复杂的审批工作流，诸如，要求一个审核者来自群组 A，另外一个审核者来自群组 B，或者一个来自特定角色而另外一个来自特定群组，这能够确保在敏感工作流程中符合规定并加强管控。

此改善的使用示例包括：

• 不同角色的审批：一个审批来自开发者角色而另外一个来自维护者角色。
• 角色和群组审批：一个审批来自开发者或维护者角色，而另外一个单独的审批来自安全群组的成员。
• 不同群组的审批：一个审批来自 Python 专家群组成员，而另外一个单独的审批来自安全群组的成员。

极狐GitLab MLOps Python 客户端处于 Beta

数据科学家和机器学习工程师主要工作在 Python 环境中，但是将他们的机器学习流程和极狐GitLab MLOps 功能集成通常需要上下文的切换，并且需要了解极狐GitLab 的 API 结构。这可能会在他们的开发过程中引发矛盾，降低他们追踪实验、管理模型产物以及与团队成员协作的效率。

全新的极狐GitLab MLOps Python 客户端，为极狐GitLab 的 MLOps 功能提供了一种流畅且符合 Python 编程习惯的接口。 现在，数据科学家可以直接从他们的 Python 脚本和笔记本上与极狐GitLab 的实验追踪和模型仓库功能进行交互。客户端包括：

• 极狐GitLab 实验追踪：让极狐GitLab 内部的机器学习实验追踪变得更加简单。
• 模型仓库集成：在极狐GitLab 的模型仓库中注册和管理模型。
• 实验管理：直接从客户端创建和管理实验。
• 运行追踪：轻松启动并监控训练过程。

这种集成让数据科学家能够专注于模型开发，同时自动在极狐GitLab 中记录其机器学习生命周期元数据。该 Python 客户端可与现有的机器学习工作流程无缝配合，且只需极少的设置，就能使得极狐GitLab 的 MLOps 功能更易于被数据科学社区所使用。

自定义史诗颜色

现在，您在对史诗任务进行分类时拥有了更大的灵活性，因为有了更多的颜色选项，其中既包括已有的预设值，也支持自定义 RGB 值或十六进制代码。这种增强的视觉自定义功能，能让您轻松地将史诗任务与团队、公司计划或层级关联起来，从而在路线图和史诗任务看板上，更便捷地对工作进行优先级排序与组织。

史诗健康状态

现在，借助针对史诗级任务（epics）的全新健康状态功能，您就可以轻松传达项目进展情况。通过将状态设置为 追踪中（On track）、需要注意（Needs attention）或有风险（At risk），您将快速看到您的史诗状态，这有助于您管控风险，并让相关方知晓项目的整体状态。

您的管理员必须启用新的史诗页面功能。

极狐GitLab Pages 主域名重定向

现在，您可以在极狐GitLab Pages 上设置一个主域名以将自定义域名上的请求自动重定向至主域名。这有助于维持搜索引擎优化（SEO）排名，并且无论访客最初使用哪个网址访问您的网站，都能将他们引导至您首选的域名，从而提供一致的品牌体验。

追踪花费在史诗上的时间

现在，您可以直接在史诗上追踪事件了，这让您能更精细地控制项目的时间管理。这项新功能使您能够记录在项目不同方面所花费的时间，有助于您在完成各个冲刺阶段和里程碑时，监控项目进展、按计划推进，并控制预算。

使用角色将项目成员定义为代码所有者

现在，您可以在您的 CODEOWNERS文件中将角色用作代码所有者来更高效地管理基于角色的专业知识和审批流程。您可以使用如下语法，而不是列出单个用户或创建群组：

• @@developers— 引用具有开发者角色的所有用户。
• @@maintainers— 引用具有维护者角色的所有用户。
• @@owners— 引用具有所有者角色的所有用户。

例如，添加 * @@maintainers 意味着要求仓库中的所有变更都需获得任何一位维护者的批准。

这样，当团队成员加入、离开项目，或在项目中变更角色时，代码所有者的管理工作就会得到大大简化。由于 极狐GitLab 会自动纳入所有拥有指定角色的用户，CODEOWNERS 文件无需手动更新就能保持最新状态。

使用受保护软件包确保您的依赖安全

我们很高兴地引入了对于受保护的 PyPI 软件包的支持，这是一个新功能，用于增强极狐GitLab 软件包仓库的安全和稳定性。在软件研发的快节奏世界中，对于软件包的错误修改或删除都将中断整个研发流程。受保护的软件包通过让您保护最重要的依赖项免受意外更改，来解决了这一问题。

从极狐GitLab 17.8 开始，您可以通过创建保护规则来保护 PyPI 软件包。如果软件包与保护规则不匹配，则只有特定用户可以对此软件包进行更新或删除。有了此功能，您就可以阻止软件包的错误修改，提高合规性，并通过减少人工监督来简化工作流。

在 Kubernetes 仪表盘上查看暂停的 Flux 调谐

之前，当您在 Kubernetes 的仪表板上暂停 Flux 调谐时，并没有明确的指标显示已暂停状态。我们在现有的状态指示器中新增了“已暂停”状态，以便清晰显示 Flux 调谐何时处于暂停状态，让您能更好地了解部署的状态。

将漏洞添加为受支持的 webhook 事件

引入一个能够为漏洞相关操作生成事件的 webhook 可以让您实现自动化并与外部资源集成。比如，当漏洞被创建或漏洞状态发生变化时，就会生成相应事件。

查找解决了安全漏洞的提交

之前，当某个漏洞不再被检测时，我们是无法给用户提供方法来查看此漏洞是何时何地被解决的。现在，我们会显示一个连接到漏洞被解决的提交 SHA 的链接，这为漏洞解决进度提供了更好的追踪性和洞察。这让安全和研发团队通过协作来更高效地管理漏洞变得更加容易。

定时扫描执行流水线的并发管理

为了改善全局定时扫描执行策略的扩展性，我们引入了新的功能，能够在扫描执行策略中配置时间窗口。time_window（时间窗口）属性定义了策略创建和执行新计划的时间段，以确保达到最佳性能。

要使用这一新属性，可通过 YAML 模式更新策略，并遵循 time_window的模式要求。您可以为计划运行的时间窗口提供以秒为单位的值。例如，86400代表 24小时的时间窗口。然后提供 distribution: random（分布：随机）字段及其值，以强制计划在定义的时间窗口内随机时间执行。

提升合规中心“框架”报告选项卡的用户界面性能

在极狐GitLab 17.8 中，我们对后端进行了更改，以确保即使合规中心的“框架”报告选项卡中有数千个合规框架，合规中心仍能保持快速响应。

此外，当在框架选项卡中查找更多信息并点击框架时，作为右侧弹出菜单信息的一部分，极狐GitLab 会返回与该特定框架关联的多达 1000 个项目。

群组的项目创建保护现已包含拥有者

群组中的项目创建通过使用允许创建项目设置严格限制在指定的角色。现在拥有者作为可用的选项，这使您能够将新项目创建权限限制为拥有该群组 “拥有者” 角色的用户。在之前的选项中，此角色不可用。

查看等待删除的子群组和项目

当您将群组标记为删除时，您需要可视化地看到所有受影响的子群组和项目。之前，只有被标记为删除的群组会显示一个 “等待删除” 的标签，但是它们的子群组和项目却不会显示，这就让哪些内容会被计划删除这件事变得困难。

现在，当一个群组标记为删除时，他的子群组和项目将会展示一个“等待删除”标签。这种增强的可见性，有助于您在整个群组层级结构中，快速区分哪些内容是活跃的，哪些是即将被删除的。

本文由博客一文多发平台 OpenWrite 发布！