CVE-2024-45409 漏洞是由 Ruby SAML 库引起的。Ruby SAML 库是用于实现 SAML 授权的客户端。12.2 及以下的所有版本、1.13.0 到 1.16.0 之间的 Ruby-SAML 版本都受此影响。这些版本不能够正确验证 SAML 响应的签名。因此，具有访问任何身份提供者（IdP）签署的 SAML 文档的未经身份验证的攻击者可以伪造包含任意内容的 SA...

沿袭我们的月度发布传统，极狐GitLab 发布了 17.3 版本，该版本带来了从极狐GitLab UI 上删除 Pod、从本地终端轻松连接到集群以及为单个项目添加多个合规框架等几十个重点功能的改进。下面是部分重点功能的详细解读。

2012年，Gartner首次提出DevSecOps概念，旨在将安全性嵌入开发过程中的每个部分；十年后，DevSecOps已经成为端到端安全能力构建的事实标准。所以，在了解DevSecOps为什么重要以及如何落地之前，我们先从软件开发的角度弄明白什么是DevOps。

最近某银行遭受供应链攻击的事件传的沸沸扬扬，安全又双叒叕进入了人们的视野。安全确实是一个非常重要，但是又最容易被忽略的话题。但是现在到了一个不得不人人重视安全，人人为安全负责的时代。尤其以现在非常火爆的云原生来讲，业界已经达成共识：云原生时代已经到来，如果说容器是云原生时代的核心，那么镜像应该就...

在应用程序开发过程中，一个很常见的问题就是：开发人员为了本地 debug 方便，会 hardcode 一些信息，比如连接数据库的用户名、密码、连接第三方 app 的 token、certificate 等，如果在提交代码的时候没有及时删除 hardcode 的信息，则非常容易造成敏感信息泄漏，带来被拖库、撞库等风险。

众所周知，极狐GitLab 是一个成熟、安全的一体化 DevOps 平台，其自身内置了容器镜像仓库功能，也即极狐GitLab Container Registry，用户可以将自身需要的镜像推送至极狐GitLab 镜像仓库，而无需自建镜像仓库或者使用已经采取了各种限制措施的 dockerhub。

历经 14 年的发展后，DevOps 已经不再是一个鲜为人知的术语，国内外众多企业在成熟方法论和复杂工具链的加持下，通过 DevOps 的落地实践实现了软件交付效率的提升。随着 DevOps 的深入发展，DevOps 的市场规模也在进一步快速发展。

沿袭我们的月度发版机制，今天我们正式发布极狐GitLab 16.6。此次发布带来了关于 CI/CD 组件与目录、只包含默认分支的最小 fork 及安全合规等方面的众多功能更新。以下是此次版本发布的一些重点功能更新详情，请查阅。

10 月 18 日 北京 昨日，全球领先 AI 赋能 DevSecOps 一体化平台极狐(GitLab) 在北京举办了主题为“创新启变 聚焦增长”的媒体沟通会。极狐(GitLab) CEO 柳钢就“中国企业数字化转型、软件研发、技术自主可控等热点问题，以及 AI 大模型时代下，公司未来发展的方向与趋势”同到场嘉宾与媒体进行了深入探讨。

GitLab Inc.官方安全更新补丁：GitLab Critical Security Release: 16.3.4 and 16.2.7

“软件吞噬世界”，这是网景创始人 Marc Andreessen 在 2011 年说的一句话。这些年软件行业的飞速发展也验证了这句话。智能手机就是一个很鲜活的例子，各种 app 彻底改变了人们的衣食住行。

历经 14 年的发展后，DevOps 已经不再是一个鲜为人知的术语，国内外众多企业在成熟方法论和复杂工具链的加持下，通过 DevOps 的落地实践实现了软件交付效率的提升。随着 DevOps 的深入发展，DevOps 的市场规模也在进一步快速发展。

如果你已经在用 GitLab / 极狐GitLab 价值流管理，直接前往项目或群组的分析选项页面 → 价值流分析 → 价值流仪表盘 → DORA ，就会打开一个新的价值流仪表盘页面。

【从零开始学极狐GitLab】专栏由极狐GitLab 社区开发者“雪碧能喝多”投稿，面向“小白”用户的零基础教程，将从安装配置、基本功能使用、CI/CD 入门介绍、作业关键字实践、Spring 项目实践等模块，手把手带大家从零开始学习使用极狐GitLab。

🌟【从零开始学极狐GitLab】专栏由极狐GitLab 社区开发者“雪碧能喝多”投稿，将从安装配置、基本功能使用、CI/CD 入门介绍、作业关键字实践、Spring 项目实践等模块，手把手带大家从零开始学习使用极狐GitLab。引用关键词：零基础、小白放心食用、保姆式教程

众所周知，软件研发是一个涉及众多阶段、团队和工具的复杂流程。在企业加速数字化转型，远程办公采用新协作工具等背景下，衡量和管理软件研发生命周期（SDLC）业务价值变得更加复杂。

基于 5010 份调研反馈，GitLab 发布了 2023 年全球 DevSecOps 报告《Security Without Sacrifices》，报告指出：

越来越多企业意识到多工具链集成带来的低效和高成本问题，同时承受着可见性低、反馈不畅通、网络风险大等痛点，应用平台方法来交付软件的呼声越来越大。极狐(GitLab) 很早就意识到了平台方法的价值，也坚信极狐GitLab 这种单一应用程序的 DevSecOps 平台，是组织提高研发生产力、构建高效能团队、确保软件供应链安全以及...

可能很多人很自然地就会想到 Kubernetes、容器、微服务、开源等等，这些关键词是我们接触云原生绕不开的话题。但是以上还少了一个关键词：安全。

近日，在「DevSecOps软件安全开发实践」课程上，极狐(GitLab) 高级测试工程师衡韬、极狐(GitLab) 高级后端开发工程师田鲁，分享了模糊测试的概念、必要性和在极狐GitLab 上的实践。以下内容整理自本次直播，你也可以点击👉观看视频回放。Enjoy～[链接]随着网络应用的普及，人们越来越关注软件安全性、稳定性和软件质量问...

💡 近日，在「DevSecOps 软件安全开发实践」课程上，极狐(GitLab) 高级专业服务交付工程师韩飞、极狐(GitLab) 前端工程师任治桐，分享了密钥检测的背景、应用及处理，并演示了极狐GitLab 密钥检测功能，快用 1 行代码开启密钥检测功能，给敏感信息加上安全锁。以下内容整理自本次直播，你也可以点击👉观看视频回放或下载 P...

如果攻击者找到了入侵方法，就会利用安全配置文件中的任何漏洞。「强化」，即关闭未使用功能，并把对安全有影响的设置进行调整的过程，对于限制攻击面并减少潜在攻击向量是非常重要的。

🌟 近日，在「DevSecOps 软件安全开发实践」课程上，极狐(GitLab) 专业服务交付经理居文峰、极狐(GitLab) 前端工程师万里欣，分享了许可证扫描的原理、配置及应用，并演示了极狐GitLab 许可证扫描功能，帮助大家安全使用开源软件。以下内容整理自本次直播，Enjoy～

本文来源：about.gitlab.com作者：Eugene Lim，Mike Eddington译者：极狐(GitLab) 市场部内容团队

近日，在「江狐会」广州站上，极狐(GitLab) 高级解决方案架构师武让分享了如何通过三大阶段 + 四大要点，规避代码安全「马奇诺防线」，真正确保软件供应链安全。以下内容整理自本次演讲。Enjoy～

一些企业、组织都在探讨软件供应链安全的问题。安全从之前的小众话题（可能只有安全、CISO 关注）变成了大众话题（研发、运维也在讨论）。究其原因可能是因为软件发展到如今的复杂性，让安全从 “幕后（个别人关注）” 走到了 “台前（大众关注）”。这些复杂性可能包括：

🌟 容器技术的兴起，让应用程序更加轻量化和可移植，大大提高了应用交付效率。但容器中的应用也面临各种安全威胁，容器及其镜像安全不可小觑。近日，在「DevSecOps 软件安全开发实践」课程上，极狐(GitLab) 高级专业服务交付工程师唐恩、极狐(GitLab) 研发经理张頫，分享了容器镜像扫描的原理及代码实现，并演示了极狐Git...

💡  如何在流水线中集成与应用 SAST，实现自动化代码安全扫描 ？近日，在「DevSecOps软件安全开发实践」课程上，极狐(GitLab) 高级专业服务交付工程师欧阳希、极狐(GitLab) 后端工程师黄松，分享了静态安全扫描与漏洞检测的 WHAT-WHY-HOW，并演示无缝衔接极狐GitLab 合并请求与议题功能，帮助大家进一步掌握 SAST 技术。...

💡 如何在流水线中集成与应用 DAST ？近日，在「DevSecOps软件安全开发实践」课程上，极狐(GitLab) 前端工程师钱堃、极狐(GitLab) 高级后端工程师张林杰，展开了关于 DAST 的概念、必要性、优缺点的内容分享，并结合实操演示，帮助大家进一步掌握 DAST 技术。以下内容整理自本次直播，你也可以点击👉观看视频回放或下载 PP...

近日，极小狐和 TA 的朋友们相聚上海，开展了一场技术 Meetup，从 DevSecOps 的 What、Why、How 出发，通过分享真实应用案例，与参会者交流 DevSecOps 的实践过程和落地经验。本文整理自极狐(GitLab) 资深云原生架构师郭旭东在会上分享的内容，从 Dev 视角和 Ops 视角聊了聊企业引入 DevSecOps 能解决什么问题，并基于极...