GitLab 17.8 发布总结

GitLab 近日发布了 17.8 版本，该版本带来了显著的安全增强、新的容器仓库功能、机器学习能力以及更好的部署跟踪功能。此次更新包含超过 60 项改进，GitLab 社区贡献了 121 项内容。

主要功能与改进

1. 安全增强

• 跨站脚本漏洞修复：在 17.8 版本及之前的 17.6 和 17.7 版本中发现了一个高优先级的跨站脚本漏洞（CVE-2025-0376），GitLab 建议用户升级到 17.8.2 版本以修复该漏洞。该漏洞允许攻击者通过更改页面执行未授权的操作。

2. 受保护的容器仓库

• 更严格的访问控制：引入了受保护的容器仓库功能，提供了更细粒度的权限控制，包括镜像的推送、拉取和管理操作。通过设置最低访问级别参数，用户可以控制哪些用户可以推送到仓库，从而降低未经授权访问敏感容器仓库的风险。
• 演示视频：在 GitLab 的 YouTube 频道上，开发者 Daniel Helfand 和 Fernando Diaz 展示了如何配置容器仓库的保护规则。Diaz 展示了如何设置最低访问级别为维护者，以确保只有具备维护者权限的用户才能修改受保护的容器镜像。

3. 机器学习功能

• MLflow 实验跟踪：机器学习模型实验跟踪功能现已正式推出，数据科学家可以直接在 GitLab 中记录 MLflow 实验的参数、指标和工件，提高了实验的可重复性。
• GitLab MLOps Python 客户端：新的 Python 客户端目前处于测试阶段，允许用户通过 Python 脚本和笔记本与 GitLab 的 MLOps 功能（如实验跟踪和模型注册表集成）进行交互，减少了上下文切换的需求。

4. 部署跟踪

• 发布页面改进：发布页面现在可以跟踪发布部署的位置以及哪些环境仍在等待部署，将这些信息从之前分散的来源整合在一起。

5. 其他改进

• VS Code 中的 SAST 扫描：作为实验性功能，GitLab Ultimate 用户现在可以在 VS Code 中进行本地 SAST 扫描，帮助开发者在提交或推送代码之前发现安全漏洞。
• macOS 大容量 M2 Pro 托管运行器：目前处于测试阶段，为开发苹果生态系统应用程序的团队提供了比 M1 运行器高达两倍的性能。
• GitLab Dedicated 的托管 Linux 运行器：GitLab Dedicated 用户现在可以有限地使用托管 Linux 运行器，消除了维护独立运行器基础设施的需求。

6. 合规与安全改进

• 合并请求审批策略：支持多个不同的审批操作，每个策略最多可以创建五个审批规则，包括需要来自不同角色或组的特定组合的复杂工作流。
• 漏洞管理改进：在问题中添加了解决漏洞的提交链接。

7. 工作流改进

• 多任务跟踪：可以在问题或合并请求中跟踪多个待办事项。
• 史诗功能增强：包括管理、时间跟踪、健康状态和新的史诗 Webhook。
• 修复密钥泄露的步骤：提供了修复密钥泄露的步骤。
• 角色定义项目成员：现在可以使用角色来定义代码所有者中的项目成员。

总结

GitLab 17.8 版本带来了多项功能改进和安全增强，特别是在容器仓库保护、机器学习实验跟踪、部署跟踪和合规性方面。尽管存在一个高优先级的跨站脚本漏洞，但 GitLab 已迅速发布了修复版本 17.8.2，建议用户尽快升级以确保安全。

GitLab 17.8 现已正式发布。