GitLab 11.9 hilft gegen versehentliches Veröffentlichen von Credentials
Die sogenannte Secret Detection sucht nach schützenswerten Informationen wie Passwörtern, ist aber nur in der teuersten Variante enthalten.
- Rainald Menge-Sonnentag
Die Macher von GitLab haben Version 11.9 der Versionsverwaltung veröffentlicht. Die Neuerungen zielen zum Großteil auf die kommerziellen Angebote, die neuen Sicherheitsfunktionen sind auf die Ultimate- beziehungsweise Gold-Variante beschränkt. Nutzer der freien Core- beziehungsweise Free-Version finden einige kleinere Neuerungen wie Projektvorlagen für .NET, Go, iOS und Pages.
Außerdem ist die in Version 10.6 eingeführte Anbindung an Slack nun Bestandteil des Kernpakets von GitLab. Während das zugehörige Paket mit dem Namen ChatOps seinerzeit den Nutzern der Ultimate-Variante vorbehalten war, ist es nun Bestandteil des quelloffenen Core-Pakets und damit für alle Anwender verfügbar.
Geheimnisse kommen hier nicht raus!
GitLab 11.9 erweitert das Static Application Security Testing (SAST) um die sogenannten Secret Detection. Damit können Teams ihre Repositories nach geheim zu haltenden Informationen wie Passwörter, SSH- oder API-Keys durchsuchen, um das versehentliche Veröffentlichen von Credentials beim Commit zu verhindern. Wer bereits mit SAST arbeitet, findet die Funktion in der Auto-DevOps-Standardkonfiguration aktiviert.
(Bild: GitLab)
Eine weitere Neuerung betrifft den Zustimmungsprozess für Merge-Anfragen. Die Merge Request Approval Rules waren bereits testweise im Vorgänger enthalten, aber noch standardmäßig deaktiviert. In GitLab 11.9 sind sie ab der Premium- beziehungsweise Silver-Variante enthalten und per Default aktiviert. Teams können damit festlegen, wer am Approval-Prozess beteiligt ist und wie viele Zustimmung nötig sind, damit ein Merge Request durchgeht. Die jeweiligen Code Owner sind in die Approval Rules integriert, um die Zuständigen für den Zustimmungsprozess einfacher bestimmen zu können.
Neue Security-Funktionen
Neben der Secret Detection erweitern die GitLab-Macher die teuersten Editionen um einige weitere Security-Funktionen. Unter anderem zeigt das Group-Security-Dashboard neuerdings die Ergebnisse von Container-Scans an. Außerdem ist der Prozess für den schnellen Merge als Antwort auf Schwachstellen vereinfacht. Schließlich gibt es Vorlagen wie sast und dependency_scanning für standardmäßige Security-Aufgaben, die Teams in ihren Continuous-Integration-Prozess einbinden können.
Weitere Details zu GitLab 11.9 lassen sich der offiziellen Ankündigung entnehmen. GitLab ist sowohl als Software as a Service (SaaS) auf GitLab.com als auch für den Einsatz im Rechenzentrum verfügbar. Beide Optionen kennen jeweils eine freie Variante und darüber hinaus drei unterschiedliche kommerzielle Pakete. (rme)
