GitLab 15.1 hilft DevOps-Teams beim Absichern der Software Supply Chain
Eine neue Version von GitLab liegt vor. Der GitLab Runner bescheinigt neuerdings SLSA-2-konform die Build-Herkunftsdaten der Artefakte.
Mit dem frisch vorgelegten Update GitLab 15.1 knüpfen die Macher hinter der Versionsverwaltungsplattform an wichtige Neuerungen in den Bereichen Security, Compliance und Observability an, die sie DevOps-Teams bereits mit dem letzten Major Release GitLab 15 bereitgestellt hatten. Nun folgen weitere Maßnahmen bei der Absicherung der Software Supply Chain und ergänzende Metriken für die Überwachung der Continuous Delivery Pipelines.
Den Wertestrom im Blick behalten
Um Entwicklungsteams aussagekräftige Einblicke in ihre DevOps-Prozesse zu verschaffen, vertraut GitLab bereits seit Version 14 auf ausgewählte Metriken der DevOps-Research-and-Assessment (DORA)-Gruppe. In GitLab 15.1 fließen vier neue Metriken in das Dashboard für die Value-Stream-Analyse (Wertstromanalyse) ein.
Mit denen lassen sich unter anderem die Team-Performance als auch der Wertefluss von der Idee bis zur Lieferung des fertigen Produkts (der Anwendung) an die Kunden nachverfolgen. Darüber hinaus können DevOps-Teams anhand eines weiteren Trenddiagramms auf Basis der Metrik "Time to restore service" Rückschlüsse auf die Stabilität und Zuverlässigkeit ihrer Software ziehen. Die neuen Funktionen sind jedoch Nutzerinnen und Nutzern der Premium- und Ultimate-Versionen von GitLab vorbehalten.
Die Sicherheit der Software Supply Chain gewährleisten
Während Unternehmen sich zunehmenden Attacken auf ihre Lieferketten ausgesetzt sehen, bemüht sich GitLab, noch stärker zur Absicherung der Software Supply Chain beizutragen. Neben dem in Version 15 eingeführten automatisierten Erstellen von Software Bill of Materials (SBOM) sowie erweiterten Security-Techniken für das statische (SAST) und dynamische (DAST) Testen der Applikationssicherheit, rüstet das neue Release den GitLab Runner 15.1 für das von Google initiierte Security-Framework Supply-Chain Levels for Software Artifacts (SLSA; sprich: Salsa). Der Runner kann ab sofort SLSA-2 konforme Bescheinigungsmetadaten für Build-Artefakte erzeugen sobald diese Funktion mit RUNNER_GENERATE_ARTIFACTS_METADATA = "true"
in der Datei .gitlab-ci.yml aktiviert wurde.
Sofern die betreffenden Artefakte in einem Repository gespeichert sind, lassen sich die Metadaten ebenfalls dort hinterlegen. Ansonsten müssen sie in einer .json-Datei als Text gespeichert werden. Anhand der vom GitLab Runner gelieferten Informationen soll sich künftig einfacher prüfen lassen, ob die Build-Artefakte möglicherweise manipuliert wurden.
Weitere Details und Neuerungen wie die Synchronisierung von SAML Groups auch fĂĽr selbst gehostete GitLab-Instanzen und detailliertere Einblicke in CI/CD-Konfigurationen innerhalb des Pipeline-Editors finden sich in der AnkĂĽndigung zu GitLab 15.1.
(map)