Versionsverwaltung: GitLab 15.7 bringt CLI und Browser-basierte Security-Tests

Inhaltsverzeichnis

Noch kurz vor Weihnachten haben die Macher hinter GitLab das Release 15.7 ihrer Software der Öffentlichkeit vorgestellt. Sie bringt eine neue Version der Kommandozeile, die allgemeine Verfügbarkeit von browserbasiertem DAST (Dynamic Application Security Testing), die Unterstützung für GitOps-Bereitstellungen außerhalb des Standardzweigs und eine ganze Reihe weiterer Verbesserungen.

Neue Kommandozeile als Rückgrat für Skripte und Arbeitsabläufe

Erst im November ist die Version 15.6 von GitLab erschienen, die unter anderem den Sonderzeichen-Support in CI/CD-Variablen brachte. In einem aktuellen Blog-Eintrag betont das GitLab-Team nun um Dezember, dass die Kommandozeile eines der wichtigsten Werkzeuge im Werkzeugkasten eines Softwareingenieurs ist und präsentiert die neue CLI. Sie ermöglicht Entwicklerinnen und Entwicklern, ihre Kommandozeile mit Stilen anzupassen und sie auch durch Anwendungen zu erweitern, um die Ausführung von Aufgaben leichter zu machen.

Deshalb wurde das Open-Source-Projekt glab übernommen, das jetzt die Grundlage der nativen CLI von GitLab bildet. So soll die Befehlszeilenschnittstelle GitLab mit Git und dem Code der Entwickler zusammenarbeiten können, ohne dass diese dazu die Anwendung oder die Registerkarte wechseln müssen. In einem weiteren Blogbeitrag können Interessierte mehr über die Übernahme von glab lesen, sowie über die Partnerschaft mit 1Password und wie sie zum Projekt beitragen können. Die Verbesserungen und Erweiterungen der CLI stehen sowohl in der freien Variante von GitLab als auch in den kommerziellen Versionen Premium und Ultimate zur Verfügung. Das gilt für die SaaS- und auch für die Self-Managed-Varianten der Software.

Browser-basiertes DAST allgemein verfügbar

Nachdem das proprietäre browserbasierte DAST-Analyseprogramm seit GitLab 13.2 in der Betaversion verfügbar war, hat das Entwicklerteam es nun in GitLab 15.7 zur allgemeinen Verfügbarkeit freigegeben. Der neue Analyzer wurde vollständig intern entwickelt und nutzt einen Browser, um Webanwendungen zu authentifizieren, zu crawlen und auf Schwachstellen zu prüfen. Herkömmliche DAST-Analysatoren verwenden einen proxy-basierten Ansatz, um Anfragen abzufangen und sie auf Schwachstellen zu analysieren.

Mit dem browserbasierten Ansatz sind die GitLab-Entwicklerinnen jetzt dazu in der Lage, JavaScript direkt im Browser auszuführen, wie es ein Benutzer tun würde, um sicherzustellen, dass Ihre gesamte Anwendung auf Schwachstellen gescannt wird. Mit dem neuen Analysator sollen mehr Seiten einer Anwendung abdeckt und die Anzahl der gemeldeten Fehlalarme reduziert werden.

Aktuell wird das Team den in der Vorlage DAST.gitlab-ci.yml verwendete Standard-Analyzer nicht auf den browserbasierten Analyzer umstellen, damit die Benutzer die Umstellung manuell vornehmen und selbst testen können. Sie planen jedoch, den Analyzer “irgendwann in der Zukunft“ als Standard für alle DAST-Scans zu verwenden. DAST steht ausschließlich in der Self-Managed Ultimate-Ausprägung der Software zur Verfügung.

Web-IDE Beta und Remote-Entwicklung

Auch die Verfügbarkeit der Web-IDE Beta-Version kann das GitLab-Team mit diesem letzten Release des Jahres 2022 ankündigen.

Dabei handelt es sich um einen Web-Editor, der auf Visual Studio Code basiert und neue Funktionen, eine flexiblere und vertraute Benutzeroberfläche sowie die Möglichkeit bietet, eine direkte Verbindung zu einer Remote-Entwicklungsumgebung herzustellen. In Verbindung mit einer Cloud-Laufzeitumgebung soll die Web-IDE Beta fortschrittlichere Entwicklungsworkflows in Echtzeit ermöglichen.

Der Zugriff auf diesen Editor ist in selbstverwalteten Instanzen erst möglich, wenn ein in GitLab 15.7 standardmäßig deaktivierter Feature-Flag aktiviert wird. Auch für den neuen Editor steht ein ausführlicher Blogeintrag bereit, der sich mit den Möglichkeiten des Werkzeugs beschäftigt. Weitere Informationen zu Details und Neuerungen in GitLab 15.7 finden sich in einem umfangreichen Blogeintrag. Das neue CLI und die Web-IDE stehen allen Usern offen, während der Browser-basierte erweiterte DAST-Analyzer nur in der Ultimate-Variante für die Installation im Rechenzentrum enthalten ist.

(fms)