git發布版本

Ⅰ 極狐GitLab 16.10 版本正式發布，多項 DevOps 功能更新

極狐GitLab 16.10 正式發布，帶來多項 DevOps 功能更新。以下為本次版本發布的重要功能更新詳情：

1. 語義版本控制：在 CI/CD 目錄中，組件發布遵循 3 位數字的語義版本控制標准。使用 include:component 和 ~latest 時需特別小心，以避免引入破壞性變更。

2. Wiki 模板：新增多種 Wiki 模板，簡化頁面創建和更新，確保知識庫的一致性和清晰性。

3. CI 流量導流：可將 CI runner 流量導流至 Geo 輔節點，優化流量分配，減輕主節點負載，提升研發體驗。

4. 自定義負載模板：webhook 配置支持自定義負載模板，減少接收端理解復雜度，便於集成極狐GitLab 的應用程序或自定義接收端。

5. 快速操作迭代議題：/iteration 快速操作新增 --current 和 --next 參數，簡化議題指派至當前或下一個迭代流程。

6. 貢獻者計算指標：價值流儀表盤引入貢獻者計算指標，幫助軟體研發負責人洞察團隊效率和穩定性。

7. 合並請求文件折疊：默認折疊合並請求中的特定文件類型，優化審核流程，集中關注研發產生的變更。

8. 極狐GitLab Runner 16.10 發布：集成輕量級、高擴展的代理，運行 CI/CD 作業並將結果回傳至極狐GitLab 實例。

9. 環境詳情頁面改進：優化環境詳情頁面，提供部署和連接 Kubernetes 集群的最新信息。

10. 持續漏洞掃描默認啟用：簡化容器掃描過程，提供默認的漏洞掃描功能。

11. DAST 分析器性能提升：優化基於代理和瀏覽器的 DAST 分析器性能，增強安全檢測。

12. 審計事件的 scope 屬性：新增屬性用於標識事件來源，提高審計事件解析和文檔化效率。

13. 自定義服務賬號名稱：允許自定義服務賬號用戶名和顯示名稱，便於區分和理解服務目的。

14. 新增自定義角色許可權：提供自定義角色創建功能，減少所有者數量，實現細粒度角色定義。

15. 登錄頁面更新：改進登錄體驗，修復問題，支持暗黑模式和 cookie 設置管理。

16. 合並請求流水線審批策略比較：增強審批策略邏輯與安全 MR 小部件的一致性，優化審批流程。

17. Helm Chart 改進：移除對較舊 Kubernetes 版本的支持，確保與官方發布的正式版本兼容。

18. 被阻塞用戶排除在跟隨者列表外：隱藏被阻塞用戶的跟隨者列表顯示，提高列表清晰度。

19. GraphQL 企業用戶篩選：通過 GraphQL 對群組成員按企業用戶進行篩選。

20. 價值流分析繼承過濾器：改進過濾器繼承，提高數據分析的無縫性和准確性。

21. 域名級重定向支持：新增極狐GitLab Pages 的域名級重定向功能。

22. 合並小部件擴展檢查：提供完整視角，合並阻塞點信息，簡化審核流程。

23. 容器鏡像倉庫 API 改進：引入全新 API，提高性能，支持精確的發布時間戳和多架構鏡像。

24. Kubernetes 儀表盤刷新功能：手動刷新 Kubernetes 儀表盤數據，確保實時獲取集群信息。

25. 服務桌面工單創建：通過 UI 和 API 方式創建服務桌面工單，簡化問題報告流程。

26. sbt 支持改進：優化 sbt 依賴項掃描機制，僅適用於使用 1.7.2 及以上版本的項目。

27. 審計事件記錄：記錄用戶角色分配事件，幫助跟蹤許可權變更。

28. 認證速率限制錯誤信息改進：提供更具描述性的錯誤消息，幫助識別認證速率限制問題。

29. 掃描結果策略更名：策略名稱更新為「合並請求批准策略」，增強策略覆蓋和審核能力。

30. 智能卡 Active Directory LDAP 支持：支持智能卡身份驗證與 Entra ID（Azure Active Directory）同步。

31. 雙向 TLS 支持：webhook 配置支持雙向 TLS，增強安全性。

32. Patroni 主版本升級：引入 Patroni 版本 3.0.1，需進行停機升級。

33. Alertmanager 版本更新：包含 Alertmanager 版本 0.27，注意棄用 API v1。

34. Mattermost 安全更新：Mattermost 9.5 包含安全更新，MySQL 5.7 支持已被棄用。

35. 項目刪除功能更新：項目列表中識別刪除項目更便捷，顯示掛起刪除徽章和告警信息。

Ⅱ GitLab安全發布：12.9.1、12.8.8 和 12.7.8

GitLab 安全發布了三個關鍵版本：12.9.1、12.8.8 和 12.7.8，這些版本針對社區版 (CE) 和企業版 (EE) 都包含重要的安全修復。強烈建議所有用戶盡快將安裝升級至其中之一，以確保系統安全。

以下是涉及的主要安全問題和修復：

1. 移動問題讀取本地文件: 12.9.1中修復了可讀取任意文件的問題，影響了8.5及更高版本，現在已緩解並分配了CVE-2020-10977。


2. NPM包注冊表路徑遍歷: 11.7及以上版本存在漏洞，已修復，分配了CVE-2020-10953。


3. 項目導入中的SSRF問題: 8.10及以上版本，現在解決並分配了CVE-2020-10956。


4. 外部用戶創建個人代碼段: 12.6及以上版本，通過API未經授權的訪問已修復，分配了CVE-2020-12275。


5. 維護者修改其他觸發器: 9.0及以上版本，許可權問題已解決，分配了CVE-2020-10981。


6. 私有項目命名空間信息泄露: 8.11及以上版本，Web-UI和GraphQL API中的隱私問題修復，分配了CVE-2020-10978。


7. 存儲庫歸檔中的DoS下載: 所有版本，資源消耗問題已緩解，分配了CVE-2020-10954。


8. 阻止用戶拉取/推送Docker映像: 8.11及以上版本，通過API的漏洞已修復，分配了CVE-2020-10952。


9. 未啟用功能時鏡像功能: 10.8及以上版本，不再允許未經授權的鏡像操作，分配了CVE-2020-12277。


10. 漏洞反饋頁面信息泄露: 10.8及以上版本，元數據和評論泄露已修復，分配了CVE-2020-10975。


11. 管理員通知中的XSS漏洞: 9.5.9及以上版本，存儲的XSS問題已解決，分配了CVE-2020-12276。


12. 上傳功能的安全風險: 11.1及以上版本，文件夾內容暴露已修復，分配了CVE-2020-10955。


13. CI指標可見性: 11.10及以上版本，受限指標可見性問題已修正，分配了CVE-2020-10979。


14. 合並請求狀態泄露: 8.17及以上版本，通過MR構件查詢的漏洞已解決，分配了CVE-2020-10976。


15. FogBugz集成中的盲SSRF: 8.0及以上版本，已修復，分配了CVE-2020-10980。


16. 依賴項更新: 所有版本，Nokogiri和pcre2依賴項已升級，包含安全補丁。


17. 新SSH密鑰添加問題: 隻影響12.9.0，現已修復，升級到12.9.1或更高版本。


18. 新功能增強: 12.9.1版引入了強大的Log Explorer，用於日誌管理，以及NuGet支持C#/.NET應用，單級Epics功能，問題管理增強，WIP限制和自動停止環境設置。


19. 審查應用程序自動掃描: 12.8版本開始，自動掃描可訪問性問題，支持下載報告。


20. 安全和合規性儀錶板: ULTIMATE版本提供了實例級的安全漏洞視圖和合規性管理功能。

對於上述所有問題，我們強烈推薦用戶立即升級到最新版本，以確保系統的安全性。