GitLab 14.3专注强化安全性加入新一代SAST引擎

GitLab新版14.3来了，这个版本的重点更新项目，都为安全性功能，诸如专案层级的安全性扫描执行政策、新一代SAST引擎，以及GitLab Kubernetes代理群组权限等。

GitLab 14.3在安全政策上往前跨了一步，加入专案层级的DAST，以及秘密扫描执行政策，现在用户可以要求定期执行DAST和秘密扫描，或是使其成为持续整合工作管线的一部分，并且独立于.gitlab-ci.yml档案内容，官方提到，这允许安全团队单独管理扫描要求，且不让开发者变更这些配置。

GitLab 14.3还新增新一代SAST引擎，GitLab的SAST功能综合了十多个开源静态安全分析器，每个月都会在GitLab上，主动找出数百万个漏洞，这些分析器使用各种不同的方法辨识漏洞，从基本的正规表示式，到抽象语法树解析，但这些方法可能会产生伪阳性的问题，过去GitLab的安全工具，提供漏洞指纹比对功能，让用户能够消除这些误报。

现在官方在GitLab 14.3加入的安全性更新，是由GitLab静态分析和漏洞研究小组，所建置和维护的专有静态应用程序安全测试引擎，在目前初始阶段，该SAST工具仅针对Ruby和Rails的程式码，能够减少误报。

官方提到，他们以多年维护GitLab SAST安全工具的经验，以及先进的程序分析技术，打造这个新的SAST引擎，该引擎使用资料和控制流程分析，以及可用于侦测漏洞和误报的模式撷取语言，且该引擎还提供了一个框架，能够方便整合不同类型的安全测试，并让测试执行更加智慧。GitLab会继续扩展这个引擎，并且增加语言覆盖范围和检测功能。

而GitLab为了要让开发人员和营运人员的环境配置不会相互干扰，推出了群组层级权限受保护环境，官方解释，在大型企业中，开发人员和营运人员有明确的权限边界，开发人员会在开发环境等层级较低的环境，部署和测试应用程序，营运人员则会在生产环境中操作，要在包含数千个专案的单个群组，正确配置所有专案的受保护环境，并非一件简单的事。

因此在GitLab 14.3中，官方添加了以部署层作为标示符号的群组受保护环境，让营运人员可以将应用程序，正确地部署到生产环境中，且不会干扰专案开发人员工作。

另外，GitLab还提供Kubernetes代理和Kubernetes丛集间的安全连接功能，在14.2版本之前，CI/CD通道仅允许，将已经在Kubernetes代理注册的专案推送到丛集中，而在14.3中，代理可以被授权存取整个群组，也就是说，经授权群组下的每一个专案，都能够存取丛集，而不需要对每个专案个别进行注册。