GitLab 14.5免费提供基础设施即程式码安全扫描

GitLab推出最新的14.5版本，这个版本的亮点在于增加了对基础设施即程式码（Infrastructure as Code，IaC）档案进行扫描，透过更主动的扫描行动，进一步增加了用户的安全。另外，其他更新还有群组层级的合并请求批准配置，以及GitLab Free计划现在也可以使用Kubernetes代理。

在Gitlab 14.5中，官方加入对基础设施即程式码配置档案的安全扫描功能，与Gitlab的SAST扫描器一样，所有用户都能够免费使用该功能，官方希望在基础设施即程式码兴起的当前，能够鼓励程式开发安全实践。

这个初始的基础设施即程式码扫描器，支援Terraform、Ansible、AWS CloudFormation和Kubernetes的配置档案，并且以开源KICS（Keeping Infrastructure as Code Secure）专案作为基础。

这个新的扫描器加入了Gitlab现有的Kubernetes清单SAST扫描器，当用户原本就熟悉GitLab SAST，那使用起来就会更简单上手，因为基础设施即程式码扫描的持续整合配置，跟SAST的完全相同，并且支援相同的功能，包括独立的基础设施即程式码持续整合配置档案，以及安全配置页面上的启用工具，还有所有针对Ultimate层级用户，所提供的漏洞管理功能，像是安全仪表板和合并请求小工具。

而这个基础设施即程式码扫描器的设计，也非常易于扩充，除了官方提供的扫描器，用户也可以使用其他扫描器来扩充基础设施即程式码安全扫描。

而群组层级的合并请求批准配置功能的更新，则是Gitlab现在让用户可以在群组层级，定义和强制执行合并请求批准配置的数值，这些数值将会被其他群组中的专案所使用。

官方提到，群组层级的合并请求批准功能，让组织可以更轻松地确保团队间的职责分离，用户现在只需要在一个位置指定配置，就能更新和监控每个专案，其具体好处有二，除了专案可以使用一致的职责分离流程之外，还能不需要手动检查每个专案，是否完成配置修改。

在这个版本，官方向Free层级开放更多的功能，过去GitLab Kubernetes代理仅提供给Premium层级使用者，而现在官方将GitLab Kubernetes代理和CI/CD Tunnel等核心功能，下放给Free层级用户。

透过GitLab Kubernetes代理连接Kubernetes丛集，能够简化丛集应用程序的配置，并实现丛集安全GitOps的部署，官方提到，他们希望借由开源功能，吸引更多没有专门基础设施团队，或是对丛集管理有强烈需求的用户。