极狐GitLab 16.0 重点功能解读，更多 DevOps功能等你来体验【五】

本文主要是介绍极狐GitLab 16.0 重点功能解读，更多 DevOps功能等你来体验【五】，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

GitLab 是一个全球知名的一体化 DevOps 平台，很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab 是 GitLab 在中国的发行版，专门为中国程序员服务。可以一键式部署极狐GitLab。

更多关于极狐GitLab 或者 DevOps 的最佳实践，可以关注文末的极狐GitLab 公众号。

极狐GitLab 在去年 5 月份发布了 16.0 版本。此次发布带来了价值流仪表盘现在已经正式可用，还有远端开发工作区、更强劲的极狐GitLab SaaS Runner、注释模版等诸多功能。

使用 CI/CD 流水线导入 Maven/Gradle 包

	基础版	专业版	旗舰版
SaaS	Y	Y	Y
私有化部署	Y	Y	Y

您是否一直在考虑将 Maven 或 Gradle 存储库迁移到极狐GitLab，但无法投入时间来规划迁移？极狐GitLab 很自豪地宣布 MVC 推出 Maven/Gradle 软件包导入器。

现在，您可以使用包导入器工具从任何符合Maven/Gradle的注册表（如Artifactory）导入包。

要使用该工具，只需创建一个 config.yml 文件，其中包含要导入到极狐GitLab 中的包的详细信息。然后将导入程序添加到 .gitlab-ci.yml 流水线配置文件，其余部分由导入程序完成。它在流水线中运行，动态生成一个子流水线，其中包含将所有包导入极狐GitLab 包注册表的作业。

Browser-based DAST 性能改进

	基础版	专业版	旗舰版
SaaS			Y
私有化部署			Y

我们优化了Browser-based DAST 分析器执行扫描的方式。这些改进具有显着意义。

减少了使用Browser-based DAST分析器运行 DAST 扫描所需的时间。进行了以下改进：

添加了日志摘要统计信息，以帮助确定扫描期间花费的时间。这可以通过包含环境变量 DAST_BROWSER_LOG=”stat:debug” 来启用。
通过并行运行被动检查来优化被动检查。
通过缓存匹配 HTTP 响应正文中的内容时使用的正则表达式来优化被动检查。
优化了 DAST 确定页面是否已完成加载的方式。现在，我们不会等待排除的文档类型或超出范围的 URL。
减少了页面加载后 DOM 快速稳定的页面的等待时间。

通过这些改进，我们看到Browser-based DAST扫描时间减少了50%-80%，具体取决于正在扫描的应用程序。虽然并非所有扫描都可以看到此百分比下降，但Browser-based DAST 扫描现在完成所需的时间应该要少得多。

在 SAST 中更快、更轻松地进行 Scala 扫描

	基础版	专业版	旗舰版
SaaS	Y	Y	Y
私有化部署	Y	Y	Y

极狐GitLab 静态应用程序安全测试（SAST）现在提供基于 Semgrep 的 Scala 代码扫描。

这项工作建立在我们之前在极狐GitLab 14.10 中引入的基于 Semgrep 的 Java 扫描的基础上。

与我们已经过渡到基于 Semgrep 扫描的其他语言一样，Scala 扫描覆盖率使用极狐GitLab 管理的检测规则来检测各种安全问题。

新的基于Semgrep的扫描运行速度明显快于基于SpotBugs的现有分析器。它也不需要在扫描前编译您的代码，因此使用起来更简单。

极狐GitLab 的静态分析和漏洞研究团队共同努力，将规则转换为 Semgrep 格式，保留了大多数现有规则。我们还在转换规则时对其进行了更新、优化和测试。

如果您使用极狐GitLab 管理的 SAST 模板（SAST.gitlab-ci.yml），则基于 Semgrep 和基于 SpotBugs 的分析器现在只要找到 Scala 代码就会运行。在极狐GitLab 旗舰版中，安全仪表板结合了来自两个分析器的结果，因此您不会看到重复的漏洞报告。

在未来的版本中，我们将更改极狐GitLab 管理的 SAST 模板（SAST.gitlab-ci.yml），以便仅运行基于 Semgrep 的 Scala 代码分析器。基于 SpotBugs 的分析器仍将扫描其他语言的代码，包括 Groovy 和 Kotlin。如果您只想使用基于 Semgrep 的扫描，则可以尽早禁用 SpotBugs。

如果您对基于 Semgrep 的新 Scala 扫描有任何疑问、反馈或问题，请提交问题，我们很乐意为您提供帮助。