GitLab 14.3專注強化安全性加入新一代SAST引擎

GitLab新版14.3來了，這個版本的重點更新項目，都為安全性功能，諸如專案層級的安全性掃描執行政策、新一代SAST引擎，以及GitLab Kubernetes代理群組權限等。

GitLab 14.3在安全政策上往前跨了一步，加入專案層級的DAST，以及秘密掃描執行政策，現在用戶可以要求定期執行DAST和秘密掃描，或是使其成為持續整合工作管線的一部分，並且獨立於.gitlab-ci.yml檔案內容，官方提到，這允許安全團隊單獨管理掃描要求，且不讓開發者變更這些配置。

GitLab 14.3還新增新一代SAST引擎，GitLab的SAST功能綜合了十多個開源靜態安全分析器，每個月都會在GitLab上，主動找出數百萬個漏洞，這些分析器使用各種不同的方法辨識漏洞，從基本的正規表示式，到抽象語法樹解析，但這些方法可能會產生偽陽性的問題，過去GitLab的安全工具，提供漏洞指紋比對功能，讓用戶能夠消除這些誤報。

現在官方在GitLab 14.3加入的安全性更新，是由GitLab靜態分析和漏洞研究小組，所建置和維護的專有靜態應用程式安全測試引擎，在目前初始階段，該SAST工具僅針對Ruby和Rails的程式碼，能夠減少誤報。

官方提到，他們以多年維護GitLab SAST安全工具的經驗，以及先進的程序分析技術，打造這個新的SAST引擎，該引擎使用資料和控制流程分析，以及可用於偵測漏洞和誤報的模式擷取語言，且該引擎還提供了一個框架，能夠方便整合不同類型的安全測試，並讓測試執行更加智慧。GitLab會繼續擴展這個引擎，並且增加語言覆蓋範圍和檢測功能。

而GitLab為了要讓開發人員和營運人員的環境配置不會相互干擾，推出了群組層級權限受保護環境，官方解釋，在大型企業中，開發人員和營運人員有明確的權限邊界，開發人員會在開發環境等層級較低的環境，部署和測試應用程式，營運人員則會在生產環境中操作，要在包含數千個專案的單個群組，正確配置所有專案的受保護環境，並非一件簡單的事。

因此在GitLab 14.3中，官方添加了以部署層作為標示符號的群組受保護環境，讓營運人員可以將應用程式，正確地部署到生產環境中，且不會干擾專案開發人員工作。

另外，GitLab還提供Kubernetes代理和Kubernetes叢集間的安全連接功能，在14.2版本之前，CI/CD通道僅允許，將已經在Kubernetes代理註冊的專案推送到叢集中，而在14.3中，代理可以被授權存取整個群組，也就是說，經授權群組下的每一個專案，都能夠存取叢集，而不需要對每個專案個別進行註冊。