沿袭我们的月度发布传统,极狐GitLab 发布了 18.4 版本。本次更新带来了终端用户模型切换、CI/CD 作业令牌支持 Git Push 操作、Pipeline 分支模拟运行、容器扫描性能优化,以及更多重要特性。
此版为企业客户提供了更灵活、更安全的 DevSecOps 流水线控制能力。
关于极狐GitLab 的安装升级,可以查看官方指导文档
版本信息
容器镜像
- 18.4.0 容器镜像
registry.gitlab.cn/omnibus/gitlab-jh:18.4.0-jh.0
- 18.4.0 Helm Chart
helm search repo gitlab-jh
NAME CHART VERSION APP VERSION
gitlab-jh/gitlab 9.4.0 v18.4.0
gitlab-jh/gitlab-runner 0.81.0 18.4.0
CI/CD 作业令牌支持 Git Push 操作
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
现在,你可以允许项目中生成的 CI/CD 作业令牌(Job Token) 用于对该项目仓库执行 Git Push 操作的身份验证。
可以通过 界面中的「Job Token 权限设置(Job token permissions)」 启用此功能,
或者在项目的 REST API 接口 中使用参数 ci_push_repository_for_job_token_allowed 来开启。
Pipeline 编辑器支持分支模拟执行
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
此前,在使用流水线编辑器并通过 “验证(Validate)” 选项卡校验配置时,你只能在默认分支上运行模拟。
在本次版本中,这一能力得到了扩展 —— 现在你可以选择任意分支来进行流水线模拟。
这一改进让你在测试与验证流水线时具备更高的灵活性,
可以确保它们在不同场景(例如稳定分支或功能分支)下都能按预期正常运行。
极狐 GitLab 18.4 其他改进
从议题页面自定义议题查看方式
Configure how to view issues from the Issues page
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
现在,你可以完全自定义议题(Issue)列表页的展示方式 —— 选择显示哪些元数据,以及是否在抽屉中打开工作项,从而聚焦于最重要的信息。
过去,所有元数据字段都会始终显示,容易造成信息拥挤。 现在你可以开启或关闭指定字段,例如:负责人、标签、日期和里程碑。
此外,新增的切换按钮可在“抽屉视图”和“完整页面”之间自由切换。 这样你可以在保持列表上下文的同时快速查看详情,或在需要更大编辑空间时切换至全屏模式。
议题看板现在显示完整的史诗层级
(Issue boards now show complete epic hierarchies)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
当在议题看板中按父史诗进行过滤时, 现在你可以查看该史诗及其所有子史诗下的所有议题。 这一改进与议题页面的行为保持一致,有助于你完整地追踪和可视化史诗层级结构, 避免遗漏子史诗中的议题,使项目管理更高效、更可靠。
重新分配占位符时可绕过企业用户确认
(Bypass confirmation for enterprise users when reassigning placeholders)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | |
| 私有化部署 |
具有群组 Owner 权限的用户,现在在将占位符用户重新分配给群组内的活跃企业用户时, 可以直接绕过用户确认环节。 这样企业用户无需频繁检查邮箱来手动确认分配操作。
在设定的时间限制到期后,系统仍会对新分配操作重新发送确认请求。 重新分配完成后,相关企业用户仍会收到通知邮件,以确保整个流程透明可追溯。
通过 CI/CD 模板将 OpenTofu 模块和提供者发布到容器镜像仓库
(Publish OpenTofu modules and providers to the GitLab container registry with CI/CD templates)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
GitLab 容器镜像仓库现已支持托管 OpenTofu 模块与提供者 的媒体类型。
-
OpenTofu 组件 3.1.0 版本 新增
provider-release模板,可使用 OCI 格式将 OpenTofu 提供者发布到仓库。 -
同时,
module-release模板也新增了type=oci参数,用于将模块以 OCI 格式发布。
你现在可以直接在 GitLab 中托管私有的 OpenTofu 模块与提供者。
流水线密钥检测默认排除部分文件与目录
(Pipeline secret detection now excludes certain files and directories by default)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
流水线的密钥检测功能现在会自动排除部分低风险文件类型与目录, 这些位置通常不包含密钥,从而提升扫描性能。 此改进自分析器版本 7.11.0 起生效。
高级 SAST 扫描速度显著提升
(Significantly faster Advanced SAST scanning)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
我们持续优化 Advanced SAST 的性能。 本次改进通过在性能敏感环节引入缓存机制, 在测试中扫描时间可缩短高达 78%,特别是在大型仓库中效果明显。
此优化默认启用于 Advanced SAST 分析器 2.9.6 及更高版本。 可通过作业日志查看当前使用的分析器版本。
增强作业产物下载权限控制
(Enhanced controls for who can download job artifacts)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
继 GitLab 16.11 中引入 artifacts:access 关键字后, 本次版本进一步扩展了权限粒度。
你现在可以将产物下载权限仅限于 Maintainer 或更高角色, 为敏感制品的访问提供更严格的安全控制。
增强史诗与议题列表的父级过滤功能
(Enhanced parent filtering for epic and issue lists)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
我们用更灵活的 “父项(Parent)”过滤器 替代了原先的 “史诗(Epic)” 过滤器。 你现在可以按任意父工作项进行筛选,而不仅限于史诗。
这意味着你可以:
-
按父议题过滤,快速查找其下的子任务;
-
按父史诗过滤,查看所有关联议题。
此改进显著增强了跨层级工作项的可视化与追踪能力。
文本编辑器工具栏一致性
(Text editors toolbar parity)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
GitLab 的纯文本编辑器现已具备与富文本编辑器一致的格式化功能。 新增 “更多选项(More options)” 菜单,可使用以下高级格式:
-
代码块(Code block)
-
折叠块(Details block)
-
水平分割线(Horizontal rule)
-
Mermaid 图表
-
PlantUML 图表
-
目录(Table of contents)
两种编辑器的按钮布局与分隔符现已统一, 切换编辑模式时可无缝访问相同的格式选项。
极狐 GitLab Runner 18.4
(GitLab Runner 18.4)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
我们同步发布了 极狐 GitLab Runner 18.4。 Runner 是高扩展性的构建代理,用于执行 CI/CD 作业并将结果反馈至极狐 GitLab 实例。
修复的缺陷包括:
-
FIPS Runner 无法在 18.2.1 启动作业;
-
OpenShift 4.16.27 环境中 Operator v1.37.0 升级后
chown命令失败; -
文件系统权限错误导致作业失败;
-
启用
FF_USE_FASTZIP无效; -
Spot 实例停止时报错;
-
Helm Chart 升级导致变量异常等。
完整变更列表请参阅 GitLab Runner CHANGELOG。
容器扫描严重性阈值配置
(Operational Container Scanning severity threshold configuration)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
现在你可以为 容器运行时扫描(OCS) 设置严重性阈值。 设置后,低于指定等级的漏洞将不会出现在漏洞报告、API 输出及其他报告机制中。 此功能有助于聚焦关键漏洞并简化修复流程。
在 OCS 配置中设置 severity_threshold 即可启用过滤功能。
密钥检测分析器的 Git 拉取优化
(Secret detection analyzer Git fetching improvements)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | Y | Y |
| 私有化部署 | Y | Y | Y |
密钥检测分析器 7.12.0 对 Git 提交的获取方式进行了重大优化。 支持解析 SECRET_DETECTION_LOG_OPTIONS 中的 --depth 和 --since 参数, 并根据上下文自动选择最佳拉取策略,避免不必要的深度拉取。
此改进可显著减少作业超时、降低资源消耗,并提供更稳定的扫描性能。 在大型仓库中扫描速度显著提升,日志输出也更清晰。
漏洞详情中显示自动解决的流水线 ID
(Vulnerability details shows the auto-resolve pipeline ID)
| 基础版 | 专业版 | 旗舰版 | |
|---|---|---|---|
| SaaS | Y | ||
| 私有化部署 | Y |
在漏洞被自动解决后,如果再次被检测到, 你可以更方便地对比当前流水线与当时修复漏洞的流水线。
现在在漏洞详情页面中,会显示该漏洞被自动解决时对应的 流水线 ID, 帮助你快速定位与追踪修复历史。
升级至 GitLab 18.4 的重要注意事项
(Important notes on upgrading to GitLab 18.4)
GitLab Helm Chart 的默认配置依赖 Bitnami Chart 与其 PostgreSQL 和 Redis 的容器镜像。
Bitnami 将于 2025 年 9 月 29 日 从其免费镜像目录中下架这些镜像。
自 2025 年 8 月 28 日 起,Bitnami 已开始阶段性中断(brownout),临时停止镜像服务。
需要注意的是,GitLab Chart 打包的 Bitnami PostgreSQL 与 Redis 仅用于演示与测试目的,
因此 生产环境不会受到影响。
作为临时解决方案,GitLab 已将 Chart 配置迁移至 Bitnami 的旧版仓库(legacy repository)。
然而,以下版本的 GitLab Chart 未包含此补丁,仍会从已弃用的仓库拉取镜像:
-
GitLab 17.11 及更早版本
-
GitLab 18.0.5
-
GitLab 18.1.4
-
GitLab 18.2.1 及更早版本
这些环境在 2025 年 9 月 29 日后 将因无法拉取镜像而导致部署失败,
并且在 brownout 阶段(8 月至 9 月期间)也可能出现间歇性部署中断。
如果你的 GitLab Chart 配置受影响,请务必采取以下任一措施:
-
迁移至受支持的 GitLab 参考架构(Reference Architecture);
-
升级至包含补丁的 Chart 版本;
-
在 Chart 的 values 文件中配置 legacy 仓库(可参考合并请求 #4421 中的示例)。
GitLab 团队仍在讨论进一步的替代方案与后续步骤。
获取与安装
-
容器镜像
registry.gitlab.cn/omnibus/gitlab-jh:18.4.0-jh.0 -
Helm Chart
helm repo update && helm upgrade --install gitlab-jh/gitlab -
安装与升级指南
请参阅 极狐GitLab 安装升级文档
结语
极狐GitLab 18.4 版本为开发者带来了更细粒度的安全控制,以及更强大的 DevSecOps 平台基础。
我们将持续推动智能开发与安全合规的融合,为中国开发者提供最强大的私有化软件研发平台。
