GitLab 10.5リリース：Let's Encrypt、Gemnasium依存関係チェック、外部CI / CDファイルとの統合

GitLab 10.5では、GitLabトラフィックを簡単に暗号化し、パイプライン管理を拡張し、アプリケーションのセキュリティを改善する機能などを追加しました。

GitLabのセキュアな展開時間の短縮

HTTPSプロトコルに言及せずにインターネットセキュリティについて話すことは不可能です。 GitLabインスタンスが公開されている場合、その使用は必須です。 HTTPSには2つの重要な利点があります。 まず、サーバーとのやり取り中の送受信トラフィックの暗号化であるため、ユーザーの資格情報やその他の重要な情報は傍受から保護されます。 第二に、サイトの識別を確認する機会です。 このようなチェックを行わないと、間違ったサイトに誤ってログインする可能性があります。

HTTPSの利点は、リモートでの使用やモバイルアプリケーションのユーザーにとって特に重要な役割を果たします。多くの場合、安全でないWi-Fi接続を使用するため、データ漏えいや不正サイトへの接続のリスクが高まります。

ただし、上記のすべての利点にもかかわらず、HTTPSの構成と証明書の要求には、特にクレジットカードとキー管理の場合、かなりの時間と労力が必要になる場合があります。 GitLab 10.5では、自動化された無料の公的な認証機関であるLet's Encryptとの統合を追加しました 。 SSL証明書は、1つのオプションですぐに取得できるようになりました。 GitLabインスタンスにLet's Encryptを接続すると、トラフィックの暗号化とサイトのIDの確認が保証されます。 Let's Encryptとの統合は、GitLabの有料版と無料版の両方で利用できます。

パイプライン管理のスケーリング

このリリースでは、一般的に大きな可能性を持つシンプルな機能を追加します。

企業環境でのDevOpsの使用には、特定の困難が伴います。 大規模な顧客の多くにとって、DevOpsチームは、組織全体の多数の開発チームにCI / CDパイプラインを提供する責任があります。 以前はパイプラインの構成を提供するスケーラブルな方法がなかったため、このようなプロセスの管理には非常に時間がかかります。 このため、さまざまなプロジェクトの.gitlab-ci.yml



間でコードを手動でコピーする必要がありました。 過度の努力に加えて、このアプローチはエラーの可能性を生み出しました。 さらに、テストおよび展開プロセスが各リポジトリに対して安定して実行されていることを追跡することは不可能でした。

GitLab 10.5以降、CI / CDパイプライン定義に外部ファイルを含めることができます 。 これらのファイルは、ローカル（同じリポジトリに含まれる）または削除（HTTP / HTTPS経由でアクセス可能）のいずれかです。 ローカルファイルを含めると、かさばる.gitlab-ci.yml



を作業しやすいモジュールに分割できます。 リモートファイルを使用すると、これらのモジュールを数千（場合によっては数百万）のリポジトリに分散できます。 これで、パイプライン構成を提供する簡単で安定した方法が得られました。

Gemnasiumを使用したセキュリティテストの改善

GitLabは1か月前にGemnasiumを買収しました 。 約束したとおり、すぐに依存関係チェック用の高度なGemnasium機能をユーザーに提供します。 このような買収後、企業はイノベーションを個別のアドオンとして提供することがよくあります。 ただし、GitLabの哲学は単一のアプリケーションのアーキテクチャであり、開発、テスト、セキュリティ、運用の各チームが同じインターフェースで同じデータを同時に操作できるように設計されています。 そのため、GemnasiumテクノロジーをGitLab CI / CDに完全に統合し、テスト機能を大幅に改善しています。

高度なアルゴリズムと拡張された脆弱性データベースのおかげで、JavaScript、Ruby、Pythonの結果が改善されました。 PHPおよびJavaのサポートも追加されました。

新しい機会をお見逃しなく

この記事は約26のGitLabの機能強化です（そのうちの18はオープンソースバージョンで利用可能です）。 改善点の完全なリストはここにあります 。 さらに記事では、バージョン10.5の主要な革新について説明します

ミーティングにご招待します！

（ MVP ）今月- 佐藤博之

ヒロユキはプロジェクトの初期からGitLabの開発に貢献しており、今月は3回目のMVPとなります（これはGitLab 5.1で初めて起こりました！）。 バージョン10.5では、コミットのマージリクエストを表示する機能を追加しました。これにより、変更の追跡が容易になり、開発プロセスが高速化されます。

ヒロユキ、ありがとう！ GitLabの殿堂入りは最高の賞であることがわかっていますが、手作りのタヌキ、靴下、GitLab Tシャツもお送りします。

Let's Encrypt for GitLabを使用したインスタントSSL

GitLabは多くの場合、プロジェクトのソースコード（プライバシーを保護する必要がある知的財産）を保存します。 このための基本的な手順は、 HTTPSを使用してIDを暗号化し、サイト認証をサポートすることです。

以前は、GitLabでHTTPSに接続するには、いくつかのアクションを実行する必要がありました。証明書リクエストの作成、認証局への支払い、GitLabサーバーへのファイルのコピー、そしてそれらを使用するためのGitLabの設定です。

10.5では、 Let's Encryptと統合することでこのプロセスを大幅に簡素化しました。 HTTPプロトコルを介してインターネット経由でインスタンスにアクセスできる場合、HTTPSに接続するために必要なのは、 gitlab.rb



ファイルでletsencrypt['enable'] = true



を割り当てて再構成することだけです。 HTTPSがメインのGitLabドメインに接続されました！

Let's Encryptの今後のリリースはデフォルトで有効になり、 Registry 、 Pages、 Mattermostなどの他のGitLab要素のサポートも追加されます 。

Let's Encryptとの統合の詳細はこちら

CI / CDパイプライン定義に外部ファイルを含める

CI / CDパイプラインは、プロジェクトリポジトリにあるYMLファイルで定義されます。 多くの場合、同じジョブ定義が多くの異なるプロジェクトに使用されます。 また、既存のスニペットがドキュメントや例から単純にコピーされることも珍しくありません。

GitLab 10.5では、新しいinclude



キーワードを使用して外部ファイルをメイン構成にインポートできるようになりました。 これらのファイルは、ローカル（同じリポジトリから）またはリモート（HTTP / HTTPS経由で一般にアクセス可能）のいずれかです。 この方法で再利用できる作業の良い例は、セキュリティチェックと展開構成です。

外部ファイルを含めるためのドキュメント

Gemnasium依存関係チェック

GitLabは最近Gemnasiumを買収し 、すぐに協力してこの優れたテクノロジーをテスト機能に統合しました。

既存の脆弱性のデータベースと新しい脆弱性の検出の改善により、GitLab 10.5では、次の言語でアプリケーションの依存関係のセキュリティに関する非常に正確なレポートを取得することが可能になりました。

• ルビー
• Java（Maven）
• Javascript（NPM）
• Python
• Php

Auto DevOpsを既に使用している場合は、何も変更する必要はありません。 ジョブの説明をパイプラインにコピーした場合は、それを更新して新しい機能にアクセスします。 サンプルページの詳細。

サポートされる言語とセキュリティ監査ドキュメント

追加のブラウザパフォーマンスメトリックを追跡する

GitLab 10.3では、ブラウザーにパフォーマンステストを追加しました。これにより、マージリクエストがパフォーマンスに与える影響をすばやく評価できます。 このリリースでは、 速度インデックス 、転送サイズ、リクエスト数の3つの追加のメトリックを分析します。

また、 sitespeed.ioレポート全体をアーティファクトとして保存する機能を追加しました。これにより、大量のパフォーマンスデータとデバッグデータに簡単にアクセスできます。 Auto DevOpsを使用する場合、そのようなレポートは自動的に保存されます。

ブラウザーのパフォーマンステストに関する詳細はこちら

Git LFS 2ロックのサポート

Git LFS 2.0.0はロックのサポートを追加しました。 現在、この機能はGitLabでもサポートされているため、Git LFSクライアントを使用してLFSファイルをブロックできます。 ロックされたファイルは、対応するアイコンで簡単に識別できます。

GitLab Premium 8.9 では、ファイルまたはディレクトリのロックのサポートが追加されました。 これにより、GitLabインターフェースを介してファイルをロックできます。 GitLab Premium 10.5では、Git LFSロックとGitLabロックを統合しました。

Git LFSの使用に関する詳細はこちら

GitLab 10.5のその他の改善点

ロードマップモードでエピックを表示

このリリースでは、ロードマップの最初の反復（ロードマップ）を紹介します。 ロードマップを使用すると、1つのグループ（またはサブグループ）の複数のエピックを、時間順に並べて同時に表示できます。 これで、エピックが相互に開始および終了するタイミングを簡単に確認できます。

この革新により、時間の経過に伴う進行の計画と追跡が簡素化され、ワー​​クフローの重複が視覚的に示されます。 たとえば、2018年の第2四半期に製品の新機能を起動し、適切なマーケティングキャンペーンの実施を計画します。 この場合、機能に取り組むエピックとマーケティング用に別のエピックを作成します。 ロードマップモードでは、これらのエピックの両方が同時に表示されるため、開始時間と終了時間の制御が簡単になります。

ロードマップのドキュメント

秘密変数の動的管理

機密変数は、機密情報が外部アクセスから隠されるようにCI / CDパイプラインを構成するために使用されます。 マスターアクセスレベルを持つユーザーは、 CI / CD>設定メニューでそれらを定義できますが、このアプローチでは、変数は一度に1つしか定義できません。

GitLab 10.5では、シークレット変数の動的管理を追加し、同時に複数の変数を追加できるようにサポートしました。これにより、変数の操作が簡単になりました。

秘密変数のドキュメント

インスタンスレベルの自動DevOpsドメイン定義

Auto DevOpsはアプリケーションをKubernetesクラスターに自動的にデプロイできますが、それにアクセスするには、このクラスターのパブリックIPアドレスに関連付けられたドメイン名を提供する必要があります。

GitLab 10.5以降では、インスタンスレベルでドメイン名を決定し、組織全体で使用できます。ドメイン名が指定されていないプロジェクトでは自動的に使用されます。

Auto DevOps Base Domainドキュメント

GitLabグループの移行

GitLabグループ全体をあるグループから別のグループに転送できるようになりました。これにより、グループおよびサブグループの構造化プロセスが簡素化されます。

GitLab Groupのドキュメント

Prometheusメトリック用に構成されたイングレスオブジェクト

デプロイされたIngressオブジェクトが Prometheusメトリック用に構成され、レイテンシ、帯域幅、エラー率のシステムメトリックの追跡が容易になりました。

KubernetesでのIngressの展開に関する詳細はこちら

追加のマージリクエスト

マージリクエストの承認のロジックを簡素化しました。権限の設定と使用がさらに簡単になりました。

特に、必要な数のステートメントがすでに収集されている場合でも、マージリクエストを承認できるようになりました。 レビューアは相互に依存しなくなり、問題がなければマージリクエストを承認できます。 このアプローチにより、より多くのユーザーがコードレビュープロセスに参加するようになります。

ただし、ワークフローで必要な場合は、レビュー担当者に応じて必要なクレームの数を手動で設定できます。

以前と同様に、以前に送信されたクレームは削除できます。

マージ要求承認ドキュメント

グループタスクページにすべてのサブグループのタスクを表示する

これで、共通グループのタスクページにすべてのサブグループのタスクを表示できるようになりました。 これは、サブグループの階層が複数のレベルのツリーを形成し、そのすべてのタスクを1か所で表示する必要がある場合に非常に役立ちます。 そのような状況の例としては、多くのプロジェクトやグループに分散されたマイクロサービスを備えたチーム、またはチームの複雑な階層を持つ組織があります。

マージ要求ページにもまったく同じ変更が加えられました。

タスクのドキュメント

GitLabフレーバーマークダウンの色付きアイコン

GitLab Flavored Markdown（GFM）がカラーアイコンをサポートするようになりました。 GFMがサポートされている場所（たとえば、タスクやマージリクエストの説明とコメント）に適切なカラーコードを入力するだけで、GitLabはこの場所にカラーアイコンを作成します。 この革新は、GitLabを離れることなく、異なる色を含むデザインの共同作業を簡素化するため、デザイナーとフロントエンド開発者にとって特に役立ちます。

@thetonyromと@raviolicodeの貢献に感謝します！

GitLabフレーバードマークダウンドキュメント

プッシュしてプロジェクトを作成する

これで、（個人の名前空間に）存在しない名前のプロジェクトにリポジトリをプッシュすると、その名前のプライベートプロジェクトが自動的に作成されます。 これにより、プロジェクトの作成がさらに高速になります！

プロジェクトの作成に関する詳細はこちら。

単一のセカンダリベースでの災害復旧が公開されました

災害復旧機能は、Geoレプリケーションを使用して、災害発生時に最小限の労力で迅速に別のサイトに移動します。 シングルセカンダリ構成でのフェールオーバーが公開されました。

災害復旧ドキュメント

エピック検索とフィルターメニュー

このリリースでは、エピックページに検索メニューとフィルタリングメニューを追加しました。 これは、タスクおよびマージ要求のためにGitLab全体で使用されるのと同じ検索です。 このリリースでは、作者による叙事詩のフィルタリング、および叙事詩のタイトルと説明の検索が可能になりました。 さらに、作成日または最後の更新でエピックをソートできます。

これにより、タスクやマージ要求を処理するときにおそらく慣れているリストを活用できます。 検索とフィルタリングの助けを借りて、必要なエピックを正確に管理することが容易になります。 将来的には、追加のフィルターを追加することを計画しており、タグでフィルタリングすることから始めます 。

エピックドキュメント

公共プロジェクトの持続可能な展開

Auto DevOps（現在ベータ版で利用可能）は、アプリケーションをKubernetesクラスターに自動的にデプロイできます。 ただし、クラスターがポッドを再起動する必要がある場合、たとえば誰かがポッドを移動し、元のイメージがキャッシュ内で見つからない場合、このプロセスは停止することがあります。

GitLab 10.5以降、パブリックプロジェクトは、デプロイメントパイプラインが終了した後でもGitLab Container Registryにアクセスできるようにクラスターを自動的に構成します。これにより、アプリケーション環境がより安定します。

Auto DevOps Betaの詳細

開発者がグループでプロジェクトを作成する機会

各リリースでは、GitLabアクセスモデルの柔軟性が向上しています。グループまたはサーバーの管理者は、開発者ロールを持つユーザーがプロジェクトを作成できる設定にアクセスできるようになりました。

プロジェクトを作成するためのアクセスレベルに関するドキュメントを参照してください。

KubernetesでのPrometheusの簡単な統合

GitLab 10.4では、 Prometheusをワンクリックで接続されたKubernetesクラスターに展開する機能を追加しました。 このリリースではさらに移動しました。プロジェクトとPrometheusの統合を自動化しました。

GitLabはKubernetes APIを使用して、展開されたPrometheusサーバーを照会します。このサーバーは、クラスターの外部からアクセスするために開いている必要はありません。

Prometheusによるアプリケーション制御の強化

グローバル検索API

GitLab APIにグローバル検索サポートを追加しました。 実際、これはGitLab Webインターフェースからの同じグローバル検索であり、APIでラップされているだけです-外部システムがこの機能を利用できるようにします。

これにより、チームはカスタムワークフローを作成できます。たとえば、ファイル内の何かを検索し、結果の統計を送信します。

このAPIは、Elasticsearchがあるかどうかに関係なく機能します（GitLab Starter以上でのみ使用可能）。

詳細については、 Global Search APIのドキュメントをご覧ください。

ラベルリストページの再設計

ラベルのリストページのデザインが簡素化され、ラベルを理解し、各ラベルを管理しやすくなりました。 また、新しいデザインに合わせてアイコンを配置し、タスクへのリンクを再グループ化し、特定のラベルごとにリクエストをマージします。幅が少なくなり、作業が簡単になりました。

詳細については、タグのドキュメントを参照してください。

コミットページから関連するマージリクエストへの移行

コミットに関連するマージリクエストへのリンクが、コミットページに直接表示されるようになりました。 これは、リポジトリのコミット履歴を表示していて、コミットの一般的な目的と技術的なコンテキストを知りたい場合に便利です。 これで、マージリクエストに簡単に切り替えて、このコミットのページから直接コミットを生成できます。 マージリクエストから、これまでの議論がすべて表示されます。 タスクがそれに関連付けられていた場合（たとえば、 タスククローズメカニズムを使用して、タスクに戻って目的を確認することもできます）。

この機能@hiroponzに感謝します。

コミットページからの関連するマージリクエストへの移行のドキュメント

ローカリゼーションの改善

GitLabのローカライズに引き続き取り組みます。このバージョンでは、タスクとマージリクエストメニューのリポジトリグラフページとリポジトリダイアグラムページの行を外部化しました。 この機会は、翻訳コミュニティのすべてのメンバーが利用できます。 GitLab翻訳に参加したい場合は、お会いできてうれしいです 。

GitLabローカリゼーションの詳細

ハッシュストレージベータ版

ハッシュストレージは、バージョン10.0で導入された新しいタイプのストレージ動作です。 プロジェクトURLを、リポジトリがディスクに保存されるフォルダー構造に関連付ける代わりに、プロジェクト識別子に基づいてハッシュを関連付けます。 これにより、フォルダー構造が変更されず、URLとディスク構造間の状態同期の追加要件を取り除くことができます。 これは、データベース内の1つのトランザクションでグループ、ユーザー、プロジェクトの名前を即座に変更できることを意味します。

詳細については、ハッシュストレージのドキュメントをご覧ください。

オムニバスの機能強化

• GitLab Mattermost 4.6では、チャネルのダウンロード速度が低下し、セクション508のコンプライアンスが改善されました（セクション508）
• シェフが12.21.31に更新されました
• Chef Omnibusが5.6.3に更新されました。
• SELinuxルールが追加され、 SSHキーをすばやく検索できるようになりました。

Omnibus GitLabドキュメントで詳細を読む

GitLab Runner 10.5

また、このリリースでは、GitLab Runnerの次のバージョンである10.5をリリースします。 GitLab Runnerは、CI / CDジョブを実行し、GitLabに結果を送信するために使用されるオープンソースプロジェクトです。

最も重要な変更点::

• Gitバージョン1.7.1との互換性を修正
• TLS接続を評価するとき、オペレーティングシステムの証明書プールが常にロードされるようになりました
• ユーザーが既にgitlab-runnerレジスタで指定した場合、ボリュームの/キャッシュは追加されません

— CHANGELOG GitLab Runner .

GitLab Runner

GitLab 10.5, :

• 1000 ,
• ,
• -
• , API

---

release notes / : GitLab 10.5 released with Let's Encrypt integration, Gemnasium dependency checks, and CI/CD external files .

rishavant sgnl_05 .