按照发版惯例，GitLab日前发布了一个新的大版本15.0。我们知道Gitlab发版是月度一个中度版本，一年发布一个大版本，所以本次发布的是2022年度的版本。此次版本中主要有内部注释、多层容器扫描等40多项改进。更多功能请和虫虫一起学习。

GitLab 15.0主要改进

WYSIWYG编辑器中的编辑代码块、链接和媒体内联

GitLab 15.0 包含一些令人兴奋的改进，以方便wiki的WYSIWYG Markdown 编辑器中的工作流程。

首先，代码高亮样式将更加丰富：从代码块上方的下拉列表中的100多种语言中进行选择，无论是CSS、YAML，还是Python代码都可以实现准确的语法高亮渲染。代码块还能会继承喜欢的语法高亮主题，甚至可以将代码块快速复制到剪贴板，以便在选择的代码编辑器中使用。

另外，所见即所得WYSIWYG编辑器中处理链接和媒体将比以往任何时候都容易。之前，必须从编辑工具栏中进行选择才能更改wiki页面上的选定链接或图像，有些编辑需要删除链接或图像并重新创建它。编辑链接和图像现在更容易，当您选择链接或附加图像时会出现一个新的弹出菜单从菜单中，可以快速编辑链接的目标URL或描述，将链接或图像复制到剪贴板，甚至从页面中删除链接或图像。

高级搜索兼容OpenSearch（PREMIUM）

OpenSearch是一个开源的Elasticsearch分支。GitLab 15.0之前，高级搜索与OpenSearch不兼容。如您使用AWS托管服务，则必须使用旧版本的 Elasticsearch。新版本中可以充分利用OpenSearch进行高级搜索。

使用自动迭代节奏计划和安排问题（PREMIUM）

在GitLab 14.10及更早版本中，分组仅支持一组迭代。这使得在一个团队中工作的不同团队难以自主地安排和跟踪期从一个迭代到另一个迭代的问题。为了改进这一点，新增加了一个小组以迭代节奏管理多组并发迭代的能力。它允许每个团队在其迭代节奏中控制每次迭代的开始日期和持续时间。

迭代的日常管理现在也更加高效。当创建一个新的迭代节奏时，选择第一次迭代的第一天，每次迭代应该是多少周，以及GitLab维护多少即将到来的迭代。还可以选择启用未完成的问题以从一个已完成的迭代自动滚动到下一个迭代。创建节奏后，GitLab会自动创建指定数量的即将到来的迭代。

同时问题面板或问题列表也可以限定为迭代。

组中的所有现有迭代都将转换为迭代节奏，而不会更改基础迭代数据。此外，为了更好地支持迭代的未来增强功能，例如迭代速度和波动性以及容量规划，已弃用手动创建和删除单个迭代的能力，并将在16.0中删除该功能。

内部注释

在许多情况下，组织希望公开问题和Epic，但对其中的对话应用更严格的治理。例如，当使用GitLab问题作为服务台工作流程的一部分时，组织可能希望公开有关问题的核心细节，但不想广泛公开客户特定的机密数据。

使用内部注释，可以使用仅对某些用户可见的内部或客户数据来编辑讨论，同时保持有关问题的核心细节公开。问题或Epic中的内部注释只能由问题作者、受让人以及至少具有报告者角色的组或项目成员查看。

将外部组织和联系人链接到问题

GitLab 15.0引入了一个MVC，用于从GitLab管理和外部用户。借助客户关系管理 (CRM) 功能，可以实现：

创建组织和联系人。

为组织设置默认账单费率。

将联系人添加到组织。

/add_contacts通过快速操作将联系人链接到问题。

查看与给定联系人或属于组织的所有联系人相关的问题。

客户关系功能默认不启用，只能从顶级组进行管理。

在管道配置中使用嵌套CI/CD变量和环境

environments在 CI/CD 配置中使用带有关键字CI/CD变量非常棒，因为它可以动态创建环境。虽然这已经是一个强大的功能，但仍然存在一些限制，比如还不能使用嵌套变量来定义环境。

从GitLab 15.0开始，可以将变量嵌套在其他变量中，并让它们都以期望的方式扩展。由于增加了灵活性，这使得动态环境更加强大！

对项目发布里程碑的迁移支持()

GitLab 迁移添加对更多发布元数据的支持。在 GitLab 15.0 中，添加了项目发布里程碑。该元数据将帮助用户迁移更多发布数据，而无需手动复制丢失的发布属性。

通过拖放重新组织问题描述列表项

问题描述用于捕获许多不同类型的信息，例如清单、大纲和实施细节。现在可以轻松地通过拖放来重新组织描述的列表项，而无需编辑和保存完整的描述。

组级wiki可见性（PREMIUM）

GitLab 15.0对组级wiki可见性进行了更细粒度的控制，与项目级wiki上已有的选项相匹配。

现在，可以选择wiki是否对有权访问该组的所有人可见，将其访问权限限制为仅组成员，甚至完全禁用可见性。群组管理员可以在群组设置页面中找到这些选项。

一方便wiki

显示用户命名空间中共享runner的使用情况

跟踪公共项目的每月CI/CD使用情况很困难，尤其是跨命名空间中的多个项目。无法轻松查看哪些项目或哪些项目最常使用共享runner。

新版本，每个用户命名空间的共享SaaS runner使用情况与CI/CD分钟数一起显示在Usage Quota页面上。可以查看每个项目使用共享运行器的次数以及分钟使用量随时间的变化趋势。

查看有关每个runner的更多详细信息

以前，如果想要一目了然地查看runner的相关信息，您必须在屏幕之间切换，甚至使用 API 来检索详细信息。现在，管理员可以在运行器的详细视图上查看运行器的执行器、架构和平台。这些详细信息可以帮助您快速确定基本详细信息，这对于解决问题或管理日常操作和维护任务至关重要。

访问和验证环境的操作

以前，在使用环境时，只存在一个关键字来指定作业正在执行不触发部署、创建或停止环境的任务。此environment: action: prepare关键字适用于协助准备环境的工作。但是，除了准备环境之外，还有许多其他与部署相关的任务，用户已经重载了prepare关键字来执行这些任务。

在15.0中，添加了两个新关键字来执行需要访问环境范围变量的任务。在该.gitlab-ci.yaml文件中，现在可以environment:action:access为一组广泛的用例添加一个通用关键字，environment:action:verify并且在部署期间特别需要验证结果时。

从带注释的标签自动创建发行说明

以前，在创建版本时，版本说明描述为空。通过此更新，在基于标签的UI中创建发布时，现在可以轻松地将该标签的消息包含在发布说明中。可以选择UI 中的复选框选项，将标签的消息附加到版本的发行说明部分。此更改使将重要内容（例如更改日志或功能列表）合并到已发布版本中变得更加容易。

发布组的API接口

Groups API新添加了一个新接口，能够检索组内所有项目的发布。这使API的用户或消费者可以方便地获得组级别的发布的整体视图。接口支持按created_at日期和分页排序。

Kubernetes 1.22集群支持

如果使用 Kubernetes，GitLab 希望确保在将集群升级到最新的Kubernetes 版本时拥有完整的功能。虽然许多人使用GitLab来部署Kubernetes集群，但直到最近还没有对Kubernetes 1.21和1.22的官方支持。此版本全面支持这些版本中与Kubernetes 相关的所有功能。

Terraform CI/CD 模板向 Terraform 模块注册表进行身份验证

如果您使用 Terraform，则可以使用模块注册表来存储您的基础架构模块并简化的开发人员体验。GitLab 附带一组 Terraform CI/CD 模板，这些模板支持所有 GitLab 开箱即用的功能，甚至可以帮助没有经验的 Terraform 用户快速入门。

以前，如果使用Terraform模块注册表，则需要在自定义CI作业中对注册表进行身份验证，即使使用的是 erraform CI/CD 模板。

高级搜索与Elasticsearch 8兼容（PREMIUM）

Elasticsearch 8是Elastic的当前版本。以前，不能将Elasticsearch 8 用于高级搜索。必须使用旧版本。从15.0开始，可以使用Elasticsearch 8进行高级搜索。

如果使用 Elasticsearch 7.x，则必须先升级到GitLab 15.0，然后再升级到 Elasticsearch 8。

如果使用Elasticsearch 6.8，请先升级到任何Elasticsearch 7.x 版本，然后再升级到GitLab 15.0。

从用户弹出窗口中关注或取消关注某人

在之前版本，只能从用户个人资料中关注或取消关注GitLab用户。除非查看用户的个人资料，否则很难知道是否在关注特定用户。

在此版本中，可以通过用户弹出窗口快速关注和取消关注用户，无论在GitLab 工作流程中任何位置，比如注释、问题等。这减少了访问用户个人资料的额外步骤，并且更容易关注和取消关注其他GitLab用户。

合并设置的新审核事件（PREMIUM）

当对合并请求设置进行更改时，GitLab 现在会记录其他审计事件。具体来说，对以下内容进行更改时创建审计事件：

合并提交消息模板

Squash提交消息模板

合并请求的默认描述模板

添加、更改或删除状态检查

合并方法

合并选项

合并设置时的Squash提交

合并检查

合并建议

这些审计事件可以帮助了解合并请求的设置和默认配置是否已正确放置并且尚未更改。从而使实现职责分离的审计。

如果这些模板或检查发生更改，审核事件会显示工作流何时更改为不合规状态以及与该更改相关的信息。可以进行回顾以了解具体更改、更改时间以及参与人员。然后，根据需要采取任何补救措施，或与进行更改的团队合作。

支持失败的状态检查（ULTIMATE）

外部状态检查非常适合与第三方系统集成，有时候会无法正确传达检查的状态。可能会等待pending更新，但外部检查失败并且无法反馈这些信息。

现在可以将外部状态检查设置为显式failed（或passed）状态。以前，外部检查只能是 inpass或pendingstate。新的故障状态使可以非常清楚地表明需要做一些事情才能让外部检查通过。

具有Reporter角色的用户可以管理迭代和里程碑

新版本中已将创建、编辑和删除里程碑和迭代所需的权限从开发者角色更改为报告者角色。

该更改更好地反映了管理和跟踪计划时间框的典型日常Reporter职责。

VS Code中对GitLab工作流的多帐户支持

在为VS Code设置GitLab 工作流时，必须提供一个令牌来向GitLab进行身份验证。此令牌将作为特定用户向GitLab实例进行身份验证，以检查代码、查看问题、查看合并请求等。

在GitLab Workflow 3.44中，现在可以使用多个令牌对同一个GitLab实例进行身份验证。这对于同时拥有工作和个人帐户或职责分离的帐户的用户来说非常有用。

还改进了令牌的密钥存储，现在将存储在VS Code的 SecretStorage 中，并由操作系统密钥链提供支持。

/help中显示实例CI/CD限制

实例管理员可以在其实例的管理区域中设置多个CI/CD限制。没有管理员访问权限的用户很难知道限制是什么，尤其是当管道因为遇到他们不知道存在的限制而失败时。

新版本中，实例CI/CD相关限制可以在位于的实例配置页面上看到，链接为/help/instance_configuration。

从环境详细信息页面批准部署（PREMIUM）

在此版本之前，只能通过概览环境页面批准或拒绝部署。在15.0中，可以从环境的详细信息页面批准或拒绝待定部署批准。

一个环境的多个on_stop 作业

以前，当使用environment:on_stop关键字时，只能指定一个作业并作为关闭环境的一部分运行。在

GitLab 15.0 中，可以在文件中使用关键字on_stop指定多个作业，这些作业.gitlab-ci.yaml在关闭环境时并行运行，以启用更复杂的环境拆卸过程。

通过API设置环境层

以前，为环境设置deployment_tier的唯一方法是使用文件中的关键字.gitlab-ci.yml。在 15.0 中， Environment API 添加了一个接口来设置。

Kubernetes代理的REST API

GitLab现在包含一个REST API，用于注册和管理Kubernetes代理。可以查看有关代理的详细信息、注册新代理和管理代理令牌。此API是对现有 GraphQL API 的补充。可以使用REST API来自动化整个代理生命周期。

Helm图表中默认启用Kubernetes的代理服务器

在自建实例使用Kubernetes代理的第一步是启用代理服务器，这是Kubernetes代理的后端服务。在GitLab 14.8中，基于Omnibus的安装启用了代理服务器。新版本中在GitLab Helm图表中默认启用代理服务器，以简化 GitLab 管理员的设置。除了默认启用之外，代理服务器还接受各种配置选项以根据您的需要对其进行自定义。

MR审批设置下列出的扫描结果策略（ULTIMATE）

GitLab 15.0在项目的合并请求批准设置区域中列出扫描结果策略。可以在一个位置查看适用于项目的所有合并请求批准规则，并在合并请求批准规则旁边显示扫描结果策略。

Geo初始Git存储库复制速度提高了27% （PREMIUM）

Git是每个GitLab项目的核心，Geo的一项关键功能是将Git存储库复制到辅助站点。每次创建新项目时，Geo 都需要尽快复制存储库。

在新版本中，优化了Geo使用的底层Git命令。通过使用git clone代替git fetch初始git存储库复制性能提高了27%。

Omnibus套件更新

GitLab 15.0包括Mattermost 6.6，其最新版本包括通道消息的触发器和操作以及 Apps Framework 的一般可用性。还包括安全更新，建议从早期版本升级。

在GitLab 15.0 中，新安装的 PostgreSQL 新默认版本将是13.6。当前使用 PostgreSQL 12 的用户将继续使用PostgreSQL12，除非用户手动升级 PostgreSQL 版本。如果需要，新安装可以在安装过程中选择PostgreSQL12。

从GitLab 15.0 始，AES256-GCM-SHA384默认情况下 GINX将不允许使用 SSL 密码。如果需要此密码（例如，如果使用AWS 的 Classic Load Balancer），可以将密码添加回允许列表。

从Gitlab 15.0 开始，当 PostgreSQL 的版本发生变化，postgresql服务geo-postgresql会自动重启。由于数据库暂时无法进行操作，重新启动 PostgreSQL 服务会导致停机。虽然重新启动对于数据库服务的正常运行是必需的，但可能希望更好地控制PostgreSQL 何时重新启动。为此，可以选择跳过自动重新启动作为服务的一部分gitlab-ctl reconfigure并手动重新启动服务作为 GitLab 15.0 升级的一部分，用户还可以跳过自动重启。

Gitlab Runner 15.0

同期还还发布了GitLab Runner 15.0。新功能包括：

支持 Windows Server 2022

添加对 Ubuntu 22.04 LTS 的支持 - Jammy Jellyfish

Bug修复：

镜像拉取失败：Kubernetes执行器中的回退拉取镜像错误

失败的GitLab Runner 缓存上传到S3中的AWS凭证暴露

GitLab Chart改进

在 GitLab 15.0中，管理Kubernetes的 GitLab 代理所需的GitLab 代理服务器 (KAS)默认启用。默认情况下启用GitLab代理服务器可以从Kubernetes的 GitLab代理中受益，因为它是一个活跃的集群内组件，用于解决任何 GitLab Kubernetes 集成任务。

从GitLab 15.0开始，AES256-GCM-SHA384默认情况下NGINX将不允许使用 SSL密码。如果需要此密码（例如，如果使用AWS 的 Classic Load Balancer），可以将密码添加回允许列表。

安全和合规性

容器扫描适用于所有层

容器扫描可帮助开发人员轻松找到安装在其容器映像中的依赖项中的已知安全漏洞。在GitLab 15.0中，在每个GitLab层中都提供了基本的容器扫描功能。

审核对组IP许可名单的更改（PREMIUM）

在老版本的GitLab中，对P组I允许列表的更改不会生成审计事件。这使得很难知道谁更改了哪些内容，以及何时、何时有多个人在修改许可名单。现在，对组IP允许列表的任何更改都会生成审核事件。

撤销没有PAT ID的个人访问令牌

在之前版本的GitLab中，只能通过ID删除个人访问令牌。由于没有一个接口从给定值返回ID，因此如果只有令牌值，则无法删除个人访问令牌。

现在还可以使用personal_access_tokens/self接口通过单个请求撤销PAT。接口撤销用于发出请求的PAT，以便在发生泄漏时快速撤销PAT。

容器扫描结果中包含GitLab咨询数据

GitLab容器扫描依靠来自其分析器的信息来报告漏洞。确保数据库拥有最新的信息对于确保扫描返回准确和及时的结果非常重要。

GitLab 提供了咨询数据库，该数据库提供了可能不会在常见来源中更新的其他信息。跟踪这些外部资源并每天更新信息。当分析器在GitLab容器扫描中使用时，GitLab现在包含此信息trivy，以帮助确保最全面和最新的漏洞数据可用于识别漏洞。

在GitLab Ultimate中，专有的GitLab 咨询数据库用于这些扫描。

在免费和高级层中，使用了开源GitLab 咨询数据库（开源版），这是专有数据库的延迟一个月的克隆。

这些数据库使可以访问GitLab研究团队确定的其他威胁信息，即使该威胁数据尚未添加到其他公共数据库中。

对poetry.lock文件的依赖扫描支持（ULTIMATE）

依赖扫描现在支持对poetry.lock 文件的解析。当这些依赖项由Poetry包管理器管理时，这允许用户扫描Python依赖项以查找漏洞。

基于Semgrep的 SAST 扫描可供早期采用

现在可以在GitLab SAST中切换到基于Semgrep的多种语言扫描。与现有的特定于语言的分析器相比，基于Semgrep的扫描显著加快了分析速度，减少了CI 分钟的使用，并提供了更多可定制的扫描规则。从GitLab 15.0开始，它支持C、Go、Java、JavaScript、Python 和 TypeScript。

在未来的版本中，我们将更改GitLab SAST以默认仅对支持的语言使用基于 Semgrep 的扫描，并且将会删除也会扫描它们的特定于语言的分析器。

现在可以选择提前禁用已弃用的特定于语言的分析器，并在更改默认行为之前使用基于Semgrep的扫描。

依赖路径信息（ULTIMATE）

新版本中依赖扫描可以识别项目中发现的最短依赖路径。这在查看漏洞详细信息时的“证据”部分以及“依赖列表”页面的“位置”列中可见。此改进使用户更容易对结果进行分类，并确定解决漏洞的步骤。

安全和保护分析仪主要版本更新

安全和保护功能现在为所有分析仪使用新的大版本：

在2022年5月22日之前发布，并生成不受严格架构验证的报告。

2022年5月22之后发布，并生成经过严格架构验证的报告。

模式验证使GitLab分析器和第三方集成更加可靠。

如果使用GitLab管理的CI/CD模板，则无需执行任何操作。管道中使用的分析器会自动更新到最新版本。

如果使用自定义模板，或者如果已固定分析器版本，则需要更新 I/CD作业定义以删除固定版本或更新到最新的主要版本。

新版本中，所有新的错误修复和功能都将在新的分析器主要版本中发布。这些改进在已弃用的分析器版本中不可用，

根据需要，将在最新的3个GitLab次要版本中向后移植安全补丁。

所有分析仪的新版本是：

API Security: 2
Container Scanning: 5
Coverage-guided Fuzz Testing: 3
Dependency Scanning: 3
Dynamic Application Security Testing (DAST): 3
Infrastructure as Code (IaC) Scanning: v 2
License Scanning: 4
Secret Detection: 4
Static Application Security Testing (SAST): gosec分析器4，其他分析器3

静态分析分析器更新

GitLab 静态分析包括GitLab静态分析团队积极管理、维护和更新的许多安全分析器。新版本中变化为：

1、Brakeman分析器已更新至版本 5.2.2：

更新条件、反射和nil值的处理

SQL注入检查添加额外的String方法

为Ruby3.1支持更新解析器

2、Secret分析器已更新：

添加对 Yandex Cloud 令牌的检测

删除不用的CI/CD变量

Bug修复

15.0中一些值得注意的错误修复是：

忽略 aC扫描管道发现会忽略所有发现；

解决容器注册表竞争条件；

Container Registry 未捕获S3错误；

无效作业依赖项的误导性错误；

保存配置前显示SSO链接；

合并请求显示依赖扫描检测到的重复容器扫描漏洞；

取消链接安全策略项目时不会删除资源；

不为扫描执行策略注入阶段；

GitLab迁移-如果选择“无父”，则刷新页面将恢复为默认父组；

GitLab迁移-状态超时（ULTIMATE）的迁移未在 UI 中更新；

GitLab迁移-顶级组名称未正确迁移；

FogBugz - 无法更改项目名称；

允许在部署作业中skipped进行created状态转换；

修复部署列表页面上的排序顺序；

refs in的粗俗写作refs/pipelines导致频繁的锁定问题；

Sidekiq：ProcessSupervisor不处理SIGTERM；

审计员角色看不到项目基础架构菜单；

管理员用户无法在需求页面中看到UI元素，除非它们被直接添加到项目中；

#输入ID时添加相关Epic；

没有任务的测试用例显示“已完成0个任务中的0个”；

该'角色正在“受让人”小部件中转义；

后退按钮在重构的问题列表视图上无法正常工作；

使用IME键入日文字符时，列表项意外重复；

Fresh Gitlab 14.7.2 实例在创建问题时返回 500；

对一些已编辑的评论做出反应会重置编辑时间戳；

14.5迁移UpdateVulnerabilityOccurrencesLocation不会将自身标记为完成；

当组没有项目时，组漏洞报告为空；

运行扫描时“未找到 DAST 配置文件”；

DAST浏览器在NavigationResult结果为nil时触发；PersistNavigationResultsAuthenticationObserver崩溃。

性能改进

在GitLab15.0 中，在问题、项目、里程碑等提供了性能改进，其主要改进包括：

改进pipeline Package GraphQL API 中的字段性能。

改进了Container Registry API 的性能。

提高漏洞读取的性能。

跳出subscribed?Epic的演出请求周期。

优化子组权限签EpicsFinder。

在GitLab Flavored Markdown 中默认使图像解码异步。

可用性改进

在GitLab 15.0 中，在问题、项目、里程碑等提供了可用性改进。其主要改进包括：

不显示过期的依赖代理镜像；

在分页期间显示依赖代理数据；

从UI中删除error包；

重命名部分清理策略运行时的警告消息；

更新差异扩展按钮的设计；

合并合并请求操作；

将代码审查选项移动到标题中的新代码下拉列表中；

根据每个字段的相对使用情况重新排序问题中的项目并合并请求侧边栏。

功能删除和变更

相关信息请查看官方页面实时在线信息。

升级更新

Omnibus

通过Omnibus安装的自建实例可直接使用Linux包管理器可以升级。例如对CentOS:

yum updata/install gitlab-ce

就能自动完成升级。

Docker

先停止和删除旧的容器：

sudo docker stop gitlab
sudo docker rm gitlab

然后Pull官方最新镜像：

sudo docker pull gitlab/gitlab-ce:latest

重新启动容器（启动参数和以前保持一致）即可，比如:

sudo docker run --detach 
--hostname gitlab.example.com 
--publish 443:443 --publish 80:80 --publish 22:22 
--name gitlab 
--restart always 
--volume /srv/gitlab/config:/etc/gitlab 
--volume /srv/gitlab/logs:/var/log/gitlab 
--volume /srv/gitlab/data:/var/opt/gitlab 
gitlab/gitlab-ce:latest

Docker compose

通过：

docker-compose pull
docker-compose up -d

关于升级到 GitLab 15.0 的重要说明

在升级到GitLab 15.0 之前，必须先升级到14.10.x。

如果当前使用Elasticsearch 6.8，则需要先升级到Elasticsearch 7.x 版本，然后再升级到 GitLab 15.0。

删除旧的Elasticsearch迁移。通过删除旧的Elasticsearch迁移，将来升级 GitLab 时执行高级搜索迁移会更容易。

GitLab 15.0将仅支持从GitLab 14.10迁移。在升级到 GitLab 15.0之前，必须完成所有GitLab 14.10高级搜索迁移。

PostgreSQL将在GitLab 15.0中自动重启，如果需要自行手动重启，需要自己配置：

编辑/etc/gitlab/gitlab.rb并添加以下行：

# For PostgreSQL/Patroni
postgresql['auto_restart_on_version_change'] = false
# For Geo PostgreSQL
geo_postgresql['auto_restart_on_version_change'] = false
重新配置 GitLab：
sudo gitlab-ctl reconfigure

如果/etc/gitlab/gitlab.rb配置中必须删除所有已经删除的配置项目，否则升级会报错，升级过程会中断。

需要删除这些配置，然后gitlab-ctl reconfigure，再尝试升级。