GitLab 13.12加入按需动态应用程序安全测试服务

最新的GitLab 13.12获得可用性和工作管线管理功能更新，不只要让程式码部署更安全，还要提升团队协作效率。该平台新版重要更新包括GitLab Ultimate用户，可以开始使用按需动态应用程序安全测试（DAST）扫描，还有新版也更新工作管线编辑器，并且持续新增DORA4指标支援。

现在所有GitLab Ultimate用户可按需使用DAST扫描（下图），在CI/CD工作管线外任何已配置环境，都能使用DAST扫描已部署的应用程序和API，用户不需要进行任何程式码变更或合并请求，就能立刻开始扫描。官方持续更新DAST扫描功能，在先前的13.11版本中，官方在按需DAST网站的配置档案，添加特定身份验证资讯、排除URL、新增额外请求标头，以及切换网页应用程序与API扫描等功能。官方提到，他们还会增加诸如扫描排程等功能，以涵盖大部分用户的需求。

在安全扫描功能方面，除了DAST，用于JavaScript、TypeScript和Python的Semgrep SAST分析器，现在也发布正式版本。Semgrep灵活的规则语法，能简化GitLab自定义规则及功能，以扩充和修改检测规则，并且让GitLab用户存取Semgrep社群规则。

另外，GitLab更新向DAST用户，推出了浏览器爬虫Beta测试版，新的爬虫工具经特别设计，可以在JavaScript应用程序中发现，可能会被传统基于代理爬虫程式忽略的页面，使得新的排虫程式有能力提升应用程序的测试覆盖率。

官方提到，现在网页使用越来越多的JavaScript，甚至有一些是专满足JavaScript和单页应用程序开发的工具。但是重度依赖JavaScript的网页，却会增加爬虫扫描页面的困难度，在官方的基准测试里，基于浏览器的爬虫程式，与当前基于代理的爬虫程式相比，爬虫覆盖率明显提高。

除了安全性更新之外，官方也简化了工作管线管理来增加可用性，工作管线编辑器现在带有可折叠指南说明面板，可以快速带新手入门。同时官方还新增在规则中定义变数的功能，供用户能够在满足特定条件时，灵活地配置工作管线变数。

而13.12版本在原生支援DORA4指标的工作，现在加入群组部署频率图表，该图表可以让用户了解部署状况以利发现瓶颈，并改进跨专案和团队的效率。部署频率图表显示所有专案的汇总部署频率指标，用户可以更全面了解多个专案的和团队的部署频率，以精确掌握部署效率。

GitLab的价值串流（Value Stream）分析功能也获得更新，价值串流分析能协助用户在工作流程中，找出效能低落的根本问题，而在13.12中，官方加入了工作流程项目的分页和排序功能，视觉呈现更清楚，用户也能对特定阶段视觉化并且排序项目，以方便查明瓶颈所在。