GitLabが16.3をリリース
GitLab Inc.
Value Streams Dashboardにベロシティメトリクスを新たに追加
AIを活用した最も包括的なエンタープライズDevSecOpsプラットフォームでソフトウェアイノベーションを実現するGitLab(本社:米サンフランシスコ、読み方:ギットラボ、NASDAQ:GTLB、https://about.gitlab.com/ja-jp/)は、GitLab 16.3のリリースを発表しました。GitLab 16.3では、Value Streams Dashboardの新しいベロシティメトリクス、Linux向けのGitLab SaaS Runnerの強化、追加のスキャン結果ポリシーフィルタ、SSHによるワークスペースとの接続、Fluxの同期状態の可視化をはじめとする機能追加・改善が図られました。
GitLab 16.3で加えられた主な機能追加や改善点は以下の通りです。
Value Streams Dashboardの新しいベロシティメトリクス
Value Streams Dashboard(https://about.gitlab.com/blog/2023/06/12/getting-started-with-value-streams-dashboard/)が強化され、マージリクエスト(MR)スループットとクローズ済みイシュー総数(ベロシティ)というメトリクスが新たに追加されました。GitLabのMRスループットとは、1か月当たりのマージ済みマージリクエスト数です。クローズ済みイシュー総数は、ある時点のクローズ済みフローアイテム数です。
これらのメトリクスを使用すれことにより、生産性の高い月と低い月や、マージリクエスト/コードレビュープロセス(https://docs.gitlab.com/ee/user/analytics/merge_request_analytics.html)の効率を一目で確認しながら、バリューストリームデリバリ(https://docs.gitlab.com/ee/user/group/value_stream_analytics/)が加速しているかどうかを判断できます。
これらのメトリクスは、時間の経過とともにMRおよびイシューの履歴データを蓄積します。このデータを使用すれば、デリバリー速度が加速しているのか、改善が必要なのかを判断したり、デリバリー可能な成果物量の予測精度を高めたりすることができます。
SSHによるワークスペースとの接続
ワークスペースを使用すると、クラウドベースの再現可能なランタイム環境を一時的に構築できます。GitLab 16.0でこの機能が導入されて以来、ワークスペースを使用するにはブラウザベースのWeb IDEを環境内で直接実行するしかありませんでしたが、必ずしもWeb IDEがユーザーにとって最適なツールであるとは限りません。
GitLab 16.3では、SSHを使用してデスクトップからワークスペースに安全に接続し、ローカルツールや拡張機能を使用できるようになりました。最初のイテレーションでは、VS Codeで直接またはコマンドラインからVimやEmacsなどのエディタを使用してSSH接続をサポートします。JetBrainsのIDEやJupyterLabなどのエディタのサポートは、今後のイテレーションで提案されています。
Fluxの同期状態の可視化
過去のリリースでは、Fluxのデプロイ状況の確認にはkubectlなどのサードパーティーツールが使用されていましたが、GitLab 16.3では環境UIを使用してデプロイ状況を確認できるようになりました。
デプロイメントでは、Flux KustomizationやHelmReleaseのリソースを利用して特定の環境の状況を収集しますが、それには環境に対して名前空間を設定する必要があります。デフォルトでは、GitLabはKustomizationやHelmReleaseのリソースを検索してプロジェクトスラグの名前を探します。GitLabが探す名前は環境設定でカスタマイズできます。
スキャン結果ポリシーフィルタの追加
どのセキュリティ/コンプライアンススキャン結果が実用的なのかの判断は、セキュリティ/コンプライアンスチームにとって重要な課題です。きめ細かなスキャン結果ポリシーフィルタは、ノイズを除去して最も注意が必要な脆弱性や違反を特定するのに役立ちます。以下の新規および更新されたフィルタはワークフローを効率化します。
Status(ステータス):ステータスルールの変更により「新しい」脆弱性と「以前から存在する」脆弱性をより直感的に識別できるようになりました。新しいステータスフィールド「new_needs_triage」を使用すれば、トリアージする必要がある新しい脆弱性のみをフィルタリングできます。
Age(経過期間):検出日に基づいて、脆弱性がSLA(日数、月数、または年数)の範囲外である場合に承認を実施するポリシーを作成します。
Fix Available(修正可):ポリシーの対象を絞り込んで修正が存在する依存関係に対処できます。
False Positive(誤検出):SASTの結果の場合はVulnerability Extraction Toolによる誤検出、コンテナスキャンおよび依存関係スキャンの結果の場合はRezilionによる誤検出を除去します。
VS Codeでのセキュリティ検出結果の確認
マージリクエストと同様に、Visual Studio Code(VS Code)でセキュリティ検出結果を直接確認できるようになりました。
CI/CDパイプラインのステータスのモニタリング、CI/CDジョブログの参照、およびGitLab Workflowパネルでの開発ワークフローの実行はすでに可能でしたが、GitLab 16.3ではブランチのマージリクエストを作成した後に、デフォルトブランチで過去に発見されたことがない新たなセキュリティ検出結果のリストを確認することもできるようになりました。
この新機能はGitLab Workflow(https://marketplace.visualstudio.com/items?itemName=GitLab.gitlab-workflow) for VS Codeの一部です。セキュリティスキャン結果はAPIから取得されるため、この機能を利用するにはGitLab.comまたはGitLab 16.1以上が動作するセルフマネージドインスタンスを使用している必要があります。
これらは、今回のリリースで加えられた機能追加・改善点の一部です。更新内容の詳細はこちら(英語、https://about.gitlab.com/releases/2023/08/22/gitlab-16-3-released/)で確認できます。