Linkedin Youtube Telegram Twitter Rtlicons-social-aparat
compliance-pipelines-GItLab-1

چرا GitLab در حال حذف Compliance Pipelines و تمرکز بر سیاست‌های امنیتی است؟

چرا GitLab در حال حذف Compliance Pipelines است؟

GitLab تصمیم گرفته است Compliance Pipelines را به‌صورت تدریجی حذف کند و تمرکز خود را روی سیاست‌های امنیتی سازمانی افزایش دهد. این تغییر به سازمان‌ها کمک می‌کند تا فرآیندهای امنیتی و DevSecOps خود را ساده‌تر و مؤثرتر مدیریت کنند.

در این آموزش، شما با جزئیات مهاجرت از Compliance Pipelines به سیاست‌های جدید اجرا آشنا خواهید شد.

 Compliance Pipelines چیست؟

Compliance Pipelines مجموعه‌ای از مراحل خودکار است که برای اطمینان از رعایت قوانین، استانداردها و الزامات خاص در پروژه‌های نرم‌افزاری طراحی شده‌اند. این مراحل می‌توانند شامل:

  •       بررسی کد (Code Review)

  •       اسکن آسیب‌پذیری‌ها

  •      تست نفوذ (Penetration Testing)

  •       سایر فعالیت‌های مرتبط با انطباق

GitLab Compliance Pipelines و نقش آن‌ها

GitLab Compliance Pipelines اطمینان می‌دهند که کارهای مرتبط با امنیت و انطباق در پروژه‌ها طبق compliance frameworks اجرا می‌شوند.

سیاست‌های اجرایی و مقایسه با Compliance Pipelines

به طور مشابه، سیاست‌های اجرایی (Pipeline Execution Policies) تضمین می‌کنند که اسکن‌های امنیتی به‌عنوان بخشی از فرآیند ساخت نرم‌افزار اجرا شده و نتایج آن‌ها مطابق استانداردهای امنیتی موردنظر باشد. این رویکرد به تیم‌ها کمک می‌کند تا امنیت نرم‌افزار خود را به‌طور مستمر و قابل اعتماد تأمین کنند.

 نیاز کاربران به یک راه‌حل ساده و انعطاف‌پذیر

بر اساس بازخورد کاربران، آن‌ها ترجیح می‌دهند مزایای هر ویژگی را از طریق یک راه‌حل یکپارچه و ساده‌تر دریافت کنند. کاربران می‌خواهند انعطاف‌پذیری Compliance Pipelines با سادگی و تطبیق‌پذیری سیاست‌های امنیتی ترکیب شود.

معرفی ویژگی جدید Pipeline Execution Policies

برای پاسخ به این نیاز، GitLab ویژگی جدیدی با نام Pipeline Execution Policies توسعه داده است. این ویژگی به کاربران اجازه می‌دهد مشاغل CI/CD سفارشی را برای همه پروژه‌های قابل اجرا اعمال کنند.
Pipeline Execution Policies عملکردی مشابه Compliance Pipelines دارند، اما با تمرکز بیشتر بر:

  •       اجرای انطباق

  •      انعطاف‌پذیری

  •      ایجاد پایه‌ای برای توسعه و حل موارد استفاده بیشتر در آینده

compliance-pipelines-GItLab

منسوخ شدن Compliance Pipelines در GitLab 17.3

برای کاهش سردرگمی کاربران، Compliance Pipelines در نسخه 17.3 منسوخ شدند. دلیل این تصمیم، در دسترس بودن Pipeline Execution Policies است که انعطاف‌پذیری و تمرکز بیشتری بر سیاست‌های امنیتی ارائه می‌کنند.

 مهاجرت به Pipeline Execution Policies در نسخه 17.5

به عنوان بخشی از این فرآیند منسوخ‌سازی، GitLab یک گردش کار گام‌به‌گام برای مهاجرت از Compliance Pipelines به Pipeline Execution Policies در نسخه 17.5 ارائه می‌دهد. این راهنما به کاربران کمک می‌کند تا پروژه‌های خود را به‌طور امن و سازمان‌یافته منتقل کنند.

دنبال کردن فرآیند استهلاک

کاربران می‌توانند از طریق این حماسه (Epic) تمام کارهایی که GitLab در رابطه با استهلاک انجام می‌دهد را دنبال کنند و مطمئن شوند که پروژه‌هایشان مطابق با سیاست‌های امنیتی جدید اجرا می‌شوند.

compliance-pipelines-GItLab

چرا Compliance Pipelines منسوخ شده‌اند؟

برای درک دلیل این تغییر، ابتدا باید تفاوت بین Compliance Management و Policy Management در GitLab را بررسی کنیم.

 Compliance Management در GitLab

Compliance Management بر کمک به کاربران برای درک وضعیت انطباق پروژه‌ها تمرکز دارد. این ابزارها شامل:

  • گزارش‌دهی به حسابرسان

  • آشکارسازی ریسک‌های انطباق

  • ارائه دید کامل از نقض‌ها و رویدادهای حسابرسی در طول چرخه عمر DevSecOps

علاوه بر این، مدیریت انطباق ارتباط مستقیم بین کنترل‌ها و خودکارسازی‌های پیکربندی شده از طریق سیاست‌ها با الزامات انطباق را برقرار می‌کند.

Policy Management در GitLab

Policy Management بر اجرای انطباق و امنیت در کل نمونه GitLab تمرکز دارد. این ویژگی‌ها به سازمان‌ها امکان می‌دهد:

  • اجرای جهانی کنترل‌های امنیتی و انطباق

  • خودکارسازی گردش کارهای امنیتی و انطباق

  • مدیریت ریسک‌های مرتبط با اجزای CI/CD

  • مدیریت خودکار آسیب‌پذیری‌ها و کنترل‌های امنیتی

سیاست‌ها انعطاف‌پذیری بیشتری نسبت به Compliance Pipelines ارائه می‌دهند و امکان پیاده‌سازی متمرکز و مقیاس‌پذیر را فراهم می‌کنند.

مسیر مهاجرت از Compliance Pipelines به Policy Management

برای ارائه بیشترین ارزش به کاربران، GitLab Compliance Pipelines را منسوخ کرده و مسیر مهاجرت به Security Policies را معرفی کرده است. این تغییر به کاربران کمک می‌کند تا:

  • بدانند چه زمانی و چگونه مشاغل CI/CD را اجرا کنند

  • تفاوت بین Compliance Management و Policy Management را درک کنند

  • اجرای انطباق و امنیت را به‌صورت متمرکز و ساده در پروژه‌ها مدیریت کنند

در نتیجه، Compliance Management دید انطباق را ارائه می‌دهد و Policy Management اجرای آن را در کل نمونه GitLab مدیریت می‌کند.

زمان‌بندی منسوخ شدن و حذف GitLab Compliance Pipelines

GitLab فرآیند منسوخ کردن Compliance Pipelines و جایگزینی آن با Pipeline Execution Policies را از نسخه 17.3 آغاز کرده است. مراحل این فرآیند به شرح زیر است:

اعلامیه منسوخ شدن Compliance Pipelines (نسخه 17.3)

  • GitLab منسوخ شدن و حذف Compliance Pipelines را اعلام کرد.

  • این اعلامیه شامل اطلاعات اولیه و اطلاع‌رسانی به کاربران بود.

حالت سرویس و نگهداری Pipeline Execution Policies (نسخه 17.5)

  • ایجاد بنرهای اطلاع‌رسانی برای کاربران

  • ارائه گردش کار مهاجرت به Pipeline Execution Policies

  • انتشار مستندات و راهنماهای مرتبط

محدود کردن ایجاد خطوط جدید Compliance Pipelines (نسخه 17.6 تا 17.8)

  • افزودن علائم هشدار برای ایجاد خطوط لوله جدید

  • تشویق کاربران به استفاده از Pipeline Execution Policies به جای Compliance Pipelines

  • آغاز برنامه محدودسازی از نسخه 17.6 و انتشار به‌روزرسانی در نسخه 17.8

حذف نهایی Compliance Pipelines و مهاجرت به Pipeline Execution Policies (نسخه 18.0)

  • ارائه ابزارهای آزمایشی برای حذف خطوط لوله و بررسی اثرات قبل از حذف نهایی

  • استفاده از ویژگی پرچم معکوس (Feature Flag) برای آزمایش حذف قبل از اعمال کامل

  • حذف رسمی Compliance Pipelines در نسخه 18.0

  • اطلاع‌رسانی و هشدار به کاربران درباره حذف قریب‌الوقوع

جمع‌بندی: انتقال از Compliance Pipelines به Policy Management

  • فرآیند منسوخ شدن از نسخه 17.3 آغاز شده و تا نسخه 18.0 ادامه دارد.

  • GitLab با ترکیب اطلاع‌رسانی، گردش کار مهاجرت و ابزارهای آزمایشی، اطمینان حاصل می‌کند که کاربران با امنیت و بدون اختلال در پروژه‌ها به Pipeline Execution Policies منتقل شوند.

چگونه compliance pipelines خود را به pipeline execution policy مهاجرت دهیم؟

کاربران می توانند از دو طریق به گردش کار مهاجرت compliance pipelines به pipeline execution policy دسترسی داشته باشند.

 
1- هنگام ایجاد یک compliance framework جدید، اکنون یک بنر هشدار وجود خواهد داشت که به کاربران اجازه می‌دهد به جای compliance framework، از نوع pipeline execution policy استفاده کنند:
 
compliance-pipelines

هنگام ویرایش یک compliance framework موجود، اکنون یک بنر هشدار وجود خواهد داشت که به کاربران امکان می‌دهد compliance pipelines خود را به نوع pipeline execution policy مهاجرت دهند – اگر یک compliance pipeline پیکربندی شده داشته باشند.

compliance-pipelines3

انتخاب “Create policy” یا “Migrate pipeline to a policy” در هر گردش کار، کاربران را به صفحه “New policy” در بخش “Security Policies” می‌برد.این به کاربران اجازه می‌دهد تا به جای یک  compliance pipeline، یک new security policy ایجاد کنند.

یا، اگر یک compliance pipeline موجود را مهاجرت دهید، سیاست جدید با YAML compliance pipeline به عنوان منبع از راه دور برای سیاست پر خواهد شد.

همچنین، محدوده سیاست با framework که از آن مهاجرت می‌کنید، پر خواهد شد.این سیاست برای همه پروژه‌هایی که دارای آن برچسب هستند، هدف‌گذاری خواهد شد تا اجرا شوند و اجرای کارهای تعریف‌شده در فایل از راه دور شما، که اکنون YAML pipeline execution است، اعمال شود.

به طور پیش‌فرض، سیاست جدید با حالت “override” پیکربندی خواهد شد که پروژه‌های پایین‌دستی را لغو خواهد کرد.

				
					.gitlab-ci.yml

با توجه به پیکربندی که شما تعریف کرده‌اید (مشابه compliance  pipelines).

 

compliance-pipelines-gitlab

به‌عنوان جایگزین، می‌توانید از حالت “Inject” استفاده کنید که مجموعه‌ای جدید از مراحل رزرو شده را برای اجرای کارهای امنیتی و انطباق به صورت جداگانه و ضد دستکاری معرفی می‌کند، بدون اینکه pipeline پروژه را مختل کند و بدون نیاز به هماهنگی با تیم‌های پروژه برای تعریف نام‌های مرحله در پیکربندی pipeline آن‌ها.

با این رویکرد، حتماً عبارت include:project را حذف کنید، زیرا برای این حالت دیگر مورد نیاز نیست.و بسته به نسخه شما، اطمینان حاصل کنید که نام‌های کار یکتا هستند (در GitLab 17.2 و 17.3 الزامی است).در GitLab 17.4، ما بهبودهای اضافی برای مدیریت تعارضات را برای انعطاف‌پذیری بیشتر معرفی کردیم.

همین امروز مهاجرت خود را آغاز کنید.

ما می‌خواهیم اطمینان حاصل کنیم که همه کاربران GitLab که از compliance pipelines استفاده می‌کنند، کاملاً از منسوخ شدن compliance pipelines در نسخه 17.3 و حذف نهایی آن در نسخه 18.0 به عنوان یک تغییر اساسی آگاه هستند.

ما از کاربران می‌خواهیم که هر چه سریع‌تر compliance pipelines خود را به نوع pipeline execution policy مهاجرت کنند، قبل از حذف compliance pipelines در GitLab 18.0.

در صورت وجود هرگونه سوال، لطفا با نماینده خدمات مشتری یا پشتیبانی GitLab برای هرگونه کمک تماس بگیرید.

gitlab-logo

لایسنس GitLab

جامع‌ترین پلتفرم DevSecOps، از برنامه‌ریزی تا تولید

GitLab

در لینکدین ما را دنبال کنید

وبلاگ مستر لایسنس

در صورتی که این مقاله ( چرا GitLab در حال حذف Compliance Pipelines و تمرکز بر سیاست‌های امنیتی است؟ ) برای شما مفید و آموزنده بود، پیشنهاد می‌شود برای اطلاع از سایر مقالات مستر لایسنس به صفحه وبلاگ مستر لایسنس مراجعه نمایید.

تیم مستر لایسنس با بهره گیری از متخصصان مجرب امنیتی قادر به ارائه خدمات و راهکار در زمینه مهندسی معکوس و ایجاد لایسنس نرم افزارهای خارجی با تمامی امکانات کامل می باشد .

Linkedin Youtube Telegram Twitter Rtlicons-social-aparat

دسترسی سریع

لیست لایسنس ها
استعلام قیمت
وبلاگ

خبرنامه

با عضویت در خبرنامه مستر لایسنس از جدیترین اخبار و اطلاعیه های نرم افزار ها و بروزرسانی ها مطلع شوید .

اطلاعات تماس

  • آدرس: مشهد، خیابان امام خمینی (ره)، امام خمینی (ره) ۵۰، ساختمان مرکزی اداره پست خراسان رضوی، طبقه چهارم، خانه خلاق و نوآوری محتوای دیجیتال نیتک، یونیت B6
  • تلفن تماس :09037439001
  • ایمیل : info@mrlicense.net

تمامی حقوق قانونی این سایت مربوط به MRlicense میباشد

small_c_popup.png

استعلام قیمت

لطفا درخواست لایسنس مورد نیاز خود را با تکمیل فرم انجام دهید.

small_c_popup.png

مشاوره تخصصی

برای شروع امروز با یک متخصص صحبت کنید!