2024 年 7 月 16 日

2024 年 7 月 10 日

2024 年 6 月 18 日

2024 年 6 月 6 日

2024 年 5 月 9 日

2024 年 4 月 18 日

2024 年 3 月 21 日

2024 年 2 月 22 日

2024 年 1 月 24 日

从 SNYK 切换到 Clair 数据库

代码风险分析器工具现在使用 Clair 数据库来识别漏洞。

除去 pipeline.data

pipeline.data(用于在管道中共享环境变量) 不再可用。

预生产证据收集

根据 FedRAMP 需求，预生产变更请求必须链接到生产变更请求，并且预生产证据应包含在请求摘要的生产变更中。 为了满足这些需求，我们开发了一个新功能来收集生产前证据。 有关更多信息，请参阅 收集证据摘要。

SLSA 认证

现在，您可以使用 SLSA 级别 3 认证来验证 CI 管道中构建的映像。 有关更多信息，请参阅 配置映像的 SLSA 认证集合。

多个资产的收集证据

现在，您可以收集多个资产的证据。 有关更多信息，请参阅 收集证据中的多个资产。

支持 Security and Compliance Center 推送 API

现在，您可以将结果推送到 Security Control Center。 有关更多信息，请参阅 Security and Compliance Center 集成文档。

2023 年 12 月 8 日

• 具有错误的部署的淡黄色状态-现在，使用红色证据部署手动核准的 CR 将显示淡黄色状态。

• 证据收集的批处理-在管道运行期间，所有证据都将以本地方式收集到管道中，并在管道运行结束时继续。 此过程可提高性能。 有关更多信息，请参阅 批处理证据收集。

2023 年 10 月 30 日

• 管道中各个阶段的隔离工作区-提供了指向特定于阶段的位置的新环境属性 $STAGE_WORKSPACE。 写入此位置的任何数据仅可供本阶段访问，其他阶段仍无法访问。

• 独立阶段以运行检测-私钥扫描-通过在合规性检查的同时运行检测私钥任务，可能会有私钥泄漏到容器注册表或开发集群中。 为了避免这种情况，detect-secret 现在是一个单独的阶段，如果检测到任何私钥，那么管道将失败。 有关更多信息，请参阅 配置 detect-secret 扫描。

• 能够跳过 open-v10中的阶段-用户可以通过在 pipeline-config.yaml 中定义 skip: true 来跳过管道阶段

• 能够按特定顺序配置阶段-用户可以通过定义 runAfter: <task name> 来指定顺序。 这将使当前任务等待上一个任务完成，即使这两个任务都调度为同时运行也是如此

• 并发执行DevSecOps管道阶段- devsecops 管道已重组，可以同时运行独立阶段。 这将大大加快整个管道运行速度。 有关更多信息，请参阅 使用并发任务提高合规性管道性能。

• 验证 SBOM-缺省情况下验证 SBOM。

• 在 CI 管道的静态扫描阶段中添加 GoSec 工具- GoSec 安全扫描已集成到 Go 应用程序的合规性检查阶段。 有关更多信息，请参阅 配置 GoSec 扫描。

• 添加对等复审阶段-添加了新的对等复审阶段，以验证是否已对集成分支中的所有落实执行了对等复审。 有关更多信息，请参阅 同行评审合规性。

• 支持管理非基于映像的资产-管道支持开发任何类型的通用资产。例如，tar，zip 等。

• 在 CI 管道的工件扫描阶段中添加 SysDig 工具扫描-用于扫描容器映像的集成 Sysdig 安全工具。 有关更多信息，请参阅 配置 Sysdig 图像扫描。

• 可定制完成阶段-修改了管道的最后一个阶段以始终运行，而不考虑管道状态，并添加了在最后一个阶段中具有可定制步骤的功能，以便在管道发生故障时使用内务处理。 有关更多信息，请参阅 定制完成阶段。

• 添加了新管道以执行库存 PR 验证-已创建新管道以在 CD 工具链中淘汰库存 PR 验证。 有关更多信息，请参阅 如何选择性加入促销验证?

• 使用 CC 管道中的 CRA 自动修复漏洞-添加了使用 CRA 自动修复漏洞的功能。 有关更多信息，请参阅 自动修复漏洞

• 以 cyclonedx 格式生成 SBOM 并对其进行验证-添加了使用 cyclonedx 格式生成和合并 SBOM 的功能，并且还使用 sbom-utility 工具对 bom 进行了验证。 有关更多信息，请参阅 以 cyclonedx 格式生成软件材料清单(SBOM)

• 证据修剪器-已开发新工具以在特定时间之前修剪较旧的证据。 有关更多信息，请参阅 除去在指定时间之前生成的合规性证据

2023 年 1 月 31 日

• 验证库存促销拉取请求-提供合并促销 PR 时库存进入的新状态的证据汇总和汇总。 聚集涉及来自负责库存更新的所有 CI 管道的证据收集和汇总。 该功能部件在将 PR 合并到目标分支 (环境) 之前提供库存提升的早期验证。 根据 PR 的状态，您可以继续执行促销 (当所有证据结果都为 GREEN 时)，或者在 CI 管道中修正证据 (当证据在 RED 中标记时)，然后再继续执行促销 PR 合并。 有关更多信息，请参阅 促销管道。

• 支持 Git 子模块克隆-增强 CI 管道为引用子模块的应用程序存储库克隆 Git 子模块的能力。 有关更多信息，请参阅 配置 git 子模块的克隆。

• 阻止 CI 管道更新 RED 构建的库存-使其能够检测 CI 管道中的故障并阻止管道更新库存。 有关更多信息，请参阅 持续集成参数。

2022 年 12 月 7 日

DevSecOps基础设施即代码的持续集成可作为工具链目录中的工具链模板使用。 有关详细信息，请参阅For more information, see 开发和部署安全IaC和DevSecOps实践。

2022 年 11 月 30 日

• CRA 扫描现在是 CI 管道中 app-preview-pr-listener 的一部分。
• Cocoa Tekton get-pipeline-logs 支持拉取特定阶段的日志。
• 修复了库存存储库中不存在的目标分支的格式不正确的 Git GraphQL URL。

2022 年 10 月 25 日

• CRA 问题解析器现在包含在创建扫描期间发现的新问题时的 引入者 字段。
• 改进了错误日志记录，以在 CD 管道中调试长时间运行的提升请求。

5 2022 年 10 月

• Amber 任务支持管道，用于通知用户管道发生非致命故障。
• CD 管道更改请求流中的性能改进。

2022 年 9 月 16 日

• 为尝试管道运行的 Vulnerability Advisor (VA) 扫描数添加了 retry_sleep 环境属性。
• 改进了日志消息，使证据状态更清晰。 例如，Evaluated evidence status: <success|failure|pending>。

2022 年 8 月 11 日

• 使用 GitLab 中的本机到期日期字段来管理问题。
• 添加了 custom-exempt-label 作为环境属性，因此如果管道具有匹配的豁免标签，那么不会将这些管道标记为失败。
• 已修复 Cloud Object Storage 作为 CC 管道的证据锁定程序。

2022 年 7 月 25 日

• 上载 Security and Compliance Center的持续合规性证据摘要。

2022 年 6 月 24 日

• 已针对持续合规性 (CC) 模板启用 DevOps Insights 集成。

如果您有现有的 CC 工具链，您可以设置 doi-toolchain-id 和 doi-environment 通过链接现有的 Insights 工具集成，DevSecOps持续集成（CI）工具链。

• 添加 标签 到DevSecOps管道脚本在 Insights 用户界面中可视化持续合规扫描结果。
• 在 Insights 质量仪表板 中显示动态扫描结果。
• 改进了管道评估程序任务的消息日志记录，以便用户可以更好地了解管道运行失败或成功的原因。

2022 年 6 月 17 日

在生成的变更请求中附加的部署 BOM 缺少与库存中的工件相关的信息。 现在包含此信息。

2022 年 5 月 19 日

• 在启用 Slack 工具集成后，使用 Slack 向用户通知已接近到期日期和逾期到期日期的事件问题。
• 在合规管道中使用 Code Risk Analyzer 生成“软件材料清单”时，支持 cyclonedx 格式。

2022 年 5 月 13 日

添加了对 事件问题 的 Continuous Integration 和 Continuous Compliance 管道的支持，例如与创建，存储，更新和关闭这些问题相关的漏洞和 CVE。 通过此功能，您可以设置问题的到期日期，添加缺省受托人以及使用标签过滤问题。

2022 年 3 月 24 日

2022 年 3 月 16 日

• 增强型DevSecOps将 CRA 结果发布到管道代码DevOps Insights包括 BOM、漏洞和部署记录。
• 添加了对可选 CRA 插件参数 --dockerfilepattern 的支持。