极狐GitLab 18.7 版本发布，带来了改进的 GitLab Duo 分析仪表盘与密钥有效性校验、支持为聊天和智能体选择 AI 模型，以及更多新功能！

我们非常高兴地宣布 GitLab 18.7 正式发布。本次版本包含改进的 GitLab Duo 分析仪表盘、改进的密钥有效性校验、为聊天和智能体提供模型选择能力，以及更多更新内容！

以上只是本次版本 25+ 项改进中的一部分亮点。请继续阅读，了解下面所有精彩的更新内容。

版本信息

容器镜像

18.7.0 容器镜像

plaintext 复制代码

registry.gitlab.cn/omnibus/gitlab-jh:18.7.0-jh.0

18.7.0 Helm Chart（JH）

plaintext 复制代码

helm search repo gitlab-jh
NAME                      CHART VERSION APP VERSION 
gitlab-jh/gitlab          9.7.0         v18.7.0    
gitlab-jh/gitlab-runner   0.84.0        18.7.0

18.7 关键功能

密钥有效性校验改进并正式发布

	基础版	专业版	旗舰版
SaaS			Y
私有化部署			Y

当你的某个代码仓库中泄露了一个有效密钥时，你必须迅速做出响应。

为了帮助你优先处理紧急威胁，密钥有效性校验会自动验证泄露的凭据是否仍然可以被使用。

在 GitLab 18.7 中，我们进行了以下改进：

厂商集成： 与 Google Cloud、AWS 和 Postman 集成，同时保留了对 GitLab 令牌的现有支持。

报告过滤： 可以按有效性状态（active、inactive、possibly active）过滤漏洞报告（Vulnerability Report），以便快速进行分流和优先级排序。

群组级 API： 通过一次 API 调用即可在一个群组内的所有项目上启用密钥有效性校验，从而简化在整个组织范围内的推广。

在本次发布中，密钥有效性校验已正式全面可用（generally available）。

为 Agentic Chat 和各类智能体分别选择模型

	基础版	专业版	旗舰版
SaaS		Y	Y
私有化部署		Y	Y

现在可以为 Agentic Chat 和所有其他智能体分别选择不同的模型，适用于顶级群组或实例。

这为 GitLab Duo Agent Platform 提供了更多模型选择选项。

改进的 GitLab Duo 与 SDLC 趋势仪表盘

	基础版	专业版	旗舰版
SaaS		Y	Y
私有化部署		Y	Y

GitLab Duo 与 SDLC 趋势仪表盘提供了增强的分析能力，用于衡量 GitLab Duo 对软件交付的影响。该仪表盘现在可以提供为期 6 个月的趋势分析，覆盖 GitLab Duo 功能采用情况、流水线性能，以及部署频率和平均合并时间等常见开发指标。

你现在可以跟踪 GitLab Duo Code Suggestions 的代码生成量以及 IDE 或语言趋势，并观察你的团队如何采用新的 GitLab Duo Agent Platform 流程。增强的用户级指标使团队能够更深入地洞察持续产生价值的关键 Duo 功能。

现在新增了一个用于实例级 AI 使用情况的端点，实例管理员可以从 Postgres（保留 3 个月数据）或 ClickHouse 中提取所有 Duo 数据。

https://docs.jihulab.com/api/graphql/reference/#aiinstanceusagedata

得益于 ClickHouse 集成，该仪表盘可以在数百万数据点规模下实现亚秒级查询性能。对于自托管实例，请查看关于 ClickHouse 集成的改进建议和配置指导：

https://docs.jihulab.com/integration/clickhouse/

Planner Agent 的更多功能以 Beta 形式提供

	基础版	专业版	旗舰版
SaaS		Y	Y
私有化部署		Y	Y

Planner Agent 现在在 Beta 阶段新增了创建和编辑功能！Planner Agent 是一个基础智能体，专为在 GitLab 中直接支持产品经理而构建。你可以使用 Planner Agent 来创建、编辑和分析 GitLab 工作项。

无需再手动追踪更新、确定工作优先级或汇总规划数据，Planner Agent 可以帮助你分析待办事项列表，应用 RICE 或 MoSCoW 等框架，并突出显示真正需要你关注的内容。它就像一位主动协作的队友，能够理解你的规划工作流，并与你一起做出更优、更高效的决策。

CI/CD 流水线中的动态输入选项

	基础版	专业版	旗舰版
SaaS			Y
私有化部署			Y

你可以在通过直观的 Web 界面创建新流水线时，将 CI/CD 流水线配置为使用动态输入选择。

现在，借助动态输入选项，你可以配置流水线，使输入选项能够根据之前的选择动态更新。例如，当你在一个下拉列表中选择某个输入项时，第二个下拉列表会自动填充一组相关的输入选项。

使用 CI/CD 输入，你可以：

使用预配置的输入触发流水线，从而减少错误并简化部署流程。
允许用户从下拉菜单中选择不同于默认值的输入项。
现在可以使用级联下拉列表，其中选项会根据之前的选择动态更新。

这种动态能力使你能够创建更加智能、具备上下文感知能力的输入配置，引导你完成流水线创建过程，减少错误，并确保只选择有效的输入组合。

基于 AI 的 SAST 误报检测（Beta）

	基础版	专业版	旗舰版
SaaS			Y
私有化部署			Y

安全团队通常需要花费大量时间调查最终被证明是误报的 SAST 发现结果，从而分散了对真实安全风险的关注。

在 GitLab 18.7 中，我们引入了基于 AI 的 SAST 误报检测，帮助团队将精力集中在真正重要的漏洞上。当安全扫描运行时，GitLab Duo 会自动分析每一个严重级别为 Critical 和 High 的 SAST 漏洞，以判断其成为误报的可能性。

AI 评估结果会直接显示在漏洞报告中，为安全工程师提供即时上下文，从而更快、更有信心地做出分流决策。

关键能力包括：

自动分析： 误报检测会在每次安全扫描完成后自动运行，无需人工触发。
手动触发选项： 用户可以在漏洞详情页面针对单个漏洞手动触发误报检测，以进行按需分析。
聚焦高影响发现结果： 仅覆盖 Critical 和 High 严重级别漏洞，以最大化信噪比的提升。
具备上下文的 AI 推理： 每次评估都会包含关于该发现为何可能是真阳性或误报的解释，基于代码上下文和漏洞特征进行判断。
无缝工作流集成： 结果会直接显示在漏洞报告中，并与现有的严重级别、状态和修复信息并列展示。

新的安全仪表盘默认启用

	基础版	专业版	旗舰版
SaaS
私有化部署		Y	Y

新的安全仪表盘已经完成更新和现代化改造。此前这些仪表盘仅在 jihulab.com 上可用，现在已在 GitLab Dedicated 和 GitLab Self-Managed 中默认启用。

新功能包括：

漏洞随时间变化图表，支持：
- 按项目或报告类型进行过滤。
- 按报告类型和严重级别进行分组。
- 直接链接到漏洞报告中的具体漏洞。
风险评分模块，基于 GitLab 算法为群组或项目计算估算风险评分。

用于控制向 CI/CD Catalog 发布组件的实例级设置

	基础版	专业版	旗舰版
SaaS
私有化部署		Y	Y

GitLab Self-Managed 和 GitLab Dedicated 的管理员现在可以限制哪些项目被允许向 CI/CD Catalog 发布组件。此新设置使组织能够通过控制可发布的组件范围，维护一个经过精选和可信的 CI/CD Catalog。

管理员现在可以指定一个允许发布组件的项目白名单。当白名单中配置了项目后，只有这些项目才能发布组件。这可以防止未经授权或未批准的组件充斥已发布组件列表，并确保所有组件符合组织标准和安全要求。

这解决了企业客户在希望保持对其 CI/CD 组件生态系统控制的同时，又希望支持团队发现和复用已批准组件时所面临的一项关键治理挑战。

Web IDE 支持离线的 GitLab 私有化部署环境

	基础版	专业版	旗舰版
SaaS
私有化部署	Y	Y	Y

在离线或严格受控的网络环境中，GitLab 私有化部署（Self-Managed）的管理员现在可以配置自定义的 Web IDE 扩展主机域名，使 Web IDE 在 无外网访问的情况下仍能完整使用功能。

此前，Web IDE 需要访问外部域名 .cdn.web-ide.gitlab-static.net 来加载 VS Code 扩展和相关功能，这使得许多具有高安全要求的组织（如政府部门、公共机构、拥有严格网络隔离策略的企业）无法使用 Web IDE。

通过本次更新，管理员可以将 Web IDE 所需的资源直接由 GitLab 实例自身提供，彻底消除了对外部域名的依赖。这样你可以：

在完全离线环境中使用完整的 Web IDE 功能集
通过自定义扩展注册表服务启用扩展市场（Extension Marketplace）
在隔离网络中启用 Markdown 预览、代码编辑以及 GitLab Coderider Chat

这项改进大幅提升了 Web IDE 在高安全场景下的可用性与部署灵活性。

GitLab 18.7 中的其他改进

标题锚点链接的无障碍访问改进

	基础版	专业版	旗舰版
SaaS（jihulab.com）	Y	Y	Y
私有化部署	Y	Y	Y

标题锚点链接现在会使用与其对应标题相同的文本进行朗读，从而改善屏幕阅读器用户的使用体验。这些链接还会显示在标题文本之后，从而提供更加简洁的视觉呈现效果。

这些改进使所有用户都能够更轻松地理解并导航到文档、Issue 以及其他内容中的特定章节。

在合并请求中查看子流水线报告

	基础版	专业版	旗舰版
SaaS（jihulab.com）	Y	Y	Y
私有化部署	Y	Y	Y

此前，使用父子 CI/CD 流水线的团队需要在多个流水线页面之间来回切换，以查看测试结果、代码质量报告和基础设施变更，从而打断了合并请求的评审工作流。

现在，你可以在一个统一视图中查看和下载所有报告，包括单元测试、代码质量检查、Terraform 计划以及自定义指标，而无需离开合并请求页面。

这消除了上下文切换，加快了合并请求的处理速度，使团队能够在不牺牲质量的前提下更快地交付功能。

合并请求审批策略中的警告模式

	基础版	专业版	旗舰版
SaaS			Y
私有化部署			Y

安全团队现在可以使用警告模式（warn mode）在应用强制执行之前测试和验证安全策略的影响，或者通过软门禁方式逐步推广安全策略，从而加速安全项目推进。警告模式有助于在安全策略推广过程中减少开发人员阻力，同时仍然确保检测到的漏洞能够得到处理。

当你创建或编辑一个合并请求审批策略时，现在可以在警告（warn）或强制（enforce）两种执行选项之间进行选择。

https://docs.jihulab.com/user/application_security/policies/merge_request_approval_policies/

处于警告模式的策略会生成提示性的机器人评论，但不会阻塞合并请求。可以指定可选审批人作为策略问题的联系人。这种方式使安全团队能够评估策略影响，并通过透明、渐进式的策略采用方式建立开发人员信任。

合并请求中会通过清晰的标识提示用户当前策略处于警告模式还是强制模式，审计事件会跟踪策略违规和驳回情况，用于合规报告。开发人员可以在提供策略驳回理由的情况下绕过扫描发现和许可证策略违规，从而在开发人员与安全

团队之间建立一个更有效的协作反馈闭环，以推动策略更有效地落地。

当在项目的默认分支上检测到策略违规时，策略会在项目和群组的漏洞报告中标识违反策略的漏洞。项目的依赖列表

也会显示徽标，用于指示许可证合规策略违规。

此外，你还可以使用 API 查询项目默认分支上经过过滤的策略违规列表。

对合规违规进行过滤和评论

	基础版	专业版	旗舰版
SaaS			Y
私有化部署			Y

合规违规报告提供了一个集中视图，用于展示整个组织各项目中的所有合规违规情况。该报告显示有关控制项违规的全面详细信息、相关审计事件，并支持团队有效跟踪违规状态。

在 GitLab 18.7 中，我们引入了强大的过滤能力，帮助你快速找到最重要的违规项。你现在可以按以下条件进行过滤：

状态（Status）
项目（Project）
控制项（Control）

团队现在还可以通过评论直接协作解决违规问题。在违规记录本身中，团队可以：

标记团队成员以开展调查
讨论修复方案
记录调查结论 ------ 全部都在违规记录中完成

综合来看，这些功能将合规违规报告演进为一个动态协作平台，使组织能够在其群组和项目中高效地发现、分析和解决合规违规问题。

自托管版本的试用中体验增强

	基础版	专业版	旗舰版
SaaS			Y
私有化部署			Y

GitLab Self-Managed 的 Ultimate 试用用户现在可以从左侧边栏访问其当前试用状态、剩余天数、可使用功能以及到期通知。

这些增强功能有助于消除对试用周期的困惑，并使用户在购买前更容易评估付费功能。

AI 网关超时设置

	基础版	专业版	旗舰版
SaaS（jihulab.com）
私有化部署		Y	Y

对于 GitLab Duo Self-Hosted，现在可以为发送到自托管模型的请求配置一个超时时间值。

该值的范围可以设置为 60 到 600 秒。

配置基础智能体可用性

	基础版	专业版	旗舰版
SaaS		Y	Y
私有化部署		Y	Y

你现在可以控制在你的顶级群组或实例中哪些基础智能体（foundational agents）可用。

你可以默认开启或关闭所有基础智能体，或者按需切换单个智能体，以符合你组织的安全与治理策略。

向管理员报告智能体和流程

	基础版	专业版	旗舰版
SaaS		Y	Y
私有化部署		Y	Y

当你遇到有问题的内容时，现在可以将智能体（agents）和流程（flows）报告给实例管理员。你可以提交一条包含反馈的滥用报告，管理员可以选择隐藏或删除有害内容。

使用该功能可以在整个组织范围内保持你的智能体和流程的安全性。