>Die Bereitstellung von GitLab 18.0 erfolgt nach einer zeitlich genau festgelegten Choreografie: Den Anfang machen die Breaking Changes, die GitLab über drei Zeitfenster hinweg ausrollt. Das erste lief zwischen dem 21. und 23. April. Als weitere Termine folgen der 28. bis 30. April und der 5. bis 7. Mai.

Parallel dazu und ohne konkrete Termine erfolgen Upgrades für Funktionen der Kategorien Medium und Low Impact. Für Nutzerinnen und Nutzer der Self-Managed-Version von GitLab steht GitLab 18.0 laut der Ankündigung im Blog ab dem 15. Mai zur Verfügung. Die gemanagte Cloud-Version GitLab Dedicated erhält im Zeitraum vom 24. bis 29. Juni das Upgrade auf GitLab 18.0.

High-Impact-Änderungen

Die als High Impact eingestuften Breaking Changes von GitLab 18.0 drehen sich schwerpunktmäßig um das Thema Sicherheit. Betroffen davon sind die mit GitLab 14.4 eingeführten CI/CD-Job-Tokens sowie der Dependency Proxy.

Bei den CI/CD-Job-Tokens ist die Einstellung "Limit access from this project" nun standardmäßig für alle neuen Projekte deaktiviert. In GitLab 16.0 oder höher lässt sich diese Einstellung nicht mehr aktivieren, sobald sie in einem Projekt abgeschaltet wurde. Um den Job-Token-Zugriff auf ihre Projekte zu steuern, sollten Anwenderinnen und Anwender stattdessen die Einstellung "Authorized groups and projects" nutzen, die mit GitLab 18.0 standardmäßig aktiv ist.

Der Dependency Proxy für Container erhält mit GitLab 18.0 ebenfalls neue Sicherheitsfunktionen. Er benötigt nun die Authentifizierung beider Bereiche read_registry und write_registry. Authentifizierungsversuche, die Zugriff-Tokens ohne diese beiden Scopes verwenden, wird der Dependency Proxy künftig zurückweisen.

Um Anwenderinnen und Anwendern den Umstieg zu erleichtern, stellt GitLab Software-Helfer bereit. Dazu zählt das Advanced Search Deprecations-Tool, das mit der erweiterten Such-API Strings in GitLab-Gruppen und Projekten aufspürt, die auf veraltete Funktionen hinweisen. Ferner lassen sich über den Dependency Scanning Build Support Detection Helper Projekte identifizieren, die von drei veralteten Dependency Scanning-Funktionen betroffen sind.