Von Compliance-Workflows zu Sicherheitsrichtlinien – wie, warum, wann

Die Ende 2024 angekündigte Migration von Compliance Pipelines zu Security Policies sieht eine geplante Entfernung in Version 19.0 vor. Compliance Pipelines stellen sicher, dass Security- und Compliance-Jobs in Projekten gemäß Compliance-Frameworks ausgeführt werden. Scan Execution Policies gewährleisten ebenfalls, dass GitLab-Security-Scans in Pipelines compliant ausgeführt werden. Für den aktuellen Status der Migration siehe bitte die offizielle Dokumentation.

GitLab migriert Compliance Pipelines zu Security Policies, um Governance-Kontrollen zu vereinheitlichen und ein einheitlicheres, flexibleres System für die Durchsetzung von Security- und Compliance-Jobs bereitzustellen.

User wünschen die Kombination der Flexibilität von Compliance Pipelines mit der Einfachheit und Vielseitigkeit von Security Policies. Das neue Feature Pipeline Execution Policies ermöglicht die Durchsetzung angepasster CI/CD-Jobs für alle Projekte. Pipeline Execution Policies bieten ähnliche Funktionen wie Compliance Pipelines, mit verstärktem Fokus auf Compliance-Durchsetzung, Flexibilität und einer Basis für zukünftige Anwendungsfälle.

Compliance Pipelines wurden in Version 17.3 deprecated, da Pipeline Execution Policies verfügbar sind. Stand Version 18.7: Die Migration läuft, finale Entfernung in Version 19.0 geplant.

Die Migration erfolgt in vier Phasen von Version 17.3 bis 19.0 (ca. 18 Monate). Der strukturierte Zeitplan ermöglicht Planungssicherheit: Deprecation-Ankündigung (17.3), Migrations-Workflow (17.5), Warnungen bei neuen Pipelines (17.8), finale Entfernung (19.0). Die schrittweise Einführung reduziert Migrationsrisiken durch Test-Möglichkeiten vor finaler Entfernung.

Migration von Compliance Pipelines zu Pipeline Execution Policies

Zwei Wege ermöglichen den Zugriff auf den Migrations-Workflow von Compliance Pipelines zu Pipeline Execution Policies:

1. Bei der Erstellung eines neuen Compliance-Frameworks erscheint ein Warnungs-Banner, der die Nutzung von Pipeline Execution Policy Type anstelle von Compliance Frameworks ermöglicht.
2. Bei der Bearbeitung eines bestehenden Compliance-Frameworks erscheint ein Warnungs-Banner, der die Migration der Compliance Pipeline zu Pipeline Execution Policy Type ermöglicht – sofern eine Compliance Pipeline konfiguriert ist.

Die Auswahl von „Create policy" oder „Migrate pipeline to a policy" in beiden Workflows führt zur Seite „New policy" im Bereich „Security Policies". Dies ermöglicht die Erstellung einer neuen Security Policy anstelle einer Compliance Pipeline.

Mehr Details zu Pipeline Execution Policies in der Dokumentation. Die Compliance Management-Seite zeigt Policy-basierte Funktionen neben Compliance-Frameworks.

Die Migration umfasst drei Schritte:

1. Auswahl von „Create policy" oder „Migrate pipeline to a policy" im Warnungs-Banner
2. Konfiguration der neuen Pipeline Execution Policy:
   • Policy-Name und -Beschreibung
   • Alle Zweige (Standard) oder spezifische Zweige
   • In der YAML-Pipeline-Vorlage die Compliance-Pipeline-YAML-Definition einfügen
3. Finalisierung und Erstellung der Policy

Die Policy wird allen Projekten zugewiesen, die im Compliance-Framework enthalten sind, und führt alle in der YAML-Datei definierten Schritte aus, sobald Pipelines in diesen Projekten ausgeführt werden.

Zukünftige Entwicklungen bei Pipeline Execution Policies

Diese Epic beschreibt zusätzliche Anwendungsfälle für Pipeline Execution Policies sowie Improvements zur Vereinfachung der Policy-Erstellung. Die Features in dieser Epic bilden die Basis für zukünftige Funktionen. Diese Policy-Funktionen werden nur für Pipeline Execution Policy verfügbar sein und nicht zu Compliance Pipelines hinzugefügt.

Die Entwicklung neuer Anwendungsfälle und Funktionen in Compliance Pipelines wird gestoppt. Stattdessen liegt der Fokus auf der Erweiterung und Verbesserung von Pipeline Execution Policies. Bei Interesse an neuen Funktionen für Compliance-Kontrollen im Issue kommentieren.