重要なセキュリティ欠陥を修正した「GitLab 8.15.4」リリース

　GitLab開発チームは1月10日、Gitリポジトリを核とするプロジェクト管理ツール「GitLab 8.15.4」を発表した。バグ修正が中心のリリースで、無償のオープンソース版Community Edition（CE）とサポート付きの有償版Enterprise Edition（EE）の2種類を同時にリリースする。

　GitLab 8.15.4は、2016年12月後半に公開したGitLab 8.15の4回目のマイナーリリース。GitLab 8.15では、「Auto Deploy」としてアプリの実装とレビューの設定を自動化する機能などが導入されている。

　最新版では、Ruby製ライブラリ「Turbolinks」におけるクロスサイトスクリプティング脆弱性を修正した。バージョン2.5.4以前のTurbolinksはHTMLコンテンツタイプを持つ添付ファイルの読み込み時にクロスサイトスクリプティング攻撃を仕掛けられる可能性があったという。独自に修正を加えることで対応を行ったが、今後はTurbolinksの対応を削除するかバージョン5にアップデートするかを決定するとしている。

　クロスサイトスクリプティング攻撃の脆弱性としては、「GitLab Markup」ライブラリにおけるバグも修正した。GitLab Markupは「GitHub Markup」ライブラリからフォークしたもので、この脆弱性は生のHTMLフォーマットを特定するReStructuredTextをクリックするように仕向けることで悪用される可能性があるとのこと。

　このほかにも、Google Cloud Storageでのバックアップサポートが復活するなど細かな機能強化も加わっている。

　GitLabは同時に、バージョン8.14系、バージョン8.13系についても最新版（「GitLab 8.14.6」「GitLab 8.13.11」）を公開している。重要なセキュリティ修正を含むことから、アップデートを呼びかけている。

オランダGitLab
https://about.gitlab.com/