以前无法为私有项目创建工作区。要克隆私有项目，只能在创建工作区后进行身份验证。

有了 GitLab 16.4，你可以为任何公共或私有项目创建工作区。创建工作区时，会得到一个与工作区一起使用的个人访问令牌。有了这个令牌，你就可以克隆私有项目并执行 Git 操作，而无需任何额外的配置或身份验证。

开发人员访问 Kubernetes 集群需要开发人员云账户或第三方身份验证工具。这增加了云身份和访问管理的复杂性。现在，你只需使用 GitLab 身份和 Kubernetes 代理，就能让开发人员访问 Kubernetes 集群。请使用传统的 Kubernetes RBAC 管理集群内的授权。

这些功能与 GitLab 流水线中提供的 OIDC 云身份验证功能一起，使 GitLab 用户在不会危及安全性和合规性的情况下无需专用云账户即可访问云资源。

在集群访问的第一次迭代中，您必须手动管理 Kubernetes 配置。Epic 11455 提议通过扩展 GitLab CLI 的相关命令来简化设置。

查看依赖关系列表时，重要的是要有一个整体视图。在项目级别管理依赖关系，对于希望审计所有项目依赖关系的大型组织来说是个问题。通过此版本，您可以查看项目或组级（包括子组）的所有依赖关系。该功能现在默认可用。

有些漏洞需要批量处理，比如误报或者“不再检测到”。降低这些干扰项、轻松分类漏洞是非常重要的。有了这个版本，你可以批量更改状态，并从组或项目漏洞报告中对多个漏洞发表评论。

有些组织希望给予安全团队最少的必要访问权限，以便他们遵守 “最小权限原则”。安全团队不应有编写代码更新的权限，但必须能够批准合并请求、查看漏洞和更新漏洞状态。

GitLab 现在允许用户根据报告者（Reporter）角色的访问权限创建自定义角色，但增加了以下权限：

• 查看依赖关系列表 (read_dependency)。
• 查看安全仪表板和漏洞报告 (read_vulnerability)。
• 批准合并请求（admin_merge_request）。
• 更改漏洞状态（admin_vulnerability）。

我们计划在 17.0 中移除所有层级的开发人员角色更改漏洞状态的权限。有关此建议变更的反馈可在 424688 问题中共享。

快进合并是一种常见且流行的合并方法，它可以省去合并提交，但需要更多的变基（rebasing）。另外，“合并队列”（Merge Trains）是一个强大的工具，可以帮助解决频繁合并到主分支所带来的一些更大的挑战。遗憾的是，在此版本发布之前，你无法同时使用合并队列和快进合并。

在这个版本中，自管管理员现在可以在同一个项目中同时启用快进合并和合并队列。你可以享受合并队列带来的好处——在合并前处理好所有提交，同时通过快进合并获得更干净的提交历史。

要启用 “快进合并队列”，请找到默认禁用的 fast_forward_merge_trains_support 功能标志，并启用它。

在 GitLab 15.9 中，我们宣布淘汰旧版本的 JSON 网络令牌，改用 id_token。遗憾的是，为了适应这一变化，您必须逐个修改任务。为了顺利过渡到 id_token，从 GitLab 16.4 开始，可以在 .gitlab-ci.yml 中将 id_tokens 设置为全局默认值。该功能会自动为每个任务设置 id_token 配置。使用 OpenID Connect (OIDC) 身份验证的任务不再需要单独设置 id_token。

使用第三方服务通过 id_token 和 OIDC 进行身份验证。所需的 aud 子关键字用于配置 JSON Web Token (JWT) 的 aud 声明。