软件供应链攻击通过恶意依赖成为现代软件开发的重要安全威胁。GitLab的漏洞研究团队开发了自动检测系统，能够识别恶意依赖并持续扫描新发布的依赖，提供早期警报。最近，GitLab发现并报告了一个伪装的MongoDB Go模块，显示了主动检测的重要性。

GitLab推出Duo模型选择功能，帮助企业控制AI语言模型的使用，确保治理、合规和安全标准。该功能在GitLab 18.1的私有测试版中可用，允许管理员从批准的模型列表中选择，促进创新。

GitLab Duo Agent平台扩展了AI代理在软件开发生命周期中的应用，支持团队并行工作。用户可以委派多个代理处理任务，如代码审查和漏洞研究，从而提升生产力。该平台与现有工具无缝集成，支持用户自定义代理，促进社区合作与创新。

Gitaly是GitLab的重要组成部分，负责处理所有Git操作。使用Bundle URI可以减轻Gitaly服务器负担，提升大仓库的克隆速度。用户可通过配置云存储和启用功能标志，手动或自动生成Bundle，以优化CI/CD管道中的克隆过程。

GitLab与IBM合作推出GitLab Ultimate for IBM Z，旨在解决企业开发中的主要问题，支持在IBM z/OS上运行CI/CD管道，帮助企业现代化主机开发，降低运营成本，提升创新速度，实现主机与云原生团队的无缝协作。

GitLab 18 版本将推动智能 DevSecOps 的发展，相关活动定于 6 月 24 日举行。

本周「FreeBuf周报」总结了Meta追踪安卓用户、GitLab高危漏洞、CyberEYE木马威胁等热点资讯，并讨论了微服务安全防护、主动威胁狩猎及微软Outlook漏洞，提醒用户关注安全风险并及时更新系统。

全球网安事件速递：GitLab曝高危漏洞，攻击者可完全接管账户；CyberEYE木马禁用Windows Defender；黑客利用过期Discord链接传播恶意软件；宏碁ControlCenter漏洞允许远程执行代码；新型TokenBreak攻击绕过AI审核；谷歌云与Cloudflare遭遇服务中断。建议用户及时更新和防护。

GitLab社区版和企业版近期发现严重安全漏洞，攻击者可实现账户接管。公司已发布补丁修复十个缺陷，部分漏洞CVSS评分超过8.0，建议用户立即升级以确保安全。

This is the patch release for GitLab Community Edition (CE) and Enterprise Edition (EE).