Gitblit 1.10.0版本发布：安全增强与现代SSH密钥支持

Gitblit是一个基于Java的轻量级Git服务器解决方案，它提供了完整的Git仓库管理功能，包括代码托管、权限控制、Web界面访问等。作为Git服务器的替代方案，Gitblit特别适合中小型团队和企业内部使用，它不需要复杂的数据库支持，配置简单且资源占用低。

安全更新与问题修复

本次1.10.0版本带来了多项重要的安全改进。首先修复了一个SSH认证绕过的严重问题(CVE-2024-28080)，该问题可能允许未经认证即可通过SSH访问系统。开发团队特别感谢安全研究人员András Veres-Szentkirályi的报告。

另一个修复的安全问题是路径访问问题(CVE-2022-31268)，该问题可能允许访问WEB-INF目录下的文件。这个问题通过升级Jetty服务器组件得到解决。此外，还修复了一个管理员界面可能显示用户密码哈希值的问题，这要感谢Gerhard Klostermeier的报告。

SSH密钥支持现代化

1.10.0版本在SSH密钥支持方面做出了重大改进。新版本不再默认生成DSA类型的SSH主机密钥，转而支持更现代的RSA、ECDSA和Ed25519(EdDSA)密钥类型。这意味着：

1. 现有DSA密钥仍然可以继续使用，但新安装的Gitblit将默认使用更安全的密钥类型
2. 用户现在可以使用ECDSA和Ed25519类型的SSH密钥进行认证
3. 密钥管理界面增加了对无效密钥的反馈功能，帮助用户更好地管理SSH密钥

用户体验改进

剪贴板功能得到了现代化改造。旧版本依赖Flash技术实现的"复制到剪贴板"功能已被基于clipboard.js的JavaScript解决方案取代。这意味着：

• 用户不再需要安装或启用Flash插件
• 复制功能在现代浏览器中可以可靠工作
• 相关配置项(web.allowFlashCopyToClipboard)保持相同名称，但底层实现完全不同

权限显示也得到了改进，现在当用户属于多个具有不同权限的组时，系统能够正确显示用户的综合有效权限。

技术栈更新

1.10.0版本标志着Gitblit正式将最低Java要求提高到Java 8。这一变化带来了多项好处：

• 可以使用Java 8的语言特性和API
• 依赖库可以更新到更现代的版本
• BouncyCastle加密库已从bc*-jdk15on升级到bc*-jdk18on

日志系统也从Log4j1迁移到了reload4j，这是Log4j1的一个维护分支，解决了原始Log4j1的一些安全问题。

其他重要改进

TLS客户端证书处理更加灵活。server.requireClientCertificates配置项现在支持三个值：

• required：必须提供客户端证书(等同于旧版true)
• optional：可选提供客户端证书(等同于旧版false)
• none：完全不请求客户端证书

Gitblit Authority组件修复了当用户从Gitblit删除但仍保留证书时可能导致的问题。Bugtraq功能也得到了改进，当提交编码不受支持时会回退到UTF-8，确保提交信息能够正确显示。

对于使用Jenkins集成的用户，新版本增加了对Jenkins访问令牌的支持，通过groovy.jenkinsToken配置项可以方便地设置。

总结

Gitblit 1.10.0是一个以安全性和现代化为主要目标的版本。它不仅修复了多个安全问题，还更新了技术栈，改进了SSH密钥支持，并提升了用户体验。对于现有用户，特别是那些依赖SSH访问或关心系统安全的用户，升级到这个版本是强烈推荐的。新用户则可以享受到更现代化的密钥支持和更稳定的功能体验。