GitLab 18.3 では、ジョブ・トークンに対するきめ細やかな権限設定が一般提供（GA）となり、重大なセキュリティリスクに対処しました。以前は、ジョブ・トークンはユーザー・アカウントから過剰な権限を継承しており、侵害された場合に脆弱性が生じていました。この新機能により、メンテナーはきめ細やかな権限を設定し、特定の API リソースへのジョブ・トークンのアクセスを制御できるようになります。最小権限の原則に従い、ジョブ・トークンは明示的に許可されない限り、最初は API へのアクセス権を持ちません。このリリースには、リポジトリ、デプロイメント、環境、ジョブ、パッケージ、パイプライン、リリース、セキュアファイル、Terraform ステートに対するきめ細やかな権限設定が含まれています。今後のリリースでは、さらに多くの API エンドポイントに拡張され、ソフトウェア・サプライチェーンのセキュリティが強化されます。これにより、必要なリソースへのアクセスのみを制限することで、攻撃対象領域を縮小します。また、長期的なトークンへの依存を排除し、個人用アクセストークンよりも安全な代替手段を提供します。この機能は、ジョブ・トークンをユーザー・アイデンティティから完全に切り離すための基盤を構築し、機械ベースのアイデンティティに備えます。これにより、セキュリティを犠牲にすることなく、複雑な CI/CD ワークフローにおいて、安全な自動化を大規模に実現できます。セキュリティチームおよび DevOps エンジニアは、自動化されたデプロイメントとインフラストラクチャ管理のために、このオプトイン機能を評価することをお勧めします。段階的な移行は、重要なパイプラインを特定し、権限の必要性を監査し、機能を有効化し、最小限のアクセス権を設定することによって推奨されます。