GitLab 18.3 将作业令牌的细粒度权限提升至通用可用状态，解决了关键的安全风险。此前，作业令牌会继承用户账户的过度特权权限，一旦被泄露就会产生漏洞。这项新功能允许维护者应用细粒度权限，控制作业令牌对特定 API 资源的访问。遵循最小权限原则，作业令牌最初不具备 API 访问权限，除非明确授予。此版本包括对仓库、部署、环境、作业、包、管道、发布、安全文件和 Terraform 状态的细粒度权限。未来的版本将把此功能扩展到更多的 API 端点，从而增强软件供应链的安全性。此举通过限制对必要资源的访问来减小攻击面。它还消除了对长效令牌的依赖，为个人访问令牌提供了更安全的选择。此功能通过为作业令牌与用户身份完全解耦奠定基础，为基于机器的身份识别做准备。它能够在不损害安全性的前提下，为复杂的 CI/CD 工作流实现大规模安全自动化。鼓励安全团队和 DevOps 工程师评估此 opt-in 功能，以用于自动化部署和基础设施管理。建议通过识别关键管道、审核权限需求、启用该功能并配置最小访问权限来逐步迁移。