La version 18.1 de la plateforme de développement GitLab est disponible, introduisant le registre virtuel Maven en version bêta et l'assistant alimenté par l'IA "Duo Code Review"

GitLab Inc annonce que GitLab 18.1 est disponible. Cette version introduit le registre virtuel Maven en version bêta, qui simplifie la gestion des dépendances Maven pour les clients Premium et Ultimate sur GitLab.com et les instances autogérées. Duo Code Review est désormais disponible pour tous et prêt à être utilisé en production. Cet assistant alimenté par l'IA fournit des commentaires automatisés sur les demandes de fusion, aidant les développeurs à identifier plus rapidement les bugs potentiels, les failles de sécurité et les problèmes de qualité du code.

GitLab Inc. est une société américaine qui exploite et développe GitLab, un progiciel DevOps open-core permettant de développer, sécuriser et exploiter des logiciels. GitLab comprend un système de contrôle de version distribué basé sur Git, incluant des fonctionnalités telles que le contrôle d'accès, le suivi des bogues, les demandes de fonctionnalités logicielles, la gestion des tâches, et des wikis pour chaque projet, ainsi que des extraits de code.

GitLab propose sa plateforme de développement selon un modèle freemium. Le logiciel est disponible en version communautaire et en version commerciale. GitLab compterait plus de 30 millions d'utilisateurs enregistrés, dont 1 million d'utilisateurs actifs sous licence. Il y a plus de 3 300 contributeurs de code et membres d'équipe dans plus de 60 pays.

Récemment, GitLab Inc a dévoilé GitLab 18.1. Cette nouvelle version offre plusieurs nouvelles fonctionnalités et améliorations aux développeurs qui utilisent cette alternative de premier plan à GitHub. Cette version introduit le registre virtuel Maven en version bêta, qui simplifie la gestion des dépendances Maven pour les clients Premium et Ultimate sur GitLab.com et les instances autogérées. Bien que le registre soit actuellement en version bêta, la prochaine version disponible pour tous apportera encore plus de flexibilité, notamment une interface utilisateur web, des registres en amont partageables, de nouveaux outils de gestion du cycle de vie du cache et des analyses améliorées.

Suite à ces améliorations du registre, Duo Code Review est désormais disponible pour tous et prêt à être utilisé en production. Cet assistant alimenté par l'IA fournit des commentaires automatisés sur les demandes de fusion, aidant les développeurs à identifier plus rapidement les bugs potentiels, les failles de sécurité et les problèmes de qualité du code.

En matière de sécurité, GitLab vérifie désormais les identifiants des utilisateurs à la recherche de fuites de mots de passe connues lors de la connexion. Si un mot de passe compromis est détecté, les utilisateurs reçoivent une alerte sous forme de bannière sur le site et une notification par e-mail.

En outre, GitLab 18.1 introduit également de nouveaux composants d'intégration continue et de déploiement continu (CI/CD) pour atteindre la conformité au niveau 1 de la norme SLSA (Supply-chain Levels for Software Artifacts), permettant la signature et la vérification des artefacts via les métadonnées de provenance générées par GitLab Runner.

Voici les principales améliorations apportées à GitLab 18.1 :

Registre virtuel Maven désormais disponible en version bêta

Le registre virtuel Maven simplifie la gestion des dépendances Maven dans GitLab. Sans le registre virtuel Maven, vous devez configurer chaque projet pour accéder aux dépendances depuis Maven Central, des référentiels privés ou le registre de paquets GitLab. Cette approche ralentit les builds avec des requêtes séquentielles au référentiel et complique les audits de sécurité et les rapports de conformité.

Le registre virtuel Maven résout ces problèmes en regroupant plusieurs référentiels en amont derrière un seul point de terminaison. Les ingénieurs de plateforme peuvent configurer Maven Central, les registres privés et les registres de paquets GitLab via une seule URL. La mise en cache intelligente améliore les performances de compilation et s'intègre aux systèmes d'authentification de GitLab. Les organisations bénéficient d'une réduction des frais de configuration, d'une compilation plus rapide et d'un contrôle d'accès centralisé pour une sécurité et une conformité améliorées.

Le registre virtuel Maven est actuellement disponible en version bêta pour les clients GitLab Premium et Ultimate sur GitLab.com et GitLab autogéré. La version GA (disponibilité générale) inclura des fonctionnalités supplémentaires, telles qu'une interface utilisateur web pour la configuration du registre, une fonctionnalité en amont partageable, des politiques de cycle de vie pour la gestion du cache et des analyses améliorées. Les limitations actuelles de la version bêta incluent un maximum de 20 registres virtuels par groupe de niveau supérieur et 20 registres en amont par registre virtuel, avec une configuration uniquement via API disponible pendant la période bêta.


Duo Code Review est désormais disponible pour tous

Duo Code Review est désormais disponible et prêt à être utilisé en production. Cet assistant de révision de code alimenté par l'IA transforme le processus traditionnel de révision de code en fournissant des commentaires intelligents et automatisés sur vos demandes de fusion. Il aide à identifier les bogues potentiels, les failles de sécurité et les problèmes de qualité du code avant que les réviseurs humains n'interviennent, rendant ainsi l'ensemble du processus de révision plus efficace et plus approfondi. Il comprend :

• Révision initiale automatisée : Duo Code Review analyse vos modifications de code et fournit des commentaires complets sur les problèmes potentiels, les améliorations et les meilleures pratiques.
• Perfectionnement interactif : mentionnez @GitLabDuo dans les commentaires de la demande de fusion pour obtenir des commentaires ciblés sur des modifications ou des questions spécifiques.
• Suggestions exploitables : de nombreuses suggestions peuvent être appliquées directement depuis votre navigateur, ce qui rationalise le processus d'amélioration.
• Analyse contextuelle : exploite la compréhension des fichiers modifiés pour fournir des recommandations pertinentes et spécifiques au projet.

Pour demander une révision de code :

• Dans votre demande de fusion, ajoutez @GitLabDuo en tant que réviseur à l'aide de l'action rapide /assign_reviewer @GitLabDuo, ou désignez directement GitLab Duo comme réviseur.
• Mentionnez @GitLabDuo dans les commentaires pour poser des questions spécifiques ou demander des commentaires ciblés sur n'importe quel fil de discussion.
• Activez les révisions automatiques dans les paramètres de votre projet pour que GitLab Duo révise automatiquement toutes les nouvelles demandes de fusion.

Détection des mots de passe compromis pour les identifiants GitLab natifs

GitLab.com effectue désormais une vérification sécurisée des informations d'identification de votre compte lorsque vous vous connectez à GitLab.com. Si votre mot de passe fait partie d'une fuite connue, GitLab affiche une bannière et vous envoie une notification par e-mail. Ces notifications comprennent des instructions sur la manière de mettre à jour vos informations d'identification.

Pour une sécurité maximale, GitLab recommande d'utiliser un mot de passe unique et fort pour GitLab, d'activer l'authentification à deux facteurs et de vérifier régulièrement l'activité de votre compte.

Remarque : cette fonctionnalité n'est disponible que pour les noms d'utilisateur et mots de passe GitLab natifs. Les informations d'identification SSO ne sont pas vérifiées.


Obtenez la conformité SLSA niveau 1 avec les composants CI/CD

Vous pouvez désormais obtenir la conformité SLSA niveau 1 à l'aide des nouveaux composants CI/CD de GitLab pour signer et vérifier les métadonnées de provenance des artefacts conformes à SLSA générées par GitLab Runner. Les composants intègrent la fonctionnalité Sigstore Cosign dans des modules réutilisables qui peuvent être facilement intégrés dans les workflows CI/CD.


Autres améliorations dans GitLab 18.1

Plusieurs correspondances par fichier dans la recherche de code

La recherche de code exacte (en version bêta) regroupe désormais plusieurs résultats de recherche provenant du même fichier dans une seule vue. Cette amélioration :

• Préserve le contexte entre les correspondances adjacentes au lieu d'afficher des lignes isolées.
• Réduit l'encombrement visuel en éliminant les contenus en double lorsque les correspondances sont proches les unes des autres.
• Améliore la navigation en affichant clairement le nombre de correspondances par fichier.
• Améliore la lisibilité en affichant le code tel que vous le verriez dans votre éditeur.

Grâce à cette modification, la recherche et la compréhension des modèles de code dans vos référentiels sont désormais plus efficaces.


Validation améliorée des fichiers CODEOWNERS avec vérification des autorisations

GitLab offre désormais une validation améliorée des fichiers CODEOWNERS qui va au-delà de la simple vérification syntaxique. Lorsque vous consultez un fichier CODEOWNERS, GitLab exécute automatiquement des validations complètes pour vous aider à identifier les problèmes de syntaxe et d'autorisation avant qu'ils n'affectent vos workflows de demande de fusion.

La validation améliorée vérifie les 200 premières références uniques d'utilisateurs et de groupes dans votre fichier CODEOWNERS et vérifie que :

• Tous les utilisateurs et groupes référencés ont accès au projet.
• Les utilisateurs disposent des autorisations nécessaires pour approuver les demandes de fusion.
• Les groupes disposent au moins d'un accès de niveau développeur ou supérieur.
• Les groupes contiennent au moins un utilisateur disposant des autorisations d'approbation des demandes de fusion.

Cette validation proactive permet d'éviter les perturbations du workflow d'approbation en détectant rapidement les problèmes de configuration, garantissant ainsi que vos propriétaires de code peuvent réellement remplir leurs responsabilités de révision lorsque des demandes de fusion sont créées.

Afficher les journaux des tâches du pipeline en aval dans VS Code

L'extension GitLab Workflow pour VS Code affiche désormais les journaux des tâches des pipelines en aval directement dans votre éditeur. Auparavant, pour afficher les journaux des pipelines enfants, il fallait passer à l'interface web GitLab.


Parité de détection DAST avec les règles par défaut de détection des secrets

L'analyseur DAST intègre désormais automatiquement les mêmes règles par défaut de détection des secrets que celles utilisées par l'analyseur Secret Detection de GitLab. Cette amélioration garantit la cohérence des types de secrets détectés par les deux analyseurs.

Filtrer par version de composant dans la liste des dépendances

Les listes de dépendances prennent désormais en charge le filtrage par numéro de version d'un composant. Vous pouvez sélectionner plusieurs versions (par exemple, version=1.1,1.2,1.4), mais les plages ne sont pas prises en charge. Cette fonctionnalité est disponible à la fois dans les groupes et les projets.


Fenêtre contextuelle d'état des contrôles dans le rapport d'état de conformité

Les contrôles dans le rapport d'état de conformité ont trois états différents :

• Réussi
• Échoué
• En attente

Quel que soit le nombre de contrôles associés à l'exigence, si au moins un contrôle était « en attente », toute la ligne de l'exigence était également affichée comme « en attente ». Cela s'écartait du modèle UX établi pour la visualisation des contrôles échoués, où l'exigence affichait le nombre de contrôles associés à l'exigence, même lorsqu'il y avait au moins un contrôle échoué.

Pour fournir davantage de contexte et d'informations sur les contrôles « en attente », cette version propose désormais une fenêtre contextuelle qui s'affiche lorsque vous passez la souris sur le statut de la ligne d'exigence, avec le statut de chaque contrôle répertorié. Vous pouvez désormais comprendre quels contrôles sont en attente et lesquels sont susceptibles de réussir ou d'échouer, plutôt que de simplement voir un seul statut « en attente ».

Filtrer les utilisateurs humains et les bots

Les instances GitLab établies peuvent souvent compter un grand nombre d'utilisateurs humains et de bots. Vous pouvez désormais filtrer la liste des utilisateurs dans la zone d'administration par type d'utilisateur. Le filtrage des utilisateurs peut vous aider à :

• Identifier et gérer rapidement les utilisateurs humains séparément des comptes automatisés.
• Effectuer des actions administratives ciblées sur des types d'utilisateurs spécifiques.
• Simplifier les workflows d'audit et de gestion des utilisateurs.

Identifiant ORCID dans le profil utilisateur

GitLab prend désormais en charge les identifiants ORCID dans les profils utilisateur, ce qui rend GitLab plus accessible et plus utile pour les chercheurs et la communauté universitaire. ORCID (Open Researcher and Contributor ID) fournit aux chercheurs un identifiant numérique permanent qui les distingue des autres chercheurs et prend en charge les liens automatisés entre les chercheurs et leurs activités professionnelles, garantissant ainsi que leur travail est correctement reconnu.

S'abonner aux notifications du pipeline du compte de service

Vous pouvez désormais vous abonner aux notifications pour les événements de pipeline déclenchés par les comptes de service. Les notifications sont envoyées lorsque le pipeline réussit, échoue ou est corrigé. Auparavant, ces notifications n'étaient envoyées qu'à l'adresse e-mail du compte de service si celui-ci disposait d'une adresse e-mail personnalisée valide.

Afficher les jetons d'accès personnels inactifs

GitLab désactive automatiquement les jetons d'accès après leur expiration ou leur révocation. Vous pouvez désormais consulter ces jetons inactifs. Auparavant, les jetons d'accès n'étaient plus visibles une fois qu'ils étaient devenus inactifs. Cette modification améliore la traçabilité et la sécurité de ces types de jetons.


Expérience améliorée de révision des demandes de fusion avec le panneau de révision

Lorsque vous examinez une demande de fusion, il peut être utile de consulter tous les commentaires et retours que vous avez fournis avant de soumettre votre examen. Auparavant, cette expérience était fragmentée entre le commentaire final et une fenêtre contextuelle supplémentaire permettant de voir vos commentaires en attente, ce qui rendait difficile d'avoir une vue d'ensemble complète.

Lorsque vous effectuez des révisions de code, vous pouvez désormais accéder à un tiroir dédié qui regroupe tous vos commentaires en attente dans une vue organisée. Le panneau de révision amélioré déplace l'interface de soumission de révision vers un emplacement plus accessible et affiche un badge numéroté indiquant le nombre de commentaires en attente. Lorsque vous ouvrez le panneau, tous...