La version 18.1 de la plateforme de développement GitLab est disponible, introduisant le registre virtuel Maven en version bêta et l'assistant alimenté par l'IA "Duo Code Review"

La version 18.1 de la plateforme de développement GitLab est disponible, introduisant le registre virtuel Maven en version bêta et l'assistant alimenté par l'IA "Duo Code Review"

GitLab Inc annonce que GitLab 18.1 est disponible. Cette version introduit le registre virtuel Maven en version bêta, qui simplifie la gestion des dépendances Maven pour les clients Premium et Ultimate sur GitLab.com et les instances autogérées. Duo Code Review est désormais disponible pour tous et prêt à être utilisé en production. Cet assistant alimenté par l'IA fournit des commentaires automatisés sur les demandes de fusion, aidant les développeurs à identifier plus rapidement les bugs potentiels, les failles de sécurité et les problèmes de qualité du code.

GitLab Inc. est une société américaine qui exploite et développe GitLab, un progiciel DevOps open-core permettant de développer, sécuriser et exploiter des logiciels. GitLab comprend un système de contrôle de version distribué basé sur Git, incluant des fonctionnalités telles que le contrôle d'accès, le suivi des bogues, les demandes de fonctionnalités logicielles, la gestion des tâches, et des wikis pour chaque projet, ainsi que des extraits de code.

GitLab propose sa plateforme de développement selon un modèle freemium. Le logiciel est disponible en version communautaire et en version commerciale. GitLab compterait plus de 30 millions d'utilisateurs enregistrés, dont 1 million d'utilisateurs actifs sous licence. Il y a plus de 3 300 contributeurs de code et membres d'équipe dans plus de 60 pays.

Récemment, GitLab Inc a dévoilé GitLab 18.1. Cette nouvelle version offre plusieurs nouvelles fonctionnalités et améliorations aux développeurs qui utilisent cette alternative de premier plan à GitHub. Cette version introduit le registre virtuel Maven en version bêta, qui simplifie la gestion des dépendances Maven pour les clients Premium et Ultimate sur GitLab.com et les instances autogérées. Bien que le registre soit actuellement en version bêta, la prochaine version disponible pour tous apportera encore plus de flexibilité, notamment une interface utilisateur web, des registres en amont partageables, de nouveaux outils de gestion du cycle de vie du cache et des analyses améliorées.

Suite à ces améliorations du registre, Duo Code Review est désormais disponible pour tous et prêt à être utilisé en production. Cet assistant alimenté par l'IA fournit des commentaires automatisés sur les demandes de fusion, aidant les développeurs à identifier plus rapidement les bugs potentiels, les failles de sécurité et les problèmes de qualité du code.

En matière de sécurité, GitLab vérifie désormais les identifiants des utilisateurs à la recherche de fuites de mots de passe connues lors de la connexion. Si un mot de passe compromis est détecté, les utilisateurs reçoivent une alerte sous forme de bannière sur le site et une notification par e-mail.

En outre, GitLab 18.1 introduit également de nouveaux composants d'intégration continue et de déploiement continu (CI/CD) pour atteindre la conformité au niveau 1 de la norme SLSA (Supply-chain Levels for Software Artifacts), permettant la signature et la vérification des artefacts via les métadonnées de provenance générées par GitLab Runner.

Voici les principales améliorations apportées à GitLab 18.1 :

Registre virtuel Maven désormais disponible en version bêta

Le registre virtuel Maven simplifie la gestion des dépendances Maven dans GitLab. Sans le registre virtuel Maven, vous devez configurer chaque projet pour accéder aux dépendances depuis Maven Central, des référentiels privés ou le registre de paquets GitLab. Cette approche ralentit les builds avec des requêtes séquentielles au référentiel et complique les audits de sécurité et les rapports de conformité.

Le registre virtuel Maven résout ces problèmes en regroupant plusieurs référentiels en amont derrière un seul point de terminaison. Les ingénieurs de plateforme peuvent configurer Maven Central, les registres privés et les registres de paquets GitLab via une seule URL. La mise en cache intelligente améliore les performances de compilation et s'intègre aux systèmes d'authentification de GitLab. Les organisations bénéficient d'une réduction des frais de configuration, d'une compilation plus rapide et d'un contrôle d'accès centralisé pour une sécurité et une conformité améliorées.

Le registre virtuel Maven est actuellement disponible en version bêta pour les clients GitLab Premium et Ultimate sur GitLab.com et GitLab autogéré. La version GA (disponibilité générale) inclura des fonctionnalités supplémentaires, telles qu'une interface utilisateur web pour la configuration du registre, une fonctionnalité en amont partageable, des politiques de cycle de vie pour la gestion du cache et des analyses améliorées. Les limitations actuelles de la version bêta incluent un maximum de 20 registres virtuels par groupe de niveau supérieur et 20 registres en amont par registre virtuel, avec une configuration uniquement via API disponible pendant la période bêta.


Duo Code Review est désormais disponible pour tous

Duo Code Review est désormais disponible et prêt à être utilisé en production. Cet assistant de révision de code alimenté par l'IA transforme le processus traditionnel de révision de code en fournissant des commentaires intelligents et automatisés sur vos demandes de fusion. Il aide à identifier les bogues potentiels, les failles de sécurité et les problèmes de qualité du code avant que les réviseurs humains n'interviennent, rendant ainsi l'ensemble du processus de révision plus efficace et plus approfondi. Il comprend :

• Révision initiale automatisée : Duo Code Review analyse vos modifications de code et fournit des commentaires complets sur les problèmes potentiels, les améliorations et les meilleures pratiques.
• Perfectionnement interactif : mentionnez @GitLabDuo dans les commentaires de la demande de fusion pour obtenir des commentaires ciblés sur des modifications ou des questions spécifiques.
• Suggestions exploitables : de nombreuses suggestions peuvent être appliquées directement depuis votre navigateur, ce qui rationalise le processus d'amélioration.
• Analyse contextuelle : exploite la compréhension des fichiers modifiés pour fournir des recommandations pertinentes et spécifiques au projet.

Pour demander une révision de code :

• Dans votre demande de fusion, ajoutez @GitLabDuo en tant que réviseur à l'aide de l'action rapide /assign_reviewer @GitLabDuo, ou désignez directement GitLab Duo comme réviseur.
• Mentionnez @GitLabDuo dans les commentaires pour poser des questions spécifiques ou demander des commentaires ciblés sur n'importe quel fil de discussion.
• Activez les révisions automatiques dans les paramètres de votre projet pour que GitLab Duo révise automatiquement toutes les nouvelles demandes de fusion.

Détection des mots de passe compromis pour les identifiants GitLab natifs

GitLab.com effectue désormais une vérification sécurisée des informations d'identification de votre compte lorsque vous vous connectez à GitLab.com. Si votre mot de passe fait partie d'une fuite connue, GitLab affiche une bannière et vous envoie une notification par e-mail. Ces notifications comprennent des instructions sur la manière de mettre à jour vos informations d'identification.

Pour une sécurité maximale, GitLab recommande d'utiliser un mot de passe unique et fort pour GitLab, d'activer l'authentification à deux facteurs et de vérifier régulièrement l'activité de votre compte.

Remarque : cette fonctionnalité n'est disponible que pour les noms d'utilisateur et mots de passe GitLab natifs. Les informations d'identification SSO ne sont pas vérifiées.


Obtenez la conformité SLSA niveau 1 avec les composants CI/CD

Vous pouvez désormais obtenir la conformité SLSA niveau 1 à l'aide des nouveaux composants CI/CD de GitLab pour signer et vérifier les métadonnées de provenance des artefacts conformes à SLSA générées par GitLab Runner. Les composants intègrent la fonctionnalité Sigstore Cosign dans des modules réutilisables qui peuvent être facilement intégrés dans les workflows CI/CD.


Autres améliorations dans GitLab 18.1

Plusieurs correspondances par fichier dans la recherche de code

La recherche de code exacte (en version bêta) regroupe désormais plusieurs résultats de recherche provenant du même fichier dans une seule vue. Cette amélioration :

• Préserve le contexte entre les correspondances adjacentes au lieu d'afficher des lignes isolées.
• Réduit l'encombrement visuel en éliminant les contenus en double lorsque les correspondances sont proches les unes des autres.
• Améliore la navigation en affichant clairement le nombre de correspondances par fichier.
• Améliore la lisibilité en affichant le code tel que vous le verriez dans votre éditeur.

Grâce à cette modification, la recherche et la compréhension des modèles de code dans vos référentiels sont désormais plus efficaces.


Validation améliorée des fichiers CODEOWNERS avec vérification des autorisations

GitLab offre désormais une validation améliorée des fichiers CODEOWNERS qui va au-delà de la simple vérification syntaxique. Lorsque vous consultez un fichier CODEOWNERS, GitLab exécute automatiquement des validations complètes pour vous aider à identifier les problèmes de syntaxe et d'autorisation avant qu'ils n'affectent vos workflows de demande de fusion.

La validation améliorée vérifie les 200 premières références uniques d'utilisateurs et de groupes dans votre fichier CODEOWNERS et vérifie que :

• Tous les utilisateurs et groupes référencés ont accès au projet.
• Les utilisateurs disposent des autorisations nécessaires pour approuver les demandes de fusion.
• Les groupes disposent au moins d'un accès de niveau développeur ou supérieur.
• Les groupes contiennent au moins un utilisateur disposant des autorisations d'approbation des demandes de fusion.

Cette validation proactive permet d'éviter les perturbations du workflow d'approbation en détectant rapidement les problèmes de configuration, garantissant ainsi que vos propriétaires de code peuvent réellement remplir leurs responsabilités de révision lorsque des demandes de fusion sont créées.

Afficher les journaux des tâches du pipeline en aval dans VS Code

L'extension GitLab Workflow pour VS Code affiche désormais les journaux des tâches des pipelines en aval directement dans votre éditeur. Auparavant, pour afficher les journaux des pipelines enfants, il fallait passer à l'interface web GitLab.


Parité de détection DAST avec les règles par défaut de détection des secrets

L'analyseur DAST intègre désormais automatiquement les mêmes règles par défaut de détection des secrets que celles utilisées par l'analyseur Secret Detection de GitLab. Cette amélioration garantit la cohérence des types de secrets détectés par les deux analyseurs.

Filtrer par version de composant dans la liste des dépendances

Les listes de dépendances prennent désormais en charge le filtrage par numéro de version d'un composant. Vous pouvez sélectionner plusieurs versions (par exemple, version=1.1,1.2,1.4), mais les plages ne sont pas prises en charge. Cette fonctionnalité est disponible à la fois dans les groupes et les projets.


Fenêtre contextuelle d'état des contrôles dans le rapport d'état de conformité

Les contrôles dans le rapport d'état de conformité ont trois états différents :

• Réussi
• Échoué
• En attente

Quel que soit le nombre de contrôles associés à l'exigence, si au moins un contrôle était « en attente », toute la ligne de l'exigence était également affichée comme « en attente ». Cela s'écartait du modèle UX établi pour la visualisation des contrôles échoués, où l'exigence affichait le nombre de contrôles associés à l'exigence, même lorsqu'il y avait au moins un contrôle échoué.

Pour fournir davantage de contexte et d'informations sur les contrôles « en attente », cette version propose désormais une fenêtre contextuelle qui s'affiche lorsque vous passez la souris sur le statut de la ligne d'exigence, avec le statut de chaque contrôle répertorié. Vous pouvez désormais comprendre quels contrôles sont en attente et lesquels sont susceptibles de réussir ou d'échouer, plutôt que de simplement voir un seul statut « en attente ».

Filtrer les utilisateurs humains et les bots

Les instances GitLab établies peuvent souvent compter un grand nombre d'utilisateurs humains et de bots. Vous pouvez désormais filtrer la liste des utilisateurs dans la zone d'administration par type d'utilisateur. Le filtrage des utilisateurs peut vous aider à :

• Identifier et gérer rapidement les utilisateurs humains séparément des comptes automatisés.
• Effectuer des actions administratives ciblées sur des types d'utilisateurs spécifiques.
• Simplifier les workflows d'audit et de gestion des utilisateurs.

Identifiant ORCID dans le profil utilisateur

GitLab prend désormais en charge les identifiants ORCID dans les profils utilisateur, ce qui rend GitLab plus accessible et plus utile pour les chercheurs et la communauté universitaire. ORCID (Open Researcher and Contributor ID) fournit aux chercheurs un identifiant numérique permanent qui les distingue des autres chercheurs et prend en charge les liens automatisés entre les chercheurs et leurs activités professionnelles, garantissant ainsi que leur travail est correctement reconnu.

S'abonner aux notifications du pipeline du compte de service

Vous pouvez désormais vous abonner aux notifications pour les événements de pipeline déclenchés par les comptes de service. Les notifications sont envoyées lorsque le pipeline réussit, échoue ou est corrigé. Auparavant, ces notifications n'étaient envoyées qu'à l'adresse e-mail du compte de service si celui-ci disposait d'une adresse e-mail personnalisée valide.

Afficher les jetons d'accès personnels inactifs

GitLab désactive automatiquement les jetons d'accès après leur expiration ou leur révocation. Vous pouvez désormais consulter ces jetons inactifs. Auparavant, les jetons d'accès n'étaient plus visibles une fois qu'ils étaient devenus inactifs. Cette modification améliore la traçabilité et la sécurité de ces types de jetons.


Expérience améliorée de révision des demandes de fusion avec le panneau de révision

Lorsque vous examinez une demande de fusion, il peut être utile de consulter tous les commentaires et retours que vous avez fournis avant de soumettre votre examen. Auparavant, cette expérience était fragmentée entre le commentaire final et une fenêtre contextuelle supplémentaire permettant de voir vos commentaires en attente, ce qui rendait difficile d'avoir une vue d'ensemble complète.

Lorsque vous effectuez des révisions de code, vous pouvez désormais accéder à un tiroir dédié qui regroupe tous vos commentaires en attente dans une vue organisée. Le panneau de révision amélioré déplace l'interface de soumission de révision vers un emplacement plus accessible et affiche un badge numéroté indiquant le nombre de commentaires en attente. Lorsque vous ouvrez le panneau, tous vos commentaires sont organisés dans une liste déroulante, ce qui facilite la révision et la gestion de vos commentaires avant leur soumission.


GitLab Runner 18.1

Avec cette version, GitLab inc lance également GitLab Runner 18.1. GitLab Runner est un agent de build évolutif qui exécute vos tâches CI/CD et renvoie les résultats à une instance GitLab. GitLab Runner fonctionne en conjonction avec GitLab CI/CD, le service d'intégration continue open source inclus dans GitLab.

Prise en charge PHP pour Advanced SAST

Cette version apporte la prise en charge de PHP à GitLab Advanced SAST. Pour utiliser cette nouvelle fonctionnalité d'analyse inter-fichiers et inter-fonctions, activez Advanced SAST. Si vous avez déjà activé Advanced SAST, la prise en charge de PHP est automatiquement activée.

Contrôles de priorité des variables dans les politiques d'exécution des pipelines

Les équipes de sécurité doivent souvent trouver un équilibre délicat entre la garantie de la sécurité et l'expérience des développeurs. Il est essentiel de s'assurer que les analyses de sécurité sont correctement appliquées, mais les analyseurs de sécurité peuvent nécessiter des contributions spécifiques de la part des équipes de développement pour fonctionner correctement. Grâce aux contrôles de priorité des variables, les équipes de sécurité disposent désormais d'un contrôle granulaire sur la manière dont les variables sont gérées dans les politiques d'exécution des pipelines grâce à la nouvelle option de configuration variables_override.

Grâce à cette nouvelle configuration, vous pouvez désormais :

• Appliquer des politiques d'analyse des conteneurs qui autorisent les chemins d'accès aux images de conteneurs spécifiques au projet (CS_IMAGE).
• Autoriser les variables à faible risque telles que SAST_EXCLUDED_PATHS tout en bloquant les variables à haut risque telles que SAST_DISABLED.
• Définir des informations d'identification partagées globalement qui sont sécurisées (masquées ou cachées) avec des variables CI/CD globales, telles que AWS_CREDENTIALS, tout en autorisant les remplacements spécifiques au projet lorsque cela est approprié via des variables CI/CD au niveau du projet.

Cette fonctionnalité prend en charge deux approches :

• Verrouiller les variables par défaut (allow: false) : verrouillez toutes les variables sauf celles que vous listez comme exceptions.
• Autoriser les variables par défaut (allow: true) : autorisez la personnalisation des variables, mais limitez les risques critiques en les listant comme exceptions.

Pour améliorer la traçabilité et le dépannage lorsqu'une politique d'exécution de pipeline est à l'origine d'une tâche CI/CD, cette version introduit également des journaux de tâches afin d'aider les développeurs et les équipes de sécurité à identifier les tâches exécutées par une politique. Les journaux de tâches fournissent des détails sur l'impact des remplacements de variables afin de vous aider à comprendre si les variables sont remplacées ou verrouillées par des politiques.


Définir name pour les contrôles personnalisés externes

Auparavant, vous ne pouviez pas définir de nom pour un contrôle personnalisé externe lors de la création d'un cadre de conformité personnalisé, ce qui rendait difficile l'identification des contrôles externes lorsqu'ils étaient répertoriés aux côtés des contrôles GitLab.

Cette version ajoute un champ Name dans le cadre du workflow lors de la définition d'un contrôle personnalisé externe, afin que vous puissiez créer plusieurs contrôles personnalisés externes et définir clairement chacun d'entre eux avec son propre nom unique.

Couverture SAST accrue pour la résolution des vulnérabilités Duo

Auparavant, vous deviez résoudre manuellement les vulnérabilités détectées à l'aide des identifiants CWE (Common Weakness Enumeration) suivants :

• CWE-78 (injection de commande)
• CWE-89 (injection SQL)

Désormais, Duo Vulnerability Resolution peut corriger automatiquement ces vulnérabilités.

Pagination pour les exigences dans l'interface utilisateur des cadres de conformité

Lors de la création d'un cadre de conformité, vous pouvez spécifier un maximum de 50 exigences. Cependant, il devient très difficile de naviguer dans un cadre de conformité avec autant d'exigences, car celles-ci occupent beaucoup d'espace dans l'interface utilisateur.

Cette version introduit la pagination des exigences afin de faciliter la navigation, la recherche et la sélection des exigences lorsque celles-ci sont nombreuses dans un cadre de conformité.

Nouvel argument accessLevels pour projectMembers dans l'API GraphQL

Cette version ajoute l'argument accessLevels au champ projectMembers dans l'API GraphQL. Utilisez cet argument pour filtrer les membres du projet par niveau d'accès directement à partir d'un appel API. Auparavant, vous deviez récupérer la liste complète des membres du projet et appliquer des filtres localement, ce qui ajoutait une charge de calcul importante. Désormais, l'analyse des autorisations du projet et la génération de graphiques de propriété sont plus rapides et plus efficaces en termes de ressources. Cette amélioration est particulièrement utile pour les organisations qui gèrent des déploiements à grande échelle avec des structures d'autorisation complexes.

Source : GitLab

Et vous ?

Pensez-vous que ces améliorations sont crédibles ou pertinentes ?
Quel est votre avis sur la mise à jour ?

Voir aussi :

GitLab permet de rassembler toutes les fonctionnalités DevOps en un seul endroit, afin de permettre aux équipes de collaborer et de contribuer

GitLab, la plateforme DevSecOps alimentée par l'IA, nomme Bill Staples au poste de PDG et le cofondateur Sid Sijbrandij devient président exécutif du conseil d'administration

On ne peut pas faire confiance aux assistants IA pour produire du code sûr : l'assistant IA de GitLab a exposé les développeurs à l'injection d'une invite qui permet de voler le code source