La forge logicielle GitLab 18.10 est disponible avec la détection agentique des faux positifs pour les vulnérabilités SAST, des crédits IA pour le niveau gratuit et la connexion à l'aide de clés d'accèsLa version 18.10 de GitLab est désormais disponible. Cette mise à jour rend la détection des faux positifs SAST via la plateforme Duo Agent disponible en version générale, ce qui permet d'améliorer le tri des vulnérabilités pour les résultats critiques et de gravité élevée. De plus, les propriétaires de groupes GitLab.com disposant d'un compte gratuit peuvent désormais acheter des crédits mensuels pour activer les fonctionnalités d'intelligence artificielle (IA) sans souscription. Cette version ajoute également la connexion sans mot de passe à l'aide de clés d'accès pour renforcer la sécurité sur tous les appareils, ainsi que plusieurs autres améliorations.
GitLab est un logiciel libre de forge basé sur git proposant les fonctionnalités de wiki, un système de suivi des bugs, l’intégration continue et la livraison continue (CI/CD). Développé par GitLab Inc et créé par Dmitriy Zaporozhets et par Valery Sizov, le logiciel est utilisé par plusieurs grandes entreprises informatiques,dont IBM, Sony, la NASA, Alibaba, Oracle, O’Reilly Media, le CERN, et plus encore. GitLab peut être intégré à des produits destinés aux développeurs, tels que AWS ou Google Cloud, et peut être contrôlé à distance via une API. Il est disponible en édition communautaire et en édition commerciale.
Détection des faux positifs SAST avec la plateforme GitLab Duo Agent
La détection des faux positifs SAST, initialement lancée en version bêta dans GitLab 18.7, est désormais disponible pour tous les utilisateurs dans GitLab 18.10.
Lorsqu'un scan de sécurité est lancé, la plateforme GitLab Duo Agent analyse chaque vulnérabilité SAST de gravité critique ou élevée et détermine la probabilité qu'il s'agisse d'un faux positif. Cette évaluation apparaît directement dans le rapport de vulnérabilité, offrant ainsi aux équipes le contexte nécessaire pour effectuer un triage en toute confiance, sans incertitude.
Les principales fonctionnalités comprennent :
- Analyse automatique : la détection des faux positifs s'exécute automatiquement après chaque analyse de sécurité, sans aucune intervention manuelle.
- Option manuelle : les utilisateurs peuvent lancer manuellement la détection des faux positifs pour des vulnérabilités spécifiques depuis la page de détails de la vulnérabilité, pour une analyse à la demande.
- Priorité aux résultats à fort impact : limiter l'analyse aux vulnérabilités SAST critiques et de gravité élevée permet de se concentrer sur l'essentiel.
- Raisonnement contextuel basé sur l'IA : chaque évaluation explique pourquoi un résultat peut être ou non un faux positif, en tenant compte du contexte du code, du flux de données et des caractéristiques de la vulnérabilité propres à l'analyse statique.
- Intégration transparente dans le flux de travail : les résultats apparaissent directement dans le rapport de vulnérabilité, aux côtés des informations existantes sur la gravité, le statut et les mesures correctives — aucune modification des flux de travail existants n'est nécessaire.
Cette fonctionnalité est disponible pour les clients Ultimate disposant de la plateforme GitLab Duo Agent. Elle doit être activée dans les paramètres du groupe ou du projet.
Achat de crédits GitLab pour le niveau gratuit sur GitLab.com
Les propriétaires de groupes du niveau gratuit sur GitLab.com peuvent désormais accéder aux fonctionnalités d'IA grâce aux crédits GitLab. Ils peuvent acheter un forfait mensuel de crédits, s'engager pour une durée d'un an et accéder aux agents et aux flux de la plateforme GitLab Duo Agent. Les crédits sont renouvelés automatiquement chaque mois, afin que les équipes disposent toujours de ce dont elle a besoin pour développer plus rapidement et plus efficacement.
Points forts :
- Tarification à l'utilisation : achat d'un forfait mensuel de crédits sans abonnement à un forfait de base.
- Achat en libre-service : achat de crédits via le processus d'achat GitLab.
- Mise à niveau transparente : le forfait de crédits est transféré si l'utilisateur passe ultérieurement à Premium ou Ultimate.
- Suivi de la consommation : l'utilisation des crédits peut être suivie via le tableau de bord des crédits GitLab.
Cette option d'achat n'est actuellement disponible que pour les groupes de premier niveau gratuits sur GitLab.com.
Connexion sécurisée avec les clés d'accès
GitLab prend désormais en charge les clés d'accès pour une connexion sans mot de passe et comme méthode d'authentification à deux facteurs (2FA) résistante au phishing. Les clés d'accès utilisent la cryptographie à clé publique et l'authentification biométrique (empreinte digitale, reconnaissance faciale) ou le code PIN d'un appareil pour accéder à un compte en toute sécurité.
Les clés d'accès offrent les avantages suivants :
- Commodité sans mot de passe : connexion à l'aide des données biométriques ou du code PIN d'un appareil, sans avoir à mémoriser de mot de passe.
- Prise en charge multi-appareils : utilisation des clés d'accès sur les navigateurs de bureau, les appareils mobiles (iOS 16 ou version ultérieure, Android 9 ou version ultérieure) et les clés de sécurité matérielles compatibles FIDO2/WebAuthn.
- Sécurité anti-hameçonnage : la clé privée ne quitte jamais l'appareil de l'utilisateur. GitLab ne stocke que la clé publique, ce qui protège le compte même si les serveurs GitLab venaient à être compromis.
- Intégration automatique de l'authentification à deux facteurs (2FA) : pour les comptes sur lesquels la 2FA est activée, les clés d'accès deviennent la méthode de 2FA par défaut.
Liste des éléments de travail et des vues enregistrées
L'expérience de planification sur GitLab fait l'objet d'une mise à jour majeure avec l'arrivée de la liste des éléments de travail et des vues enregistrées, qui réunissent deux fonctionnalités attendues depuis longtemps :
- La liste des éléments de travail regroupe les epics, les tickets et les autres éléments de travail en une seule liste unifiée, ce qui évite d'avoir à passer d'une page à l'autre pour consulter les différents types d'éléments. Cela facilite la compréhension des relations entre les différents objets de planification.
- Les vues enregistrées permettent de créer et d'enregistrer des configurations de liste personnalisées, notamment des filtres, des critères de tri et des options d'affichage. Cela rend les vérifications de routine plus efficaces et favorise l'uniformisation des méthodes d'affichage du travail au sein de l'équipe.
Il s'agit de la prochaine étape dans l'évolution des éléments de travail GitLab, une architecture unifiée conçue pour garantir la cohérence et offrir de nouvelles fonctionnalités dans l'ensemble des outils de planification GitLab.
Les agents personnalisés peuvent utiliser le MCP pour accéder à des données externes
Les utilisateurs peuvent désormais connecter des agents personnalisés du catalogue IA à des sources de données et des outils externes via le Model Context Protocol (MCP), sans quitter GitLab. Cette fonctionnalité est expérimentale.
Appliquer les conventions de nommage des titres des demandes de fusion à l'aide d'expressions régulières
Selon l'équipe de GitLab, il est important de veiller à la cohérence des titres des demandes de fusion pour les équipes qui s'appuient sur des conventions de nommage structurées. Qu'il s'agisse de respecter le format Conventional Commits ou d'établir un lien vers un système de suivi interne. Auparavant, les équipes avaient besoin d'outils externes ou de tâches personnalisées dans le pipeline CI/CD pour appliquer ces conventions, mais cette approche présentait une lacune majeure. Si quelqu'un modifiait le titre de la demande de fusion après l'exécution du pipeline, aucune revalidation n'était effectuée et la demande pouvait tout de même être fusionnée avec un titre non conforme.
Les utilisateurs peuvent désormais configurer une expression régulière obligatoire pour le titre des demandes de fusion dans les paramètres de leur projet. Une fois cette configuration effectuée, GitLab vérifie si le titre de la demande de fusion correspond au modèle défini afin de s'assurer qu'elle peut être fusionnée ; la fusion est bloquée jusqu'à ce que le titre soit mis à jour pour se conformer à cette règle, quelle que soit la date de la dernière modification du titre.
Pour configurer cette fonctionnalité, accédez aux Paramètres > Demandes de fusion du projet et saisissez un modèle d'expression régulière dans le champ Le titre de la demande de fusion doit correspondre à l'expression régulière.
Les workflows de demande de fusion existants continuent de fonctionner comme auparavant. Cette vérification s'applique uniquement aux projets pour lesquels une expression régulière de titre a été explicitement configurée.
Détection des faux positifs liés aux secrets grâce à l'IA (version bêta)
Les équipes de sécurité consacrent beaucoup de temps à examiner les résultats de détection de secrets qui s'avèrent être des faux positifs. Il s'agit par exemple d'identifiants de test, de valeurs d'exemple et de jetons de remplacement qui sont signalés à tort comme étant de véritables secrets. Les faux positifs entraînent une lassitude face aux alertes, sapent la confiance dans les résultats des analyses et détournent l'attention des véritables risques de sécurité.
GitLab 18.10 introduit une fonctionnalité de détection des faux positifs pour les secrets, basée sur l'IA (en version bêta). Lorsqu'un scan de sécurité est lancé, GitLab Duo analyse automatiquement chaque vulnérabilité de détection de secret de gravité « Critique » ou « Élevée » afin de déterminer s'il s'agit d'un faux positif.
L'évaluation par l'IA apparaît directement dans le rapport de vulnérabilité, offrant ainsi aux ingénieurs en sécurité un contexte immédiat qui leur permet de prendre des décisions de triage plus rapides et en toute confiance.
Les principales fonctionnalités sont les suivantes :
- Analyse automatique : la détection des faux positifs s'exécute automatiquement après chaque analyse de sécurité, sans intervention manuelle.
- Option de déclenchement manuel : l'utilisateur peut déclencher manuellement la détection des faux positifs pour des vulnérabilités spécifiques depuis la page de détails de la vulnérabilité, afin d'effectuer une analyse à la demande.
- Priorité aux résultats à fort impact : le système se concentre sur les vulnérabilités de gravité « critique » et « élevée » afin d'optimiser le rapport signal/bruit.
- Raisonnement contextuel basé sur l'IA : chaque évaluation comprend une explication indiquant pourquoi le résultat peut être ou non un vrai positif, en fonction du contexte du code et des caractéristiques de la vulnérabilité.
- Note de confiance : chaque détection est accompagnée d'une note de confiance afin d'aider les équipes à hiérarchiser les vérifications en fonction du degré de certitude du modèle.
- Intégration transparente dans le flux de travail : les résultats s'affichent directement dans le rapport de vulnérabilité, aux côtés des informations existantes sur la gravité, le statut et la correction.
Cette fonctionnalité est disponible en version bêta gratuite pour les clients Ultimate et doit être activée dans les paramètres du groupe ou du projet.
Utiliser les paramètres d'exécution avec les tâches CI/CD
L'utilisation des variables CI/CD pour la configuration dynamique des tâches peut s'avérer complexe. Les variables obéissent à une hiérarchie de remplacement complexe, difficile à gérer, et ne peuvent pas être utilisées dans tous les cas de figure.
Les utilisateurs peuvent désormais utiliser les entrées pour définir des entrées explicites et typées au niveau de la tâche. Les entrées de tâche permettent de définir et de contrôler les valeurs acceptées par une tâche lors de son exécution. Grâce aux entrées de tâche, les utilisateurs bénéficient :
- Une sécurité de type (chaîne, nombre, booléen, tableau) ;
- De valeurs par défaut qui peuvent être statiques ou faire référence à des variables existantes.
- Une option permettant de définir une liste stricte de valeurs possibles à utiliser.
- La prise en charge des expressions régulières pour la validation des valeurs saisies.
Les données d'entrée des tâches peuvent utiliser les valeurs par défaut sans aucune intervention de l'utilisateur, mais il est possible de modifier ces valeurs lors de la relance d'une tâche ou de l'exécution manuelle d'une tâche.
Source : GitLab 18.10
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des nouveautés proposées par cette version ? Les trouvez-vous utiles et intéressantes ?Voir aussi :
La forge logicielle GitLab 18.9 est disponible et introduit la disponibilité générale de Duo Agent Platform pour les clients cloud, la résolution des vulnérabilités SAST et bien plus encore
La version 18.8 de la forge logicielle GitLab est sortie et rend la plateforme d'orchestration d'agents IA Duo Agent, ainsi que les agents Duo Planner et Duo Security Analyst, disponibles pour tous
La forge logicielle GitLab 18.7 propose de nouvelles automatisations, des contrôles de pipeline et des mises à jour de politiques pour aider les équipes à réduire le travail manuel et simplifier les processus
Vous avez lu gratuitement 22 373 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.