La forge logicielle GitLab 18.10 est disponible avec la détection agentique des faux positifs pour les vulnérabilités SAST, des crédits IA pour le niveau gratuit et la connexion à l'aide de clés d'accès

La version 18.10 de GitLab est désormais disponible. Cette mise à jour rend la détection des faux positifs SAST via la plateforme Duo Agent disponible en version générale, ce qui permet d'améliorer le tri des vulnérabilités pour les résultats critiques et de gravité élevée. De plus, les propriétaires de groupes GitLab.com disposant d'un compte gratuit peuvent désormais acheter des crédits mensuels pour activer les fonctionnalités d'intelligence artificielle (IA) sans souscription. Cette version ajoute également la connexion sans mot de passe à l'aide de clés d'accès pour renforcer la sécurité sur tous les appareils, ainsi que plusieurs autres améliorations.

GitLab est un logiciel libre de forge basé sur git proposant les fonctionnalités de wiki, un système de suivi des bugs, l’intégration continue et la livraison continue (CI/CD). Développé par GitLab Inc et créé par Dmitriy Zaporozhets et par Valery Sizov, le logiciel est utilisé par plusieurs grandes entreprises informatiques,dont IBM, Sony, la NASA, Alibaba, Oracle, O’Reilly Media, le CERN, et plus encore. GitLab peut être intégré à des produits destinés aux développeurs, tels que AWS ou Google Cloud, et peut être contrôlé à distance via une API. Il est disponible en édition communautaire et en édition commerciale.


Détection des faux positifs SAST avec la plateforme GitLab Duo Agent

La détection des faux positifs SAST, initialement lancée en version bêta dans GitLab 18.7, est désormais disponible pour tous les utilisateurs dans GitLab 18.10.

Lorsqu'un scan de sécurité est lancé, la plateforme GitLab Duo Agent analyse chaque vulnérabilité SAST de gravité critique ou élevée et détermine la probabilité qu'il s'agisse d'un faux positif. Cette évaluation apparaît directement dans le rapport de vulnérabilité, offrant ainsi aux équipes le contexte nécessaire pour effectuer un triage en toute confiance, sans incertitude.


Les principales fonctionnalités comprennent :

• Analyse automatique : la détection des faux positifs s'exécute automatiquement après chaque analyse de sécurité, sans aucune intervention manuelle.
• Option manuelle : les utilisateurs peuvent lancer manuellement la détection des faux positifs pour des vulnérabilités spécifiques depuis la page de détails de la vulnérabilité, pour une analyse à la demande.
• Priorité aux résultats à fort impact : limiter l'analyse aux vulnérabilités SAST critiques et de gravité élevée permet de se concentrer sur l'essentiel.
• Raisonnement contextuel basé sur l'IA : chaque évaluation explique pourquoi un résultat peut être ou non un faux positif, en tenant compte du contexte du code, du flux de données et des caractéristiques de la vulnérabilité propres à l'analyse statique.
• Intégration transparente dans le flux de travail : les résultats apparaissent directement dans le rapport de vulnérabilité, aux côtés des informations existantes sur la gravité, le statut et les mesures correctives — aucune modification des flux de travail existants n'est nécessaire.

Cette fonctionnalité est disponible pour les clients Ultimate disposant de la plateforme GitLab Duo Agent. Elle doit être activée dans les paramètres du groupe ou du projet.

Achat de crédits GitLab pour le niveau gratuit sur GitLab.com

Les propriétaires de groupes du niveau gratuit sur GitLab.com peuvent désormais accéder aux fonctionnalités d'IA grâce aux crédits GitLab. Ils peuvent acheter un forfait mensuel de crédits, s'engager pour une durée d'un an et accéder aux agents et aux flux de la plateforme GitLab Duo Agent. Les crédits sont renouvelés automatiquement chaque mois, afin que les équipes disposent toujours de ce dont elle a besoin pour développer plus rapidement et plus efficacement.


Points forts :

• Tarification à l'utilisation : achat d'un forfait mensuel de crédits sans abonnement à un forfait de base.
• Achat en libre-service : achat de crédits via le processus d'achat GitLab.
• Mise à niveau transparente : le forfait de crédits est transféré si l'utilisateur passe ultérieurement à Premium ou Ultimate.
• Suivi de la consommation : l'utilisation des crédits peut être suivie via le tableau de bord des crédits GitLab.

Cette option d'achat n'est actuellement disponible que pour les groupes de premier niveau gratuits sur GitLab.com.

Connexion sécurisée avec les clés d'accès

GitLab prend désormais en charge les clés d'accès pour une connexion sans mot de passe et comme méthode d'authentification à deux facteurs (2FA) résistante au phishing. Les clés d'accès utilisent la cryptographie à clé publique et l'authentification biométrique (empreinte digitale, reconnaissance faciale) ou le code PIN d'un appareil pour accéder à un compte en toute sécurité.

Les clés d'accès offrent les avantages suivants :

• Commodité sans mot de passe : connexion à l'aide des données biométriques ou du code PIN d'un appareil, sans avoir à mémoriser de mot de passe.
• Prise en charge multi-appareils : utilisation des clés d'accès sur les navigateurs de bureau, les appareils mobiles (iOS 16 ou version ultérieure, Android 9 ou version ultérieure) et les clés de sécurité matérielles compatibles FIDO2/WebAuthn.
• Sécurité anti-hameçonnage : la clé privée ne quitte jamais l'appareil de l'utilisateur. GitLab ne stocke que la clé publique, ce qui protège le compte même si les serveurs GitLab venaient à être compromis.
• Intégration automatique de l'authentification à deux facteurs (2FA) : pour les comptes sur lesquels la 2FA est activée, les clés d'accès deviennent la méthode de 2FA par défaut.

Liste des...