GitLab 18.5 : l'intelligence au service du développement logiciel

Les équipes de développement logiciel croulent sous les alertes. Des milliers de vulnérabilités inondent les tableaux de bord de sécurité, mais seule une fraction d'entre elles présentent un risque réel. Les équipes naviguent constamment entre la planification des backlogs, le tri des vulnérabilités de sécurité, les revues de code et la résolution des pipelines CI/CD en échec, et doivent ainsi consacrer des heures à ces tâches manuelles. GitLab 18.5 apporte enfin un peu sérénité dans cet environnement stressant.

Cette version offre une amélioration majeure de l'expérience utilisateur globale de GitLab et de l'intégration de l'IA dans vos workflows. Une nouvelle interface avec des panneaux de suivi facilite la visualisation des données en contexte et garantit une visibilité permanente sur GitLab Duo Chat sur toute la plateforme, partout où vous en avez besoin. Des agents spécialisés s'attaquent au tri des vulnérabilités et à la gestion des backlogs, tandis que les outils d'IA populaires s'intègrent encore plus harmonieusement dans les workflows agentiques. Nous avons également étendu nos fonctionnalités de sécurité pour vous aider à mieux identifier les vulnérabilités exploitables et les failles théoriques, distinguer les identifiants actifs de ceux expirés et analyser uniquement le code modifié pour favoriser la concentration des équipes de développement.

Les nouveautés de la version GitLab 18.5

La version 18.5 représente notre plus importante release de l'année : visionnez notre présentation en vidéo et découvrez plus de détails dans la suite de l'article.

Une expérience utilisateur moderne avec un accès rapide à GitLab Duo

GitLab 18.5 modernise l'expérience utilisateur de GitLab : l'interface est désormais plus intuitive et pratique grâce à une nouvelle mise en page avec des panneaux de suivi.

Les panneaux de suivi affichent des informations clés côte à côte pour vous aider à traiter vos tâches en contexte sans perdre le fil. Par exemple, lorsque vous cliquez sur un ticket dans la liste, les détails s'affichent automatiquement dans un panneau latéral. Vous pouvez aussi ouvrir le panneau GitLab Duo Chat sur le côté droit de l'interface et l'utiliser à la demande sur n'importe quelle page de GitLab afin de poser des questions en contexte et de lui fournir des instructions en même temps que vous travaillez.

Plusieurs améliorations ont été apportées afin de renforcer l'accessibilité et de faciliter la navigation. La barre de recherche générale se trouve désormais centrée en haut de la page, tandis que les éléments de navigation globale (tickets assignés, merge requests, liste des tâches et icône utilisateur) sont affichés en haut à droite. De plus, la barre latérale peut être réduite et étendue pour une meilleure gestion de l'affichage de vos tâches.

Les équipes qui utilisent les fonctionnalités de la version bêta et expérimentale de GitLab Duo seront les premières à découvrir la nouvelle interface, suivie de tous les utilisateurs GitLab.com qui auront la possibilité de l'activer au moyen du bouton de bascule sous leur icône utilisateur. Pour obtenir plus d'informations sur cette fonctionnalité, consultez notre documentation. N'hésitez pas à partager vos commentaires ou à signaler tout problème ici, car c'est grâce à vous que nous pouvons améliorer GitLab!

Mises à jour de GitLab Duo Agent Platform

GitLab Duo Security Analyst Agent : transformez le tri manuel des vulnérabilités en automatisation intelligente

GitLab Duo Security Analyst Agent automatise les workflows de gestion des vulnérabilités grâce à une analyse alimentée par l'IA afin de transformer des heures de tri manuel en automatisation intelligente. Il s'appuie sur les outils de gestion des vulnérabilités disponibles via GitLab Duo Agentic Chat et orchestre plusieurs outils, applique des politiques de sécurité et crée automatiquement des flows personnalisés pour les workflows récurrents. Les équipes de sécurité peuvent non seulement accéder à des données de vulnérabilité enrichies, notamment les détails concernant les vulnérabilités ou expositions communes (CVE), l'analyse de la fonctionnalité d'atteignabilité statique et les informations de flux de code, mais aussi ignorer les faux positifs, confirmer les menaces, ajuster les niveaux de sévérité et créer des tickets associés pour correction au moyen de l'IA conversationnelle. L'agent réduit les clics répétitifs dans les tableaux de bord de vulnérabilités et remplace les scripts personnalisés par de simples commandes en langage naturel.

Par exemple, lorsqu'un scan de sécurité révèle des dizaines de vulnérabilités, il suffit d'utiliser le prompte suivant : « Ignore les vulnérabilités avec reachable=FALSE et crée des tickets pour les failles critiques. » GitLab Duo Security Analyst Agent analyse les données de la fonctionnalité d'atteignabilité statique, applique les politiques de sécurité et effectue des opérations groupées en quelques instants : il gère des tâches qui nécessiteraient autrement des heures.

Alors que les outils de gestion des vulnérabilités individuels sont accessibles directement via GitLab Duo Agentic Chat pour des tâches spécifiques, GitLab Duo Security Analyst Agent orchestre ces outils de manière intelligente et automatise des workflows complexes en plusieurs étapes. Les outils de gestion des vulnérabilités sont disponibles via GitLab Duo Agentic Chat sur les instances GitLab Self-managed et GitLab.com, et GitLab Duo Security Analyst Agent est disponible uniquement sur GitLab.com pour la version 18.5. Ls disponibilité dans les environnements GitLab Duo Self-managed et GitLab Duo Dedicated arrivera avec notre prochaine version. Découvrez notre démonstration :

GitLab Duo Planner : transformez un backlog encombré en clarté stratégique

Gérer une livraison logicielle complexe nécessite de constamment changer de contexte entre les tâches de planification. GitLab Duo Planner propose une solution aux défis de planification concrets que les équipes affrontent chaque jour. Il agit comme votre assistant : il connaît le contexte de votre projet, notamment comment vous gérez les tickets, les epics et les merge requests. Contrairement aux assistants IA génériques, il est spécialement conçu avec une connaissance approfondie des workflows de planification de GitLab ainsi que des frameworks Agile et de priorisation pour vous aider à gérer effort, risque et alignement stratégique.

GitLab Duo Planner peut transformer des idées vagues en tâches de planification hiérarchisées et structurées, identifier les éléments obsolètes du backlog et rédiger des mises à jour exécutives. Imaginez que vous souhaitez réorganiser votre backlog, qui contient des centaines de tickets accumulés sur plusieurs mois. Il vous suffit de demander : « Identifie les éléments obsolètes du backlog et suggère des priorités. » En quelques secondes, vous recevrez un résumé structuré avec les tickets sans activité récente, les éléments avec des détails clés manquants, les doublons et les priorités recommandées en fonction des labels et jalons, avec des conseils exploitables.

Pour les équipes avec des roadmaps complexes, GitLab Duo Planner vise à éliminer des heures d'analyse manuelle et de changements de contexte et à accélérer la prise de décisions informées des responsables produit et d'ingénierie. Depuis la version 18.5, GitLab Duo Planner est actuellement en « lecture seule » : il peut analyser, planifier et émettre des suggestions, mais ne peut pas encore agir directement pour modifier quoi que ce soit. Veuillez consulter notre documentation pour en savoir plus.

Large catalogue d'agents : les outils d'IA populaires comme agents GitLab natifs

Dans GitLab 18.5, les agents d'IA populaires sont intégrés directement dans le Catalogue IA. Par conséquent, des outils externes comme Claude, OpenAI Codex, Google Gemini CLI, Amazon Q Developer et OpenCode sont maintenant disponibles comme agents GitLab natifs. Les utilisateurs peuvent désormais découvrir, configurer et déployer ces agents via la même interface de catalogue unifiée utilisée pour les agents intégrés de GitLab, avec une synchronisation automatique des agents de base dans les catalogues de l'organisation.

Avec cette approche, plus besoin de gérer la configuration complexe et manuelle des agents : le catalogue est disponible en mode point-and-click, et la sécurité est maintenue à un niveau entreprise via les systèmes d'authentification et d'audit de GitLab. Les abonnements GitLab Duo Enterprise incluent désormais l'utilisation intégrée de Claude et Codex dans GitLab. Vous pouvez ainsi utiliser votre abonnement GitLab existant pour ces outils sans clé API séparée ni facturation supplémentaire. D'autres agents peuvent encore nécessiter des abonnements séparés et une configuration à mesure que nous finalisons nos plans d'intégration.

GitLab Duo Agent Platform sur GitLab Self-hosted (version bêta) : répondez aux exigences de souveraineté des données sans sacrifier la puissance de l'IA

GitLab 18.5 fait passer les capacités auto-hébergées de GitLab Duo Agent Platform de la version expérimentale à bêta pour que les organisations puissent exécuter des agents d'IA et des flows entièrement dans leur propre infrastructure, un critère primordial pour les industries réglementées et les exigences de souveraineté des données. La version bêta inclut des configurations de délai d'attente dépassé améliorées et des paramètres de passerelle d'IA (AI-Gateway) afin que les équipes puissent utiliser des agents d'IA pour les revues de code, les corrections de bogues et les implémentations de fonctionnalités avec une sécurité de niveau entreprise pour le code sensible.

Une sécurité plus intelligente et plus rapide : priorisez les risques réels et favorisez la concentration des équipes

GitLab 18.5 introduit de nouvelles fonctionnalités de sécurité applicative qui aident les équipes à se concentrer sur les risques exploitables, à réduire le bruit et à renforcer la sécurité de la chaîne d'approvisionnement logicielle. Ces mises à jour s'inscrivent dans notre engagement qui vise à intégrer la sécurité directement dans le processus de développement afin de garantir précision, vitesse et clarté sans perturber la concentration des équipes de développement.

Analyse de la fonctionnalité d'atteignabilité statique

Avec plus de 37 000 nouvelles CVE émises cette année, les équipes de sécurité font face à un volume écrasant de vulnérabilités et peinent à identifier celles qui peuvent être réellement exploitées. L'analyse de la fonctionnalité d'atteignabilité statique, désormais en disponibilité limitée, apporte une précision au niveau des bibliothèques et indique si le code vulnérable est réellement invoqué dans votre application et pas seulement présent dans les dépendances.

Avec notre score EPSS (Exploit Prediction Scoring System) récemment publié et notre base de données des vulnérabilités exploitées connues (Known Exploited Vulnerabilities ou KEV), les équipes de sécurité peuvent accélérer plus efficacement le tri des vulnérabilités et prioriser les risques réels pour renforcer la sécurité globale de la chaîne d'approvisionnement. Dans la version 18.5, nous ajoutons la prise en charge de Java, en plus de la prise en charge existante de Python, JavaScript et TypeScript.

Vérifications de la validité des secrets

Tout comme l'analyse de la fonctionnalité d'atteignabilité statique aide les équipes à prioriser les vulnérabilités exploitables des dépendances open source, les vérifications de la validité des secrets apportent le même niveau d'informations sur les secrets exposés. Cette fonctionnalité est actuellement disponible en version bêta sur GitLab.com et GitLab Self-Managed. Pour les tokens de sécurité émis par GitLab, au lieu de vérifier manuellement si un identifiant ou une clé API divulgués sont actifs, GitLab identifie automatiquement les secrets actifs et ceux expirés directement dans le Rapport de vulnérabilité. Les équipes de sécurité et de développement peuvent ainsi concentrer leurs efforts de remédiation sur les risques véritables. La prise en charge des secrets émis par AWS et GCP est prévue pour les versions futures.

Règles personnalisées pour l'analyseur Advanced SAST

L'analyseur Advanced de test statique de sécurité des applications (SAST) fonctionne selon des règles fondées par notre équipe de recherche en sécurité interne et conçues pour maximiser la précision dès le départ. Cependant, certaines équipes souhaitaient plus de flexibilité afin de pouvoir ajuster l'analyseur SAST à leur organisation. Avec les règles personnalisées pour l'analyseur Advanced SAST, les équipes AppSec peuvent définir une logique de détection atomique basée sur des modèles pour détecter des problèmes de sécurité spécifiques à leur organisation, comme le signalement des appels de fonction interdits, tout en utilisant l'ensemble de règles sélectionné par GitLab comme base. Les personnalisations sont gérées via de simples fichiers TOML, tout comme les autres configurations d'ensemble de règles SAST. Bien que ces règles ne prennent pas en charge l'analyse des contaminations, elles donnent aux organisations une plus grande flexibilité pour obtenir des résultats de SAST précis.

Prise en charge des langages C et C++ pour l'analyseur Advanced SAST

Nous étendons notre prise en charge des langages de programmation pour l'analyseur Advanced SAST afin d'inclure C et C++, des langages souvent utilisés dans le développement de logiciels embarqués. Pour activer l'analyse, les projets doivent générer une base de données de compilation qui capture les commandes du compilateur et inclut les chemins utilisés pendant les compilations. Cette étape garantit que le scanner peut analyser avec précision les fichiers sources et fournir des résultats précis et en contexte qui aident les équipes de sécurité à identifier les véritables vulnérabilités dans le processus de développement. Les exigences d'implémentation pour C et C++ nécessitent des configurations spécifiques, qui sont décrites dans notre documentation. La prise en charge de l'analyseur Advanced SAST pour C et C++ est actuellement disponible en version bêta.

Analyse SAST basée sur les diffs

Les analyses SAST traditionnelles analysent une nouvelle fois les bases de code entières à chaque commit, ce qui ralentit les pipelines et perturbe le travail des équipes de développement. L'expérience développeur est un aspect critique qui peut faire ou défaire l'adoption de tests de sécurité applicative. L'analyse SAST basée sur les diffs vise à accélérer les temps d'analyse, car elle se concentre uniquement sur le code modifié dans une merge request. Les analyses redondantes sont ainsi limitées afin d'afficher les résultats pertinents liés au travail des développeurs. En associant les analyses aux véritables changements de code, GitLab maintient une couverture de sécurité solide et accélère les commentaires ciblés pour favoriser la concentration des équipes.

Simplifiez les configurations API

Puissance et flexibilité sont les maîtres mots des workflows pilotés par API, mais ces derniers peuvent aussi ajouter une complexité inutile aux tâches que les équipes doivent effectuer régulièrement. La nouvelle interface du registre virtuel Maven apporte une couche d'interface utilisateur (UI) à ces opérations.

Interface du registre virtuel Maven

La nouvelle interface web de gestion des registres virtuels Maven transforme les configurations API complexes en aperçus simples. Résultat : l'expérience est plus intuitive pour les administrateurs de paquets et les ingénieurs de plateforme.

Auparavant, les équipes configuraient et maintenaient les registres virtuels uniquement via des appels API. La maintenance de routine était chronophage et nécessitait des connaissances spécialisées de la plateforme. Cette approche est désormais révolue avec la nouvelle interface, qui accélère et facilite les tâches quotidiennes.

Avec cette mise à jour, vous pouvez :

• Créer des registres virtuels pour simplifier la configuration des dépendances
• Créer et ordonner des upstreams pour améliorer les performances et la conformité
• Parcourir et effacer les entrées de cache obsolètes directement dans l'UI

Cet aperçu aide à réduire les frais opérationnels et fournit aux équipes de développement une vue d'ensemble plus claire de la résolution des dépendances afin de les aider à prendre de meilleures décisions concernant les performances de compilation et les politiques de sécurité.

Regardez une démonstration :

Nous invitons les entreprises à rejoindre le programme bêta du registre virtuel Maven et à partager leurs retours pour aider à façonner la version finale.

Une IA qui s'adapte à votre workflow

Au-delà des simples fonctionnalités, cette nouvelle version privilégie les décisions et la gestion. Regardez la vidéo de présentation ici :

Les utilisateurs GitLab Premium et GitLab Ultimate peuvent commencer à utiliser ces fonctionnalités dès aujourd'hui sur GitLab.com et les environnements auto-gérés, avec une disponibilité pour les clients GitLab Dedicated prévue pour le mois prochain.

GitLab Duo Agent Platform est actuellement en version bêta. Activez les fonctionnalités bêta et expérimentales pour découvrir comment l'IA peut transformer la façon dont vos équipes construisent des logiciels grâce à un accès complet au contexte. Vous débutez sur GitLab ? Commencez votre essai gratuit et découvrez pourquoi l'avenir du développement est alimenté par l'IA, sécurisé et orchestré via la plateforme DevSecOps la plus complète au monde.

*Remarque : les fonctionnalités de la plateforme en version bêta sont disponibles dans le cadre du programme bêta GitLab. Elles sont gratuites pendant la période bêta, et une fois en disponibilité générale, elles seront proposées dans le cadre d'un module d'extension pour GitLab Duo Agent Platform.*

Maintenez votre instance GitLab à jour

Pour vous assurer d'obtenir les dernières fonctionnalités, mises à jour de sécurité et améliorations de performances, nous recommandons de maintenir votre instance GitLab à jour. Les ressources suivantes peuvent vous aider à planifier et terminer votre mise à niveau :

• Outil de chemin d'accès de mise à niveau : indiquez votre version actuelle pour consulter les étapes à suivre afin de mettre à niveau votre instance.
• Documentation de mise à niveau : guides détaillés pour chaque version prise en charge, y compris les exigences, les instructions étape par étape et les meilleures pratiques.

En effectuant régulièrement des mises à niveau, vous vous assurez que votre équipe bénéficie des dernières fonctionnalités de GitLab ainsi que d'une sécurité et d'une prise en charge optimales.

Pour les entreprises qui privilégient une approche autonome, pourquoi ne pas faire appel à GitLab Managed Maintenance ? Avec GitLab Managed Maintenance, votre équipe se concentre sur l'innovation tandis que les experts GitLab gèrent les mises à niveau de votre instance GitLab Self-Managed afin d'assurer la fiabilité, la sécurité et l'efficacité de vos processus DevSecOps. Contactez votre gestionnaire de compte pour obtenir plus d'informations.

Cet article de blog contient des énoncés de nature prospective au sens de la Section 27A de la Securities Act de 1933, telle que modifiée, et de la Section 21E de la Securities Exchange Act de 1934. Bien que nous croyions que les attentes reflétées dans les énoncés de nature prospective contenus dans cet article de blog sont raisonnables, ils sont soumis à des risques connus et inconnus, des incertitudes, des hypothèses et d'autres facteurs qui peuvent entraîner des résultats ou des conséquences sensiblement différents. De plus amples informations sur ces risques et autres facteurs sont incluses sous la rubrique « Facteurs de risque » dans nos documents déposés auprès de la SEC. Nous ne nous engageons pas à mettre à jour ou à réviser ces déclarations après la date de publication de cet article, sauf si la loi l'exige.