GitLab 18.5 : l'intelligence au service du développement logiciel

Les équipes de développement logiciel croulent sous les alertes. Des milliers de vulnérabilités inondent les tableaux de bord de sécurité, mais seule une fraction d'entre elles présentent un risque réel. Les équipes naviguent constamment entre la planification des backlogs, le tri des failles de sécurité, les revues de code et la résolution des échecs CI/CD, et doivent ainsi consacrer des heures à ces tâches manuelles. GitLab 18.5 apporte enfin un peu sérénité dans cet environnement sous haute tension.

Cette version offre une amélioration majeure de l'expérience utilisateur globale de GitLab et de l'intégration de l'IA dans vos workflows. Une nouvelle interface avec des panneaux de suivi facilite la visualisation des données en contexte et garantit une visibilité permanente à GitLab Duo Chat sur toute la plateforme, partout où vous en avez besoin. Des agents spécialisés s'attaquent au tri des vulnérabilités et à la gestion des backlogs, tandis que les outils d’IA populaires s'intègrent encore plus harmonieusement dans les workflows agentiques. Nous avons également étendu nos fonctionnalités de sécurité pour vous aider à mieux identifier les vulnérabilités exploitables et les failles théoriques, distinguer les identifiants actifs de ceux expirés et analyser uniquement le code modifié pour favoriser la concentration des équipes de développement.

Les nouveautés de la version GitLab 18.5

La version 18.5 représente notre plus importante release de l'année : visionnez notre présentation en vidéo et découvrez plus de détails dans la suite de l'article.

Une expérience utilisateur moderne avec un accès rapide à GitLab Duo

GitLab 18.5 améliore l'expérience utilisateur GitLab avec une interface plus intuitive et pratique grâce à une nouvelle mise en page avec des panneaux de suivi.

Les panneaux de suivi présentent les informations côte à côte pour vous aider à traiter vos tâches en contexte. Lorsque vous cliquez sur un ticket dans la liste, ses détails s'affichent dans un panneau latéral. Vous pouvez ensuite ouvrir le panneau GitLab Duo Chat sur le côté droit de l'interface et l'utiliser comme un assistant à la demande afin de poser des questions à vos agents et de leur fournir des instructions contextuelles sur n'importe quelle page de GitLab. Nous avons également apporté d'autres améliorations subtiles à des fins d'ergonomie : la barre de recherche globale se trouve désormais dans le centre supérieur pour une meilleure accessibilité, tandis que les éléments de navigation globale (tickets assignés, merge requests, liste des tâches et icône utilisateur) sont affichés en haut à droite. Le menu de navigation gauche peut être réduit et s'étend pour offrir une gestion flexible de la barre latérale.

L'interface avec les panneaux de suivi sera « désactivée par défaut » dans GitLab 18.5 et pourra être activée sous votre icône utilisateur. Pour en savoir plus sur l'activation ou la désactivation de cette fonctionnalité, consultez notre documentation. N'hésitez pas à partager vos retours et à signaler tout problème. Nos équipes sont à l'écoute. Si vous appréciez cette nouvelle expérience, cette option devrait être supprimée dans la version 18.6 afin de standardiser l'interface avec les panneaux de suivi dans toute expérience utilisateur.

Mises à jour de GitLab Duo Agent Platform

GitLab Duo Security Analyst Agent : transformez le tri manuel des vulnérabilités en automatisation intelligente

GitLab Duo Security Analyst Agent automatise les flux de travail de gestion des vulnérabilités grâce à une analyse alimentée par l'IA afin de transformer des heures de tri manuel en automatisation intelligente. Il s'appuie sur les outils de gestion des vulnérabilités disponibles via GitLab Duo Agentic Chat et orchestre plusieurs outils, applique des politiques de sécurité et crée automatiquement des flux personnalisés pour les workflows récurrents.

Les équipes de sécurité peuvent non seulement accéder à des données de vulnérabilité enrichies, notamment les détails concernant les vulnérabilités ou expositions communes (CVE), l'analyse de la fonctionnalité d'atteignabilité statique et les informations de flux de code, mais aussi ignorer les faux positifs, confirmer les menaces, ajuster les niveaux de sévérité et créer des tickets associés pour correction au moyen de l'IA conversationnelle. L'agent réduit les clics répétitifs dans les tableaux de bord de vulnérabilités et remplace les scripts personnalisés par de simples commandes en langage naturel.

Par exemple, lorsqu'une analyse de sécurité révèle des dizaines de vulnérabilités, il suffit d'utiliser le prompte suivant : « Ignore les vulnérabilités avec reachable=FALSE et crée des tickets pour les failles critiques. » GitLab Duo Security Analyst Agent analyse les données de la fonctionnalité d'atteignabilité statique, applique les politiques de sécurité et effectue les opérations groupées en quelques instants : il gère des tâches qui nécessiteraient autrement des heures.

Alors que les outils de gestion des vulnérabilités individuels peuvent être accédés directement via GitLab Duo Agentic Chat pour des tâches spécifiques, GitLab Duo Security Analyst Agent orchestre ces outils de manière intelligente et automatise des workflows complexes en plusieurs étapes. Les outils de gestion des vulnérabilités sont disponibles via GitLab Duo Agentic Chat sur les instances GitLab Self-managed et GitLab.com, et GitLab Duo Security Analyst Agent est disponible uniquement sur GitLab.com pour la version 18.5, tandis que la disponibilité dans les environnements GitLab Duo Self-managed et GitLab Duo Dedicated arrivera avec notre prochaine version.

Découvrez notre démonstration :

GitLab Duo Planner : transformez un backlog encombré en clarté stratégique

Gérer une livraison logicielle complexe nécessite de constamment changer de contexte entre les tâches de planification. GitLab Duo Planner propose une solution aux défis de planification concrets que les équipes affrontent chaque jour. Il agit comme votre assistant : il connaît le contexte de votre projet, notamment comment vous gérez les tickets, les epics et les merge requests. Contrairement aux assistants IA génériques, il est spécialement conçu avec une connaissance approfondie des workflows de planification de GitLab ainsi que des frameworks Agile et de priorisation pour vous aider à gérer effort, risque et alignement stratégique.

GitLab Duo Planner peut transformer des idées vagues en tâches de planification hiérarchisées et structurées, identifier les éléments obsolètes du backlog et rédiger des mises à jour exécutives. Imaginez que vous souhaitez réorganiser votre backlog, qui contient des centaines de tickets accumulés sur plusieurs mois. Il vous suffit de demander : « Identifie les éléments obsolètes du backlog et suggère des priorités. » En quelques secondes, vous recevrez un résumé structuré avec les tickets sans activité récente, les éléments avec des détails clés manquants, les doublons et les priorités recommandées en fonction des labels et jalons, avec des conseils exploitables.

Pour les équipes avec des roadmaps complexes, GitLab Duo Planner vise à éliminer des heures d'analyse manuelle et de changements de contexte et à accélérer la prise de décisions informées des responsables produit et d'ingénierie. Depuis la version 18.5, GitLab Duo Planner est actuellement en « lecture seule » : il peut analyser, planifier et émettre des suggestions, mais ne peut pas encore agir directement pour modifier quoi que ce soit. Veuillez consulter notre documentation pour plus d'informations.

Large catalogue d'agents : les outils IA populaires comme agents natifs GitLab

Dans GitLab 18.5, les agents IA populaires sont intégrés directement dans le catalogue IA. Par conséquent, des outils externes comme Claude, OpenAI Codex, Google Gemini CLI, Amazon Q Developer et OpenCode sont maintenant disponibles comme agents natifs GitLab. Les utilisateurs peuvent désormais découvrir, configurer et déployer ces agents via la même interface de catalogue unifiée utilisée pour les agents intégrés de GitLab, avec une synchronisation automatique des agents de base dans les catalogues de l'organisation.

Cette approche élimine la complexité de la configuration manuelle des agents : le catalogue est disponible en mode point-and-click, et la sécurité est maintenue à un niveau entreprise via les systèmes d'authentification et d'audit de GitLab. Les abonnements GitLab Duo Enterprise incluent désormais l'utilisation intégrée de Claude et Codex dans GitLab. Vous pouvez ainsi utiliser votre abonnement GitLab existant pour ces outils sans clé API séparée ni facturation supplémentaire. D'autres agents peuvent encore nécessiter des abonnements séparés et une configuration à mesure que nous finalisons nos plans d'intégration.

GitLab Duo Agent Platform sur GitLab Self-hosted (version bêta) : répondez aux exigences de souveraineté des données sans sacrifier la puissance de l'IA

GitLab 18.5 fait passer les capacités auto-hébergées de GitLab Duo Agent Platform de la version expérimentale à bêta pour que les organisations puissent exécuter des agents et flux IA entièrement dans leur propre infrastructure, un critère primordial pour les industries réglementées et les exigences de souveraineté des données. La version bêta inclut des configurations de délai d'attente dépassé améliorées et des paramètres de passerelle IA afin que les équipes puissent utiliser des agents IA pour les revues de code, les corrections de bugs et les implémentations de fonctionnalités avec une sécurité de niveau entreprise pour le code sensible.

Une sécurité plus intelligente et plus rapide : priorisez les risques réels et favorisez la concentration des équipes

GitLab 18.5 introduit de nouvelles fonctionnalités de sécurité applicative qui aident les équipes à se concentrer sur les risques exploitables, réduire le bruit et renforcer la sécurité de la chaîne d'approvisionnement logicielle. Ces mises à jour s'inscrivent dans notre engagement à intégrer la sécurité directement dans le processus de développement afin de garantir précision, vitesse et clarté sans perturber la concentration des équipes de développement.

Analyse de la fonctionnalité d'atteignabilité statique

Avec plus de 37 000 nouvelles CVE émises cette année, les équipes de sécurité font face à un volume écrasant de vulnérabilités et peinent à identifier lesquelles sont réellement exploitables. L'analyse de la fonctionnalité d'atteignabilité statique, désormais en disponibilité limitée, apporte une précision au niveau des bibliothèques et aide à identifier si le code vulnérable est réellement invoqué dans votre application et pas seulement présent dans les dépendances.

Avec notre score EPSS (Exploit Prediction Scoring System) récemment publié et notre base de données des vulnérabilités exploitées connues (Known Exploited Vulnerabilities ou KEV), les équipes de sécurité peuvent accélérer plus efficacement le tri des vulnérabilités et prioriser les risques réels pour renforcer la sécurité globale de la chaîne d'approvisionnement. Dans la version 18.5, nous ajoutons la prise en charge de Java, en plus de la prise en charge existante de Python, JavaScript et TypeScript.

Vérifications de la validité des secrets

Tout comme l'analyse d'atteignabilité statique aide les équipes à prioriser les vulnérabilités exploitables des dépendances open source, les vérifications de validité des secrets apportent le même niveau d'insight aux secrets exposés – actuellement disponible en bêta sur GitLab.com et GitLab Self-Managed. Pour les tokens de sécurité émis par GitLab, au lieu de vérifier manuellement si un identifiant ou une clé API divulgués sont actifs, GitLab distingue automatiquement les secrets actifs de ceux expirés directement dans le Rapport de vulnérabilité. Ceci permet aux équipes de sécurité et de développement de concentrer les efforts de remédiation sur les vrais risques. Le support pour les secrets émis par AWS et GCP est prévu pour les versions futures.

Règles personnalisées pour Advanced SAST

Advanced SAST fonctionne sur des règles informées par notre équipe de recherche en sécurité interne, conçues pour maximiser la précision dès le départ. Cependant, certaines équipes nécessitaient une flexibilité supplémentaire pour ajuster le moteur SAST à leur organisation spécifique. Avec les règles personnalisées pour Advanced SAST, les équipes AppSec peuvent définir une logique de détection atomique basée sur des modèles pour capturer des problèmes de sécurité spécifiques à leur organisation – comme signaler des appels de fonction interdits – tout en utilisant l'ensemble de règles sélectionné par GitLab comme base. Les personnalisations sont gérées via de simples fichiers TOML, tout comme les autres configurations d'ensemble de règles SAST. Bien que ces règles ne supportent pas l'analyse de taint, elles donnent aux organisations une plus grande flexibilité pour obtenir des résultats SAST précis.

Support des langages C et C++ pour Advanced SAST

Nous étendons notre couverture linguistique pour Advanced SAST pour inclure C et C++, qui sont des langages largement utilisés dans le développement de logiciels embarqués. Pour activer l'analyse, les projets doivent générer une base de données de compilation qui capture les commandes du compilateur et inclut les chemins utilisés pendant les builds. Ceci garantit que le scanner peut analyser et parser avec précision les fichiers sources, fournissant des résultats précis et contextuels qui aident les équipes de sécurité à identifier les vraies vulnérabilités dans le processus de développement. Les exigences d'implémentation pour C et C++ nécessitent des configurations spécifiques, qui peuvent être trouvées dans notre documentation. Le support Advanced SAST pour C et C++ est actuellement disponible en bêta.

Analyse SAST basée sur les différences

Les analyses SAST traditionnelles réanalysent des bases de code entières à chaque commit, ralentissant les pipelines et perturbant le flux des développeurs. L'expérience développeur est une considération critique qui peut faire ou défaire l'adoption des tests de sécurité applicative. L'analyse SAST basée sur les différences vise à accélérer les temps d'analyse en se concentrant uniquement sur le code modifié dans une merge request, réduisant l'analyse redondante et faisant remonter des résultats pertinents liés au travail du développeur. En alignant les analyses avec les changements de code réels, GitLab fournit un feedback plus rapide et plus ciblé qui aide à maintenir les développeurs dans leur flux tout en maintenant une couverture de sécurité solide.

Simplifiez les configurations API

Les workflows pilotés par API offrent puissance et flexibilité, mais ils peuvent aussi créer une complexité inutile pour les tâches que les équipes doivent effectuer régulièrement. La nouvelle interface Maven Virtual Registry apporte une couche UI à ces opérations.

Interface Maven Virtual Registry

La nouvelle interface web pour gérer les Maven Virtual Registries transforme les configurations API complexes en simplicité visuelle, offrant une expérience plus intuitive pour les administrateurs de packages et les ingénieurs de plateforme.

Auparavant, les équipes configuraient et maintenaient les registres virtuels uniquement via des appels API, ce qui rendait la maintenance de routine chronophage et nécessitait des connaissances spécialisées de la plateforme. La nouvelle interface supprime cette barrière, contribuant à rendre les tâches quotidiennes plus rapides et plus faciles.

Avec cette mise à jour, vous pouvez désormais :

• Créer des registres virtuels pour simplifier la configuration des dépendances
• Créer et ordonner des upstreams pour améliorer les performances et la conformité
• Parcourir et effacer les entrées de cache obsolètes directement dans l'UI

Cette expérience visuelle aide à réduire la charge opérationnelle et fournit aux équipes de développement un aperçu plus clair de la façon dont les dépendances sont résolues, leur permettant de prendre de meilleures décisions concernant les performances de build et les politiques de sécurité.

Regardez une démonstration :

Nous invitons les clients entreprise à rejoindre le programme bêta Maven Virtual Registry et à partager leurs retours pour aider à façonner la version finale.

Une IA qui s'adapte à votre workflow

Cette version représente plus que de nouvelles capacités – il s'agit de choix et de contrôle. Regardez la vidéo de présentation ici :

Les utilisateurs GitLab Premium et Ultimate peuvent commencer à utiliser ces capacités dès aujourd'hui sur GitLab.com et les environnements self-managed, avec une disponibilité pour les clients GitLab Dedicated prévue pour le mois prochain.

GitLab Duo Agent Platform est actuellement en bêta – activez les fonctionnalités bêta et expérimentales pour découvrir comment l'IA avec contexte complet peut transformer la façon dont vos équipes construisent des logiciels. Nouveau sur GitLab ? Commencez votre essai gratuit et découvrez pourquoi l'avenir du développement est alimenté par l'IA, sécurisé et orchestré via la plateforme DevSecOps la plus complète au monde.

Note : Les capacités de plateforme en bêta sont disponibles dans le cadre du programme bêta GitLab. Elles sont gratuites pendant la période bêta, et une fois généralement disponibles, elles seront proposées avec une option d'add-on payant pour GitLab Duo Agent Platform.

Restez à jour avec GitLab

Pour vous assurer d'obtenir les dernières fonctionnalités, mises à jour de sécurité et améliorations de performances, nous recommandons de maintenir votre instance GitLab à jour. Les ressources suivantes peuvent vous aider à planifier et compléter votre mise à niveau :

• Outil de chemin de mise à niveau – entrez votre version actuelle et voyez les étapes exactes de mise à niveau pour votre instance
• Documentation de mise à niveau – guides détaillés pour chaque version supportée, incluant les exigences, instructions étape par étape et meilleures pratiques

En effectuant des mises à niveau régulières, vous garantissez que votre équipe bénéficie des nouvelles capacités GitLab et reste sécurisée et supportée.

Pour les organisations qui souhaitent une approche sans intervention, considérez le service de Maintenance Gérée de GitLab. Avec la Maintenance Gérée, votre équipe reste concentrée sur l'innovation tandis que les experts GitLab maintiennent votre instance Self-Managed mise à niveau de manière fiable, sécurisée et prête à diriger dans DevSecOps. Demandez plus d'informations à votre gestionnaire de compte.

Ce billet de blog contient des « déclarations prospectives » au sens de la Section 27A du Securities Act de 1933, tel que modifié, et de la Section 21E du Securities Exchange Act de 1934. Bien que nous croyions que les attentes reflétées dans ces déclarations sont raisonnables, elles sont soumises à des risques connus et inconnus, des incertitudes, des hypothèses et d'autres facteurs qui peuvent faire que les résultats ou issues réels diffèrent matériellement. De plus amples informations sur ces risques et autres facteurs sont incluses sous la rubrique « Facteurs de risque » dans nos dépôts auprès de la SEC. Nous ne nous engageons pas à mettre à jour ou réviser ces déclarations après la date de ce billet de blog, sauf si la loi l'exige.