Vue unifiée des vulnérabilités : de la couverture des scanners à la gouvernance de l'IA

La plupart des entreprises utilisent plusieurs scanners de sécurité différents, chacun configuré et appliqué projet par projet. En l'absence d'une vue d'ensemble des scanners actifs, les politiques dérivent, les lacunes de couverture passent inaperçues et des projets importants peuvent se retrouver sans protection à l'insu de tous. Avec GitLab 19.1, vous pouvez désormais intégrer les scanners de sécurité que vous utilisez déjà afin de profiter d'une vue d'ensemble de la couverture de vos scanners. GitLab applique les scanners tiers à grande échelle sur l'ensemble de vos projets, et les vulnérabilités qu'ils détectent sont corrigées automatiquement. Côté gouvernance, nous lançons la version bêta du streaming d'événements d'audit par IA, afin que vous puissiez vérifier si vos agents agissent en toute sécurité.

Appliquer des scanners tiers sur chaque projet à grande échelle

Pour la plupart des équipes de sécurité, le plus grand défi en matière de sécurité applicative réside dans la couverture des scanners. Les différents scanners sont configurés projet par projet, de sorte que l'exécution d'un scanner dépend de la configuration effectuée par chaque équipe. Il arrive que de nouveaux projets passent inaperçus et soient mis en production pendant des semaines avant que les équipes ne se rendent compte qu'ils n'ont pas été analysés. Lorsque la couverture repose sur des connaissances informelles plutôt que sur des politiques, le code est déployé sans analyse, les vulnérabilités atteignent la production et les audits révèlent des lacunes.

Vous pouvez désormais appliquer des scanners tiers à grande échelle sur l'ensemble de vos projets GitLab. Tout scanner qui génère un rapport SARIF s'exécute selon vos politiques, et les vulnérabilités identifiées s'intègrent nativement dans GitLab. Chaque résultat est regroupé dans une vue unifiée des vulnérabilités, régie par les mêmes règles. Ainsi, la couverture devient une réalité que vous pouvez prouver.

À partir de là, les résultats des scanners tiers passent par le même workflow de correction automatique de GitLab Duo Agent Platform que les résultats des scanners natifs de GitLab. La détection des faux positifs SAST classe les résultats pour prioriser ceux présentant un risque réel, et la résolution agentique des vulnérabilités SAST ouvre un correctif prêt à être fusionné pour corriger automatiquement les résultats avant qu'ils n'atteignent l'environnement de production. Votre équipe bénéficie d'une couverture qu'elle peut prouver grâce à une vue unifiée et gouvernée sur tous les scanners, ainsi que d'une correction automatisée des résultats provenant de scanners tiers.

Détecter les secrets plus tôt et consacrer moins de temps à traiter les faux positifs

La détection des secrets s'exécute dans vos pipelines pour repérer les identifiants exposés, mais les équipes ont toujours été confrontées à deux problèmes : les secrets manqués et les résultats trop nombreux. Sur une nouvelle branche, seul le dernier commit est analysé, ce qui signifie qu'un secret validé précédemment peut passer inaperçu. Les résultats détectés sont mélangés à des identifiants de test, des valeurs fictives et des jetons d'exemple, de sorte que les équipes de développement passent du temps à filtrer le bruit plutôt qu'à traiter les véritables expositions.

La détection des secrets analyse désormais chaque commit sur une nouvelle branche, et non plus uniquement le dernier. De plus, la détection des faux positifs de secrets, désormais en disponibilité générale, ajoute un score de confiance et une explication à chaque résultat, lesquels sont affichés dans le rapport de vulnérabilités. Votre équipe détecte les secrets quel que soit l'endroit où ils ont été introduits, et consacre son temps à réduire les risques liés aux véritables expositions plutôt qu'aux faux positifs.

Définir ce que vos agents d'IA peuvent faire, et le prouver

Les entreprises ont adopté les agents d'IA pour le développement. Les agents ouvrent des merge requests, appellent des outils et valident du code aux côtés des développeurs pour lesquels ils travaillent. Cependant, une fois qu'un agent est approuvé pour un projet, il peut écrire, supprimer et effectuer un push du code sans que personne ne vérifie au préalable ses actions. Votre entreprise reste responsable des modifications apportées au code source, qu'elles soient effectuées par un agent ou par un développeur. Les entreprises doivent déterminer ce qu'un agent est autorisé à faire avant qu'il n'agisse, et être en mesure de prouver exactement ce qu'il a fait ensuite.

GitLab 19.1 comble cette lacune en matière de gouvernance. Avec le streaming d'événements d'audit par IA, désormais disponible en version bêta, chaque action effectuée par un agent est enregistrée en tant qu'événement d'audit et transmise vers vos destinations de journaux d'audit, avec le reste de votre piste d'audit. Cette release vous permet également de contrôler ce que les agents peuvent faire sur votre plateforme. Les garde-fous d'approbation des outils d'agent, également disponibles en version bêta, permettent à un administrateur de configurer chaque outil d'agent pour qu'il s'exécute de manière autonome, qu'il soit mis en attente pour validation humaine, ou reste bloqué. Ainsi, une action sensible comme l'écriture d'un fichier ou la suppression d'une ressource attend la validation d'un relecteur avant de s'exécuter. Chaque décision d'approbation est enregistrée comme un événement d'audit que les équipes peuvent consulter rétrospectivement.

Il en résulte une autonomie gouvernée. Les agents peuvent s'exécuter de bout en bout, dans les limites que vous avez définies, et une action risquée n'atteint pas le code source tant qu'une personne ne l'a pas validée. Lorsqu'un auditeur ou un intervenant en cas d'incident demande par la suite ce qu'un agent a fait, la réponse se trouve déjà dans la piste d'audit que l'équipe gère.

Piste d'audit de l'activité d'un agent montrant une alerte signalant qu'un agent a rejeté un résultat de gravité élevée sans approbation humaine

Une autonomie gouvernée pour vos agents

GitLab 19.1 encadre les agents dans votre code source, avec une couverture complète des scanners de sécurité sur l'ensemble des projets et une correction automatique des résultats de scanners tiers. Vous définissez ce que chaque agent est autorisé à faire avant qu'il n'agisse, et chaque action est consignée dans votre piste d'audit.

Pour découvrir ce que vos agents peuvent faire dans les limites que vous avez définies, et prouver ce qu'ils ont fait, commencez un essai gratuit de GitLab Duo Agent Platform dès aujourd'hui.