GitLab 19.0 introduce escaneo de dependencias basado en SBOM para protección contra vulnerabilidades
GitLab 19.0 introdujo el escaneo de dependencias basado en SBOM — una herramienta para rastrear vulnerabilidades en las dependencias del código. La nueva funció
El software de terceros compone la mayoría de las bases de código, e incidentes recientes de la cadena de suministro muestran: un paquete comprometido puede afectar a todos los proyectos que dependen de él. El problema se agrava por la IA — la investigación muestra que casi la mitad del código generado por IA contiene vulnerabilidades.
Qué Cambió
Los escaneos tradicionales de dependencias, incluyendo GitLab Gemnasium, hacían una pregunta: ¿cuáles de mis paquetes declarados tienen CVEs conocidas? Cuando los árboles de dependencias eran menos profundos y los ciclos de lanzamiento significativamente más lentos, este enfoque funcionaba bien. Pero hoy la realidad es más compleja. Los equipos de seguridad de aplicaciones ahora necesitan responder preguntas mucho más sofisticadas. ¿Cómo llegó un paquete vulnerable al proyecto? ¿Qué vino con él como efecto secundario? Y lo más importante — ¿qué dependencias utiliza realmente tu código? Las herramientas antiguas no responden estas preguntas.
Escaneo SBOM en GitLab 19.0
En la nueva versión GitLab 19.0, el escaneo de dependencias basado en SBOM (Software Bill of Materials) pasa a disponibilidad general. Esto significa que la función ya no está en prueba beta y está disponible para todos los clientes Ultimate. El analizador inventaría cada dependencia directa y transitiva del proyecto y muestra qué paquetes vulnerables utiliza realmente tu aplicación. Los resultados se comparan con la Base de Datos de Asesoramiento de GitLab y se marcan los problemas conocidos. Las vulnerabilidades aparecen directamente en solicitudes de merge — los desarrolladores ven los problemas antes de enviar el código a producción. Esto previene que las vulnerabilidades lleguen a sistemas en vivo y acelera el proceso de reparación.
Tres Ventajas Principales
Cadena de dependencias completa. El analizador rastrea dependencias transitivas, sin importar la profundidad de anidamiento. Si library-a depende de library-b, que depende de library-c vulnerable, ves la ruta completa y sabes exactamente dónde intervenir. Esto es especialmente importante al trabajar con proyectos grandes donde el gráfico de dependencias puede contener miles de paquetes.
Solo vulnerabilidades realmente utilizadas. No toda dependencia del manifiesto funciona realmente en la aplicación. Para proyectos Java, JavaScript/TypeScript y Python, el analizador verifica si tu código realmente importa paquetes vulnerables. Esto te permite posponer la reparación de vulnerabilidades en paquetes no utilizados y enfocarte donde hay riesgo real.
Escaneo continuo. Ejecuta el analizador cuando se publiquen nuevos avisos, en cada solicitud de merge y compilación. Esto es especialmente importante para proyectos donde el desarrollo se ha desacelerado, pero el código aún se ejecuta en producción y requiere protección.
Qué Significa Esto
El escaneo SBOM es un paso serio hacia la gestión más inteligente de la cadena de suministro. En lugar de una larga lista de todas las vulnerabilidades, los equipos obtienen clasificaciones por riesgo real, ahorrando semanas en reparaciones que en realidad no son necesarias. Para organizaciones en crecimiento, los perfiles de seguridad integrados te permiten configurar el escaneo una vez y aplicarlo a todos los proyectos de una vez — sin edición manual de cada archivo .gitlab-ci.yml.
Хотите не читать про ИИ, а внедрить его?
«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.