GitLab 19.0 introduit l'analyse des dépendances basée sur SBOM pour la protection contre les vulnérabilités

Le logiciel tiers compose la majorité des bases de code, et les incidents récents de la chaîne d'approvisionnement montrent : un paquet compromis peut affecter tous les projets qui en dépendent. Le problème est aggravé par l'IA — les recherches montrent que près de la moitié du code généré par l'IA contient des vulnérabilités.

Ce Qui a Changé

Les scanners de dépendances traditionnels, y compris GitLab Gemnasium, posaient une question : quels sont mes paquets déclarés qui ont des CVE connus ? Lorsque les arbres de dépendances étaient moins profonds et que les cycles de sortie étaient significativement plus lents, cette approche fonctionnait bien. Mais aujourd'hui, la réalité est plus complexe. Les équipes de sécurité des applications doivent désormais répondre à des questions beaucoup plus sophistiquées. Comment un paquet vulnérable est-il arrivé au projet ? Qu'est-ce qui en est venu avec lui comme effet secondaire ? Et surtout — quelles dépendances votre code utilise-t-il réellement ? Les anciens outils ne répondent pas à ces questions.

Scanning SBOM dans GitLab 19.0

Dans la nouvelle version GitLab 19.0, l'analyse des dépendances basée sur SBOM (Software Bill of Materials) passe à la disponibilité générale. Cela signifie que la fonctionnalité n'est plus en test bêta et est disponible pour tous les clients Ultimate. L'analyseur inventorie chaque dépendance directe et transitive du projet et affiche quels paquets vulnérables votre application utilise réellement. Les résultats sont comparés à la Base de Données des Avis de GitLab et les problèmes connus sont signalés. Les vulnérabilités apparaissent directement dans les demandes de fusion — les développeurs voient les problèmes avant d'envoyer le code en production. Cela empêche les vulnérabilités d'atteindre les systèmes en direct et accélère le processus de correction.

Trois Avantages Principaux

Chaîne de dépendances complète. L'analyseur trace les dépendances transitives, quelle que soit la profondeur d'imbrication. Si library-a dépend de library-b, qui dépend de library-c vulnérable, vous voyez le chemin complet et savez exactement où intervenir. C'est particulièrement important lorsque vous travaillez avec de grands projets où le graphique de dépendances peut contenir des milliers de paquets.

Uniquement les vulnérabilités réellement utilisées. Toutes les dépendances du manifeste ne fonctionnent pas réellement dans l'application. Pour les projets Java, JavaScript/TypeScript et Python, l'analyseur vérifie si votre code importe réellement les paquets vulnérables. Cela vous permet de reporter la correction des vulnérabilités dans les paquets inutilisés et de vous concentrer où il y a un risque réel.

Scanning continu. Exécutez l'analyseur lors de la publication de nouveaux avis, à chaque demande de fusion et compilation. C'est particulièrement important pour les projets où le développement a ralenti, mais le code s'exécute toujours en production et nécessite une protection.

Ce Que Cela Signifie

Le scanning SBOM est une étape sérieuse vers une gestion plus intelligente de la chaîne d'approvisionnement. Au lieu d'une longue liste de toutes les vulnérabilités, les équipes obtiennent des classements par risque réel, économisant des semaines sur les corrections qui ne sont en fait pas nécessaires. Pour les organisations en croissance, les profils de sécurité intégrés vous permettent de configurer l'analyse une fois et de l'appliquer à tous les projets à la fois — sans édition manuelle de chaque fichier .gitlab-ci.yml.