GitLab 19.0 apresenta varredura de dependências baseada em SBOM para proteção contra vulnerabilidades
GitLab 19.0 apresentou a varredura de dependências baseada em SBOM — uma ferramenta para rastrear vulnerabilidades em dependências de código. O novo recurso não
Software de terceiros compõe a maioria das bases de código, e incidentes recentes da cadeia de suprimentos mostram: um pacote comprometido pode afetar todos os projetos que dependem dele. O problema é agravado por IA — pesquisas mostram que quase metade do código gerado por IA contém vulnerabilidades.
O que Mudou
Os scanners tradicionais de dependências, incluindo o GitLab Gemnasium, faziam uma pergunta: quais dos meus pacotes declarados têm CVEs conhecidas? Quando as árvores de dependências eram menos profundas e os ciclos de lançamento significativamente mais lentos, essa abordagem funcionava bem. Mas hoje a realidade é mais complexa. Os times de segurança de aplicações agora precisam responder a perguntas muito mais sofisticadas. Como um pacote vulnerável chegou ao projeto? O que veio com ele como efeito colateral? E mais importante — quais dependências seu código realmente usa? Ferramentas antigas não respondem essas perguntas.
Scanning SBOM no GitLab 19.0
Na nova versão GitLab 19.0, a varredura de dependências baseada em SBOM (Software Bill of Materials) passa para disponibilidade geral. Isso significa que o recurso não está mais em teste beta e está disponível para todos os clientes Ultimate. O analisador cataloga cada dependência direta e transitiva do projeto e mostra quais pacotes vulneráveis sua aplicação realmente usa. Os resultados são comparados com o Banco de Dados de Consultoria do GitLab e os problemas conhecidos são sinalizados. As vulnerabilidades aparecem diretamente nos merge requests — os desenvolvedores veem os problemas antes de enviar o código para produção. Isso evita que as vulnerabilidades cheguem aos sistemas ativos e acelera o processo de correção.
Três Principais Vantagens
Cadeia de dependências completa. O analisador rastreia dependências transitivas, independentemente da profundidade de aninhamento. Se library-a depende de library-b, que depende de library-c vulnerável, você vê o caminho completo e sabe exatamente onde intervir. Isso é especialmente importante ao trabalhar com projetos grandes onde o gráfico de dependências pode conter milhares de pacotes.
Apenas vulnerabilidades realmente usadas. Nem toda dependência do manifesto realmente funciona na aplicação. Para projetos Java, JavaScript/TypeScript e Python, o analisador verifica se seu código realmente importa pacotes vulneráveis. Isso permite que você adie a correção de vulnerabilidades em pacotes não utilizados e se concentre onde há risco real.
Varredura contínua. Execute o analisador quando novas consultorias são publicadas, em cada merge request e compilação. Isso é especialmente importante para projetos onde o desenvolvimento desacelerou, mas o código ainda é executado em produção e requer proteção.
O Que Isso Significa
O scanning SBOM é um passo sério em direção ao gerenciamento mais inteligente da cadeia de suprimentos. Em vez de uma longa lista de todas as vulnerabilidades, os times obtêm classificações por risco real, economizando semanas em correções que na verdade não são necessárias. Para organizações em crescimento, os perfis de segurança integrados permitem que você configure a varredura uma vez e a aplique a todos os projetos de uma vez — sem edição manual de cada arquivo .gitlab-ci.yml.
Хотите не читать про ИИ, а внедрить его?
«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.