GitLab 19.0 представила сканирование зависимостей на основе SBOM для защиты от уязвимостей

Третьестороннее ПО составляет большинство кодовых баз, и недавние инциденты в цепочке поставок показывают: один скомпрометированный пакет может поражать все проекты, которые от него зависят. Проблема усугубляется ИИ — исследования показывают, что почти половина AI-сгенерированного кода содержит уязвимости.

Что изменилось

Традиционные сканеры зависимостей, включая GitLab Gemnasium, задавали один вопрос: какие из моих объявленных пакетов имеют известные CVE? Когда деревья зависимостей были менее глубокими, а циклы выпусков значительно медленнее, этот подход вполне работал. Но сегодня реальность сложнее. Команды безопасности приложений должны теперь ответить на намного более сложные вопросы. Как уязвимый пакет попал в проект? Что с ним пришло в качестве побочного эффекта? И самое главное — какие именно зависимости реально использует ваш код? На эти вопросы старые инструменты не дают ответов.

SBOM-сканирование в

GitLab 19.0 В новой версии GitLab 19.0 сканирование зависимостей на основе SBOM (Software Bill of Materials) переходит в общую доступность. Это означает, что функция уже не в бета-тестировании и доступна всем Ultimate-клиентам. Анализатор инвентаризирует каждую прямую и транзитивную зависимость проекта и показывает, какие уязвимые пакеты ваше приложение на самом деле использует. Результаты сравниваются с GitLab Advisory Database и помечаются известные проблемы. Уязвимости появляются прямо в merge request — разработчики видят проблемы до отправки кода в production. Это предотвращает попадание уязвимостей в боевую систему и ускоряет процесс исправления.

Три главных преимущества **Полная цепочка зависимостей.**

Анализатор трассирует транзитивные зависимости, неважно, сколько уровней вложенности. Если library-a зависит от library-b, которая зависит от уязвимой library-c, вы видите полный путь и точно знаете, где вмешаться. Это особенно важно при работе с крупными проектами, где граф зависимостей может насчитывать тысячи пакетов. Только реально используемые уязвимости. Не каждая зависимость из манифеста действительно работает в приложении. Для Java, JavaScript/TypeScript и Python проекты анализатор проверяет, импортирует ли ваш код уязвимые пакеты на самом деле. Это позволяет отложить исправление уязвимостей в неиспользуемых пакетах и сосредоточиться там, где есть реальный риск. Непрерывное сканирование. Запускайте анализатор при публикации новых консультаций, при каждом merge request и build. Это особенно важно для проектов, где разработка замедлилась, но код всё ещё работает в production и требует защиты.

Что это значит SBOM-сканирование — это серьёзный шаг к более умному управлению цепочкой поставок.

Вместо длинного списка всех уязвимостей команды получают рейтинг по реальному риску, экономя недели на исправления, которые на самом деле не нужны. Для растущих организаций встроенные security profiles позволяют один раз настроить сканирование и применить его ко всем проектам сразу — без ручного редактирования каждого .gitlab-ci.yml файла.