La version 18.1 de la plateforme de d�veloppement GitLab est disponible, introduisant le registre virtuel Maven en version b�ta et l'assistant aliment� par l'IA "Duo Code Review"

La version 18.1 de la plateforme de d�veloppement GitLab est disponible, introduisant le registre virtuel Maven en version b�ta et l'assistant aliment� par l'IA "Duo Code Review"

GitLab Inc annonce que GitLab 18.1 est disponible. Cette version introduit le registre virtuel Maven en version b�ta, qui simplifie la gestion des d�pendances Maven pour les clients Premium et Ultimate sur GitLab.com et les instances autog�r�es. Duo Code Review est d�sormais disponible pour tous et pr�t � �tre utilis� en production. Cet assistant aliment� par l'IA fournit des commentaires automatis�s sur les demandes de fusion, aidant les d�veloppeurs � identifier plus rapidement les bugs potentiels, les failles de s�curit� et les probl�mes de qualit� du code.

GitLab Inc. est une soci�t� am�ricaine qui exploite et d�veloppe GitLab, un progiciel DevOps open-core permettant de d�velopper, s�curiser et exploiter des logiciels. GitLab comprend un syst�me de contr�le de version distribu� bas� sur Git, incluant des fonctionnalit�s telles que le contr�le d'acc�s, le suivi des bogues, les demandes de fonctionnalit�s logicielles, la gestion des t�ches, et des wikis pour chaque projet, ainsi que des extraits de code.

GitLab propose sa plateforme de d�veloppement selon un mod�le freemium. Le logiciel est disponible en version communautaire et en version commerciale. GitLab compterait plus de 30 millions d'utilisateurs enregistr�s, dont 1 million d'utilisateurs actifs sous licence. Il y a plus de 3 300 contributeurs de code et membres d'�quipe dans plus de 60 pays.

R�cemment, GitLab Inc a d�voil� GitLab 18.1. Cette nouvelle version offre plusieurs nouvelles fonctionnalit�s et am�liorations aux d�veloppeurs qui utilisent cette alternative de premier plan � GitHub. Cette version introduit le registre virtuel Maven en version b�ta, qui simplifie la gestion des d�pendances Maven pour les clients Premium et Ultimate sur GitLab.com et les instances autog�r�es. Bien que le registre soit actuellement en version b�ta, la prochaine version disponible pour tous apportera encore plus de flexibilit�, notamment une interface utilisateur web, des registres en amont partageables, de nouveaux outils de gestion du cycle de vie du cache et des analyses am�lior�es.

Suite � ces am�liorations du registre, Duo Code Review est d�sormais disponible pour tous et pr�t � �tre utilis� en production. Cet assistant aliment� par l'IA fournit des commentaires automatis�s sur les demandes de fusion, aidant les d�veloppeurs � identifier plus rapidement les bugs potentiels, les failles de s�curit� et les probl�mes de qualit� du code.

En mati�re de s�curit�, GitLab v�rifie d�sormais les identifiants des utilisateurs � la recherche de fuites de mots de passe connues lors de la connexion. Si un mot de passe compromis est d�tect�, les utilisateurs re�oivent une alerte sous forme de banni�re sur le site et une notification par e-mail.

En outre, GitLab 18.1 introduit �galement de nouveaux composants d'int�gration continue et de d�ploiement continu (CI/CD) pour atteindre la conformit� au niveau 1 de la norme SLSA (Supply-chain Levels for Software Artifacts), permettant la signature et la v�rification des artefacts via les m�tadonn�es de provenance g�n�r�es par GitLab Runner.

Voici les principales am�liorations apport�es � GitLab 18.1 :

Registre virtuel Maven d�sormais disponible en version b�ta

Le registre virtuel Maven simplifie la gestion des d�pendances Maven dans GitLab. Sans le registre virtuel Maven, vous devez configurer chaque projet pour acc�der aux d�pendances depuis Maven Central, des r�f�rentiels priv�s ou le registre de paquets GitLab. Cette approche ralentit les builds avec des requ�tes s�quentielles au r�f�rentiel et complique les audits de s�curit� et les rapports de conformit�.

Le registre virtuel Maven r�sout ces probl�mes en regroupant plusieurs r�f�rentiels en amont derri�re un seul point de terminaison. Les ing�nieurs de plateforme peuvent configurer Maven Central, les registres priv�s et les registres de paquets GitLab via une seule URL. La mise en cache intelligente am�liore les performances de compilation et s'int�gre aux syst�mes d'authentification de GitLab. Les organisations b�n�ficient d'une r�duction des frais de configuration, d'une compilation plus rapide et d'un contr�le d'acc�s centralis� pour une s�curit� et une conformit� am�lior�es.

Le registre virtuel Maven est actuellement disponible en version b�ta pour les clients GitLab Premium et Ultimate sur GitLab.com et GitLab autog�r�. La version GA (disponibilit� g�n�rale) inclura des fonctionnalit�s suppl�mentaires, telles qu'une interface utilisateur web pour la configuration du registre, une fonctionnalit� en amont partageable, des politiques de cycle de vie pour la gestion du cache et des analyses am�lior�es. Les limitations actuelles de la version b�ta incluent un maximum de 20 registres virtuels par groupe de niveau sup�rieur et 20 registres en amont par registre virtuel, avec une configuration uniquement via API disponible pendant la p�riode b�ta.


Duo Code Review est d�sormais disponible pour tous

Duo Code Review est d�sormais disponible et pr�t � �tre utilis� en production. Cet assistant de r�vision de code aliment� par l'IA transforme le processus traditionnel de r�vision de code en fournissant des commentaires intelligents et automatis�s sur vos demandes de fusion. Il aide � identifier les bogues potentiels, les failles de s�curit� et les probl�mes de qualit� du code avant que les r�viseurs humains n'interviennent, rendant ainsi l'ensemble du processus de r�vision plus efficace et plus approfondi. Il comprend :

• R�vision initiale automatis�e : Duo Code Review analyse vos modifications de code et fournit des commentaires complets sur les probl�mes potentiels, les am�liorations et les meilleures pratiques.
• Perfectionnement interactif : mentionnez @GitLabDuo dans les commentaires de la demande de fusion pour obtenir des commentaires cibl�s sur des modifications ou des questions sp�cifiques.
• Suggestions exploitables : de nombreuses suggestions peuvent �tre appliqu�es directement depuis votre navigateur, ce qui rationalise le processus d'am�lioration.
• Analyse contextuelle : exploite la compr�hension des fichiers modifi�s pour fournir des recommandations pertinentes et sp�cifiques au projet.

Pour demander une r�vision de code :

• Dans votre demande de fusion, ajoutez @GitLabDuo en tant que r�viseur � l'aide de l'action rapide /assign_reviewer @GitLabDuo, ou d�signez directement GitLab Duo comme r�viseur.
• Mentionnez @GitLabDuo dans les commentaires pour poser des questions sp�cifiques ou demander des commentaires cibl�s sur n'importe quel fil de discussion.
• Activez les r�visions automatiques dans les param�tres de votre projet pour que GitLab Duo r�vise automatiquement toutes les nouvelles demandes de fusion.

D�tection des mots de passe compromis pour les identifiants GitLab natifs

GitLab.com effectue d�sormais une v�rification s�curis�e des informations d'identification de votre compte lorsque vous vous connectez � GitLab.com. Si votre mot de passe fait partie d'une fuite connue, GitLab affiche une banni�re et vous envoie une notification par e-mail. Ces notifications comprennent des instructions sur la mani�re de mettre � jour vos informations d'identification.

Pour une s�curit� maximale, GitLab recommande d'utiliser un mot de passe unique et fort pour GitLab, d'activer l'authentification � deux facteurs et de v�rifier r�guli�rement l'activit� de votre compte.

Remarque : cette fonctionnalit� n'est disponible que pour les noms d'utilisateur et mots de passe GitLab natifs. Les informations d'identification SSO ne sont pas v�rifi�es.


Obtenez la conformit� SLSA niveau 1 avec les composants CI/CD

Vous pouvez d�sormais obtenir la conformit� SLSA niveau 1 � l'aide des nouveaux composants CI/CD de GitLab pour signer et v�rifier les m�tadonn�es de provenance des artefacts conformes � SLSA g�n�r�es par GitLab Runner. Les composants int�grent la fonctionnalit� Sigstore Cosign dans des modules r�utilisables qui peuvent �tre facilement int�gr�s dans les workflows CI/CD.


Autres am�liorations dans GitLab 18.1

Plusieurs correspondances par fichier dans la recherche de code

La recherche de code exacte (en version b�ta) regroupe d�sormais plusieurs r�sultats de recherche provenant du m�me fichier dans une seule vue. Cette am�lioration :

• Pr�serve le contexte entre les correspondances adjacentes au lieu d'afficher des lignes isol�es.
• R�duit l'encombrement visuel en �liminant les contenus en double lorsque les correspondances sont proches les unes des autres.
• Am�liore la navigation en affichant clairement le nombre de correspondances par fichier.
• Am�liore la lisibilit� en affichant le code tel que vous le verriez dans votre �diteur.

Gr�ce � cette modification, la recherche et la compr�hension des mod�les de code dans vos r�f�rentiels sont d�sormais plus efficaces.


Validation am�lior�e des fichiers CODEOWNERS avec v�rification des autorisations

GitLab offre d�sormais une validation am�lior�e des fichiers CODEOWNERS qui va au-del� de la simple v�rification syntaxique. Lorsque vous consultez un fichier CODEOWNERS, GitLab ex�cute automatiquement des validations compl�tes pour vous aider � identifier les probl�mes de syntaxe et d'autorisation avant qu'ils n'affectent vos workflows de demande de fusion.

La validation am�lior�e v�rifie les 200 premi�res r�f�rences uniques d'utilisateurs et de groupes dans votre fichier CODEOWNERS et v�rifie que :

• Tous les utilisateurs et groupes r�f�renc�s ont acc�s au projet.
• Les utilisateurs disposent des autorisations n�cessaires pour approuver les demandes de fusion.
• Les groupes disposent au moins d'un acc�s de niveau d�veloppeur ou sup�rieur.
• Les groupes contiennent au moins un utilisateur disposant des autorisations d'approbation des demandes de fusion.

Cette validation proactive permet d'�viter les perturbations du workflow d'approbation en d�tectant rapidement les probl�mes de configuration, garantissant ainsi que vos propri�taires de code peuvent r�ellement remplir leurs responsabilit�s de r�vision lorsque des demandes de fusion sont cr��es.

Afficher les journaux des t�ches du pipeline en aval dans VS Code

L'extension GitLab Workflow pour VS Code affiche d�sormais les journaux des t�ches des pipelines en aval directement dans votre �diteur. Auparavant, pour afficher les journaux des pipelines enfants, il fallait passer � l'interface web GitLab.


Parit� de d�tection DAST avec les r�gles par d�faut de d�tection des secrets

L'analyseur DAST int�gre d�sormais automatiquement les m�mes r�gles par d�faut de d�tection des secrets que celles utilis�es par l'analyseur Secret Detection de GitLab. Cette am�lioration garantit la coh�rence des types de secrets d�tect�s par les deux analyseurs.

Filtrer par version de composant dans la liste des d�pendances

Les listes de d�pendances prennent d�sormais en charge le filtrage par num�ro de version d'un composant. Vous pouvez s�lectionner plusieurs versions (par exemple, version=1.1,1.2,1.4), mais les plages ne sont pas prises en charge. Cette fonctionnalit� est disponible � la fois dans les groupes et les projets.


Fen�tre contextuelle d'�tat des contr�les dans le rapport d'�tat de conformit�

Les contr�les dans le rapport d'�tat de conformit� ont trois �tats diff�rents :

• R�ussi
• �chou�
• En attente

Quel que soit le nombre de contr�les associ�s � l'exigence, si au moins un contr�le �tait � en attente �, toute la ligne de l'exigence �tait �galement affich�e comme � en attente �. Cela s'�cartait du mod�le UX �tabli pour la visualisation des contr�les �chou�s, o� l'exigence affichait le nombre de contr�les associ�s � l'exigence, m�me lorsqu'il y avait au moins un contr�le �chou�.

Pour fournir davantage de contexte et d'informations sur les contr�les � en attente �, cette version propose d�sormais une fen�tre contextuelle qui s'affiche lorsque vous passez la souris sur le statut de la ligne d'exigence, avec le statut de chaque contr�le r�pertori�. Vous pouvez d�sormais comprendre quels contr�les sont en attente et lesquels sont susceptibles de r�ussir ou d'�chouer, plut�t que de simplement voir un seul statut � en attente �.

Filtrer les utilisateurs humains et les bots

Les instances GitLab �tablies peuvent souvent compter un grand nombre d'utilisateurs humains et de bots. Vous pouvez d�sormais filtrer la liste des utilisateurs dans la zone d'administration par type d'utilisateur. Le filtrage des utilisateurs peut vous aider � :

• Identifier et g�rer rapidement les utilisateurs humains s�par�ment des comptes automatis�s.
• Effectuer des actions administratives cibl�es sur des types d'utilisateurs sp�cifiques.
• Simplifier les workflows d'audit et de gestion des utilisateurs.

Identifiant ORCID dans le profil utilisateur

GitLab prend d�sormais en charge les identifiants ORCID dans les profils utilisateur, ce qui rend GitLab plus accessible et plus utile pour les chercheurs et la communaut� universitaire. ORCID (Open Researcher and Contributor ID) fournit aux chercheurs un identifiant num�rique permanent qui les distingue des autres chercheurs et prend en charge les liens automatis�s entre les chercheurs et leurs activit�s professionnelles, garantissant ainsi que leur travail est correctement reconnu.

S'abonner aux notifications du pipeline du compte de service

Vous pouvez d�sormais vous abonner aux notifications pour les �v�nements de pipeline d�clench�s par les comptes de service. Les notifications sont envoy�es lorsque le pipeline r�ussit, �choue ou est corrig�. Auparavant, ces notifications n'�taient envoy�es qu'� l'adresse e-mail du compte de service si celui-ci disposait d'une adresse e-mail personnalis�e valide.

Afficher les jetons d'acc�s personnels inactifs

GitLab d�sactive automatiquement les jetons d'acc�s apr�s leur expiration ou leur r�vocation. Vous pouvez d�sormais consulter ces jetons inactifs. Auparavant, les jetons d'acc�s n'�taient plus visibles une fois qu'ils �taient devenus inactifs. Cette modification am�liore la tra�abilit� et la s�curit� de ces types de jetons.


Exp�rience am�lior�e de r�vision des demandes de fusion avec le panneau de r�vision

Lorsque vous examinez une demande de fusion, il peut �tre utile de consulter tous les commentaires et retours que vous avez fournis avant de soumettre votre examen. Auparavant, cette exp�rience �tait fragment�e entre le commentaire final et une fen�tre contextuelle suppl�mentaire permettant de voir vos commentaires en attente, ce qui rendait difficile d'avoir une vue d'ensemble compl�te.

Lorsque vous effectuez des r�visions de code, vous pouvez d�sormais acc�der � un tiroir d�di� qui regroupe tous vos commentaires en attente dans une vue organis�e. Le panneau de r�vision am�lior� d�place l'interface de soumission de r�vision vers un emplacement plus accessible et affiche un badge num�rot� indiquant le nombre de commentaires en attente. Lorsque vous ouvrez le panneau, tous vos commentaires sont organis�s dans une liste d�roulante, ce qui facilite la r�vision et la gestion de vos commentaires avant leur soumission.


GitLab Runner 18.1

Avec cette version, GitLab inc lance �galement GitLab Runner 18.1. GitLab Runner est un agent de build �volutif qui ex�cute vos t�ches CI/CD et renvoie les r�sultats � une instance GitLab. GitLab Runner fonctionne en conjonction avec GitLab CI/CD, le service d'int�gration continue open source inclus dans GitLab.

Prise en charge PHP pour Advanced SAST

Cette version apporte la prise en charge de PHP � GitLab Advanced SAST. Pour utiliser cette nouvelle fonctionnalit� d'analyse inter-fichiers et inter-fonctions, activez Advanced SAST. Si vous avez d�j� activ� Advanced SAST, la prise en charge de PHP est automatiquement activ�e.

Contr�les de priorit� des variables dans les politiques d'ex�cution des pipelines

Les �quipes de s�curit� doivent souvent trouver un �quilibre d�licat entre la garantie de la s�curit� et l'exp�rience des d�veloppeurs. Il est essentiel de s'assurer que les analyses de s�curit� sont correctement appliqu�es, mais les analyseurs de s�curit� peuvent n�cessiter des contributions sp�cifiques de la part des �quipes de d�veloppement pour fonctionner correctement. Gr�ce aux contr�les de priorit� des variables, les �quipes de s�curit� disposent d�sormais d'un contr�le granulaire sur la mani�re dont les variables sont g�r�es dans les politiques d'ex�cution des pipelines gr�ce � la nouvelle option de configuration variables_override.

Gr�ce � cette nouvelle configuration, vous pouvez d�sormais :

• Appliquer des politiques d'analyse des conteneurs qui autorisent les chemins d'acc�s aux images de conteneurs sp�cifiques au projet (CS_IMAGE).
• Autoriser les variables � faible risque telles que SAST_EXCLUDED_PATHS tout en bloquant les variables � haut risque telles que SAST_DISABLED.
• D�finir des informations d'identification partag�es globalement qui sont s�curis�es (masqu�es ou cach�es) avec des variables CI/CD globales, telles que AWS_CREDENTIALS, tout en autorisant les remplacements sp�cifiques au projet lorsque cela est appropri� via des variables CI/CD au niveau du projet.

Cette fonctionnalit� prend en charge deux approches :

• Verrouiller les variables par d�faut (allow: false) : verrouillez toutes les variables sauf celles que vous listez comme exceptions.
• Autoriser les variables par d�faut (allow: true) : autorisez la personnalisation des variables, mais limitez les risques critiques en les listant comme exceptions.

Pour am�liorer la tra�abilit� et le d�pannage lorsqu'une politique d'ex�cution de pipeline est � l'origine d'une t�che CI/CD, cette version introduit �galement des journaux de t�ches afin d'aider les d�veloppeurs et les �quipes de s�curit� � identifier les t�ches ex�cut�es par une politique. Les journaux de t�ches fournissent des d�tails sur l'impact des remplacements de variables afin de vous aider � comprendre si les variables sont remplac�es ou verrouill�es par des politiques.


D�finir name pour les contr�les personnalis�s externes

Auparavant, vous ne pouviez pas d�finir de nom pour un contr�le personnalis� externe lors de la cr�ation d'un cadre de conformit� personnalis�, ce qui rendait difficile l'identification des contr�les externes lorsqu'ils �taient r�pertori�s aux c�t�s des contr�les GitLab.

Cette version ajoute un champ Name dans le cadre du workflow lors de la d�finition d'un contr�le personnalis� externe, afin que vous puissiez cr�er plusieurs contr�les personnalis�s externes et d�finir clairement chacun d'entre eux avec son propre nom unique.

Couverture SAST accrue pour la r�solution des vuln�rabilit�s Duo

Auparavant, vous deviez r�soudre manuellement les vuln�rabilit�s d�tect�es � l'aide des identifiants CWE (Common Weakness Enumeration) suivants :

• CWE-78 (injection de commande)
• CWE-89 (injection SQL)

D�sormais, Duo Vulnerability Resolution peut corriger automatiquement ces vuln�rabilit�s.

Pagination pour les exigences dans l'interface utilisateur des cadres de conformit�

Lors de la cr�ation d'un cadre de conformit�, vous pouvez sp�cifier un maximum de 50 exigences. Cependant, il devient tr�s difficile de naviguer dans un cadre de conformit� avec autant d'exigences, car celles-ci occupent beaucoup d'espace dans l'interface utilisateur.

Cette version introduit la pagination des exigences afin de faciliter la navigation, la recherche et la s�lection des exigences lorsque celles-ci sont nombreuses dans un cadre de conformit�.

Nouvel argument accessLevels pour projectMembers dans l'API GraphQL

Cette version ajoute l'argument accessLevels au champ projectMembers dans l'API GraphQL. Utilisez cet argument pour filtrer les membres du projet par niveau d'acc�s directement � partir d'un appel API. Auparavant, vous deviez r�cup�rer la liste compl�te des membres du projet et appliquer des filtres localement, ce qui ajoutait une charge de calcul importante. D�sormais, l'analyse des autorisations du projet et la g�n�ration de graphiques de propri�t� sont plus rapides et plus efficaces en termes de ressources. Cette am�lioration est particuli�rement utile pour les organisations qui g�rent des d�ploiements � grande �chelle avec des structures d'autorisation complexes.

Source : GitLab

Et vous ?

Pensez-vous que ces am�liorations sont cr�dibles ou pertinentes ?
Quel est votre avis sur la mise � jour ?

Voir aussi :

GitLab permet de rassembler toutes les fonctionnalit�s DevOps en un seul endroit, afin de permettre aux �quipes de collaborer et de contribuer

GitLab, la plateforme DevSecOps aliment�e par l'IA, nomme Bill Staples au poste de PDG et le cofondateur Sid Sijbrandij devient pr�sident ex�cutif du conseil d'administration

On ne peut pas faire confiance aux assistants IA pour produire du code s�r : l'assistant IA de GitLab a expos� les d�veloppeurs � l'injection d'une invite qui permet de voler le code source