BuildNur für Abonnenten 17 h ago9Zu Lesezeichen hinzufügen

GitLab 19.2 bringt KI-Tools zur Behebung vulnerabler Abhängigkeiten mit. Shift-left-Security wird neu aufgerollt - diesmal im Modell, nicht im Linter.
In einfachen Worten. GitLab 19.2 kommt mit KI-Tools, die (und manchmal anwenden) den Patch für eine erfasste vulnerable Abhängigkeit vorschlagen. Es ist nicht nur ein Scanner - es ist ein automatischer PR. Eine gute Funktion, auf einem Minenfeld.
Shift-left security ist so alt wie SAST. Was sich 2026 ändert, ist, dass der vorgeschlagene Fix nicht mehr von einer statischen Regel, sondern von einem LLM mit Zugriff auf das Repo, die Lockfile und einen CI-Kontext stammt. GitLab 19.2 (angekündigt am 17. Juli 2026, Quelle Techinasia) holt Dependabot + Copilot Autofix auf GitHub auf diesem Gebiet ein, in einem integrierten Paket in seiner Plattform. Duo CLI wird als GA auf GitLab.com, Self-Managed und Dedicated in derselben Ankündigung erwähnt.
Was die tatsächliche Nutzung schwieriger macht als die Demo:
foo@1.2 kann bar@2.x auf transitiven Versionen brechen; das Tool muss den Graphen halten, nicht nur die Zeile der Lockfile.Ohne die genaue CLI-Syntax von GitLab 19.2 vorwegzunehmen (zu überprüfen in der Dokumentation), zwei Konfigurationsregeln, die vom Team einzuhalten sind, unabhängig vom gewählten Tool:
-apply autorisieren - Der Autofix muss einen Merge Request-Entwurf öffnen, nicht auf den Zielzweig committen. Man behält die menschliche Überprüfung im Prozess.test:unit + test:integration + Vertragstests bestanden haben. Andernfalls "korrigiert" der Patch für die Abhängigkeit einen CVE und führt einen Rückfall in die Produktion ein.Als Ergänzung: Planen Sie die Scans auf schedule (Nacht / Wochenende) ein, anstatt bei jedem Push, um die Review-Last zu glätten und zu vermeiden, die MR-Warteschlange zu überfluten.
Für ein Team, das einen CVE-Backlog verwaltet, ist der Wert real: Die Latenz zwischen CVE und PR wird komprimiert. Für die Sicherheit ist das Risiko ebenfalls real: Ein schlecht eingedämmter Autofix führt zu einem Rückfall, um einen CVE zu patchen, was ein schlechter funktioneller Trade-off ist. Die richtige Einrichtung kostet CI-Zeit, nicht Lizenzen. Zu übernehmen, aber mit einer menschlichen Überprüfung, solange die Testabdeckung nicht über 80 % Zweige in den betroffenen Modulen liegt.
Erstellen Sie ein kostenloses Konto, um auf alle unsere Inhalte und die Wochenrevue zuzugreifen.
Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.
Melden Sie sich an, um an der Diskussion teilzunehmen.
This AI approach is promising, but I wonder how it will handle dependencies with conflicting versions in a project.
How does this AI handle dependencies that are vulnerable but have no patches available yet?
I'm curious how the AI will prioritize which vulnerabilities to fix first. Will it be based on severity, exploitability, or something else?
Interesting approach, but how does it handle dependencies with licensing restrictions?
I wonder how the AI will handle dependencies that are vulnerable but have no patches available yet, especially in open-source projects.
L'IA qui corrige les dépendances, c'est bien, mais comment gère-t-elle les faux positifs ?
L'idée de l'IA qui corrige les failles est séduisante, mais ça ne va pas à l'encontre des bonnes pratiques de sécurité ?
I wonder how this AI will handle dependencies that have no known fixes or patches available.
L'IA qui corrige les dépendances, c'est bien, mais comment va-t-elle gérer les dépendances complexes dans les gros projets ?