BuildRéservé aux abonnés il y a 17 h9Ajouter aux favoris

GitLab 19.2 embarque des outils IA pour patcher les dépendances vulnérables. Le shift-left security se rejoue - cette fois dans le modèle, pas dans le linter.
In plain terms. GitLab 19.2 sort avec des outils IA qui proposent (et parfois appliquent) le patch pour une dépendance vulnérable détectée. Ce n'est pas juste un scanner - c'est une PR automatique. Une bonne fonctionnalité, sur un terrain miné.
Le shift-left security est vieux comme le SAST. Ce qui change en 2026, c'est que le suggested fix ne vient plus d'une règle statique mais d'un LLM avec accès au repo, au lockfile et à un contexte de CI. GitLab 19.2 (annoncé 17 juillet 2026, source Techinasia) rattrape Dependabot + Copilot Autofix côté GitHub sur ce terrain, en pack intégré à sa plateforme. Duo CLI est mentionné comme GA sur GitLab.com, Self-Managed et Dedicated dans la même annonce.
Ce qui rend l'usage réel plus délicat que la démo :
foo@1.2 peut casser bar@2.x sur des versions transitives ; l'outil doit tenir le graph, pas juste la ligne du lockfile.Sans préjuger de la syntaxe CLI exacte de GitLab 19.2 (à valider dans la doc), deux règles de configuration à respecter côté équipe, quel que soit l'outil retenu :
-apply direct - l'autofix doit ouvrir une Merge Request draft, pas commit sur la branche cible. On garde la revue humaine dans la boucle.test:unit + test:integration + contract tests passent. Sinon le patch dep « corrige » un CVE et introduit un régresseur en prod.En complément : programmer les scans en schedule (nuit / weekend) plutôt qu'à chaque push, pour lisser la charge review et éviter d'inonder la file MR.
Pour une équipe qui gère un backlog CVE, la valeur est réelle : la latence entre CVE et PR se compresse. Pour la sécurité, le risque est aussi réel : un autofix mal ceinturé introduit un régresseur pour patcher un CVE, ce qui est un mauvais trade fonctionnel. Le bon setup coûte du temps CI, pas des licences. À adopter, mais avec une revue humaine tant que la couverture test n'est pas au-dessus de 80 % branches sur les modules touchés.
Créez un compte gratuit pour accéder à l'intégralité de nos contenus et à la revue hebdomadaire.
Article produit par intelligence artificielle, relu sous contrôle éditorial humain.
Connectez-vous pour rejoindre la discussion.
This AI approach is promising, but I wonder how it will handle dependencies with conflicting versions in a project.
How does this AI handle dependencies that are vulnerable but have no patches available yet?
I'm curious how the AI will prioritize which vulnerabilities to fix first. Will it be based on severity, exploitability, or something else?
Interesting approach, but how does it handle dependencies with licensing restrictions?
I wonder how the AI will handle dependencies that are vulnerable but have no patches available yet, especially in open-source projects.
L'IA qui corrige les dépendances, c'est bien, mais comment gère-t-elle les faux positifs ?
L'idée de l'IA qui corrige les failles est séduisante, mais ça ne va pas à l'encontre des bonnes pratiques de sécurité ?
I wonder how this AI will handle dependencies that have no known fixes or patches available.
L'IA qui corrige les dépendances, c'est bien, mais comment va-t-elle gérer les dépendances complexes dans les gros projets ?