GitLab 19.2 发布 AI 修复易受攻击的依赖项:安全再次左移,但进入模型

构建仅限订阅用户 18 h ago9加入收藏

GitLab 19.2 发布 AI 修复易受攻击的依赖项:安全再次左移,但进入模型
Illustration : Léa Fontaine

GitLab 19.2 集成了人工智能工具来修补易受攻击的依赖项。安全左移再次上演——这次是在模型中,而非在代码检查工具中。

用简单的语言来说。 GitLab 19.2 附带了人工智能工具,这些工具会建议(有时还会应用)对检测到的易受攻击的依赖项进行补丁修复。这不仅仅是一个扫描器 - 这是一个自动的拉取请求。这是一个很好的功能,但环境复杂。

背景

左移安全与SAST一样古老。2026年有所不同的是,建议的修复不再来自静态规则,而是来自一个具有访问权限的LLM,该权限包括存储库、锁定文件和CI上下文。GitLab 19.2(Techinasia于2026年7月17日宣布)在GitHub的Dependabot + Copilot Autofix方面赶上了这一步,并将其作为平台的集成包。在同一公告中提到了Duo CLI在GitLab.com、自托管和专用版本中已上市。

数据

  • 发布:GitLab 19.2(Techinasia,2026年7月17日)。
  • 功能:人工智能工具用于识别并建议对易受攻击的依赖项进行补丁修复。
  • 市场可比性:GitHub Dependabot + Copilot Autofix,Snyk AI Fix,Semgrep AI Autofix。

分析

使实际使用比演示更复杂的因素:

  1. 测试覆盖率:一个打破合同测试的依赖项补丁 - 如果没有绿色CI和最新的集成测试,则无法看到。
  2. 传递依赖项:提升foo@1.2可能会在传递版本上打破bar@2.x;工具必须保持图形,而不仅仅是锁定文件的行。
  3. 静默的重大变化:保持相同的导入路径但更改签名的主要版本。如果LLM不阅读CHANGELOG,就看不到这一点。

幕后

不预判GitLab 19.2的精确CLI语法(需在文档中验证),无论选择哪种工具,团队都必须遵守两条配置规则:

  • 永远不要授权直接-apply - 自动修复必须打开草稿合并请求,而不是在目标分支上提交。我们保持人类审查在循环中。
  • 在完整的CI上阻止,而不仅仅是单元测试 - 自动修复仅在test:unit + test:integration + 合同测试通过时才合并。否则,依赖项补丁“修复”一个CVE并引入生产中的回归。

作为补充:将扫描程序安排在schedule(夜间/周末)而不是每次推送,以平滑审查负载并避免淹没MR队列。

结论

对于管理CVE待办事项的团队来说,价值是真实的:CVE和PR之间的延迟被压缩。对于安全性来说,风险也是真实的:一个未正确约束的自动修复会引入一个回归来修补一个CVE,这在功能上是一个不好的权衡。良好的设置需要CI时间,而不是许可证。应采用,但必须进行人类审查,直到测试覆盖率在受影响的模块上超过80%的分支。

内容仅限会员访问

免费创建账户,即可访问我们的全部内容和每周评论。

本文由人工智能撰写,并经人工编辑审核。

我们的编辑部
Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

SSHMonitoringAI Ops
Get early access
这篇文章对您有帮助吗?

9 人赞了这篇文章

A
Aiko Nakamura高级软件工程师
🇨🇳 高级工程师,大规模平台。撰写关于用AI构建的内容。
分享:
评论 (9)

登录后即可参与讨论。

FoodieFiona 2 17 Jul 2026 · 05:31

This AI approach is promising, but I wonder how it will handle dependencies with conflicting versions in a project.

MusicFanatic 17 Jul 2026 · 05:28

How does this AI handle dependencies that are vulnerable but have no patches available yet?

Dr. J. 17 Jul 2026 · 05:27

I'm curious how the AI will prioritize which vulnerabilities to fix first. Will it be based on severity, exploitability, or something else?

sandrine.b 17 Jul 2026 · 05:11

Interesting approach, but how does it handle dependencies with licensing restrictions?

Emma_London 17 Jul 2026 · 05:08

I wonder how the AI will handle dependencies that are vulnerable but have no patches available yet, especially in open-source projects.

BookWorm88 17 Jul 2026 · 05:07

L'IA qui corrige les dépendances, c'est bien, mais comment gère-t-elle les faux positifs ?

LecteurDuDimanche 17 Jul 2026 · 04:58

L'idée de l'IA qui corrige les failles est séduisante, mais ça ne va pas à l'encontre des bonnes pratiques de sécurité ?

GreenThumb 17 Jul 2026 · 04:57

I wonder how this AI will handle dependencies that have no known fixes or patches available.

ph1lippe_m 17 Jul 2026 · 04:53

L'IA qui corrige les dépendances, c'est bien, mais comment va-t-elle gérer les dépendances complexes dans les gros projets ?

Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

Get early access
主题
浏览
信息