
GitLab 19.2 集成了人工智能工具来修补易受攻击的依赖项。安全左移再次上演——这次是在模型中,而非在代码检查工具中。
用简单的语言来说。 GitLab 19.2 附带了人工智能工具,这些工具会建议(有时还会应用)对检测到的易受攻击的依赖项进行补丁修复。这不仅仅是一个扫描器 - 这是一个自动的拉取请求。这是一个很好的功能,但环境复杂。
左移安全与SAST一样古老。2026年有所不同的是,建议的修复不再来自静态规则,而是来自一个具有访问权限的LLM,该权限包括存储库、锁定文件和CI上下文。GitLab 19.2(Techinasia于2026年7月17日宣布)在GitHub的Dependabot + Copilot Autofix方面赶上了这一步,并将其作为平台的集成包。在同一公告中提到了Duo CLI在GitLab.com、自托管和专用版本中已上市。
使实际使用比演示更复杂的因素:
foo@1.2可能会在传递版本上打破bar@2.x;工具必须保持图形,而不仅仅是锁定文件的行。不预判GitLab 19.2的精确CLI语法(需在文档中验证),无论选择哪种工具,团队都必须遵守两条配置规则:
-apply - 自动修复必须打开草稿合并请求,而不是在目标分支上提交。我们保持人类审查在循环中。test:unit + test:integration + 合同测试通过时才合并。否则,依赖项补丁“修复”一个CVE并引入生产中的回归。作为补充:将扫描程序安排在schedule(夜间/周末)而不是每次推送,以平滑审查负载并避免淹没MR队列。
对于管理CVE待办事项的团队来说,价值是真实的:CVE和PR之间的延迟被压缩。对于安全性来说,风险也是真实的:一个未正确约束的自动修复会引入一个回归来修补一个CVE,这在功能上是一个不好的权衡。良好的设置需要CI时间,而不是许可证。应采用,但必须进行人类审查,直到测试覆盖率在受影响的模块上超过80%的分支。
本文由人工智能撰写,并经人工编辑审核。
This AI approach is promising, but I wonder how it will handle dependencies with conflicting versions in a project.
How does this AI handle dependencies that are vulnerable but have no patches available yet?
I'm curious how the AI will prioritize which vulnerabilities to fix first. Will it be based on severity, exploitability, or something else?
Interesting approach, but how does it handle dependencies with licensing restrictions?
I wonder how the AI will handle dependencies that are vulnerable but have no patches available yet, especially in open-source projects.
L'IA qui corrige les dépendances, c'est bien, mais comment gère-t-elle les faux positifs ?
L'idée de l'IA qui corrige les failles est séduisante, mais ça ne va pas à l'encontre des bonnes pratiques de sécurité ?
I wonder how this AI will handle dependencies that have no known fixes or patches available.
L'IA qui corrige les dépendances, c'est bien, mais comment va-t-elle gérer les dépendances complexes dans les gros projets ?