GitLab 19.0将Agentic AI嵌入凭证、合并请求与供应链安全

GitLab发布了 GitLab 19.0 "版本，把Agentic AI从代码生成推向与之相关的工作流中：凭证安全、变更审查与合并，以及已发布包的依赖扫描。5月21日的发布这个版本包含了GitLab Secrets Manager的公开测试、将Developer Flow智能体扩展到完整的合并请求生命周期中，并正式发布软件物料清单（SBOM，software bill of materials）依赖扫描。 GitLab Secrets Manager "目前对Premium与Ultimate用户发布了公开测试，它将在运行代码与流水线的同一平台内保存凭证，并将每个secret限定为仅允许被授权的job使用。访问控制与审计日志沿用GitLab现有的group与project层级，无需独立的授权模型。如果凭证被泄露的话，响应者可以从GitLab审计轨迹追溯每个使用该凭证的job。该功能与HashiCorp Vault、AWS Secrets Manager、Azure Key Vault、Google Cloud Secret Manager兼容，并非替代这些服务。 在合并请求方面， Developer Flow "现在能处理审阅者反馈、拆分过大的MR并自动解决冲突。该流程在提交前会从AGENTS.md读取项目规范，这样生成的产出能够反映团队的上下文而不是通用的默认方式。新的Resolve with Duo按钮（beta）会评估双方分支、提交建议修复并留下概要注释供后续审阅。一次性的rebase-and-merge支持fast-forward与半线性合并。GitLab Duo遵守分支保护规则，不会对受保护分支强制推送。 此版本还将GitLab Duo Core迁移为按使用计费。Web IDE与桌面IDE中的Code Suggestions现在使用 GitLab Credits "计费，GitLab Duo Chat也变为基于智能体运行，团队需启用GitLab Duo Agent Platform以继续使用。平台工程师将获得Components Analytics数据，显示组织内运行的CI/CD Catalog组件及版本，以及尚未落地的安全修复的位置。 在供应链方面，基于SBOM的依赖扫描现已正式发布，覆盖Maven、npm、NuGet、PyPI、Go与Cargo等生态系统。自动依赖解析（在项目未提交lockfile时生成所需的lockfile或依赖图导出）默认对Maven、Gradle与Python启用，必要时能够回退到manifest扫描。安全配置策略允许团队通过策略开启Secret Detection、SAST与依赖扫描，而无需逐项目修改CI配置。对于自托管团队，GitLab Duo Agent Platform为无网络的环境提供了包括Mistral Devstral 2 123B与GLM-5.1在内的四个开源模型，并新增对Claude Opus4.7与Gemini的支持。 GitLab的首席产品与市场官Manav Khurana表示：“AI加速了代码生成，但并未让大规模信任或保障变得更容易。当安全、自动化与治理、代码共享同一平台时，团队能在AI加速下保持对交付物的控制，而这正是GitLab 19.0要实现的。” GitLab 19.0同时提升了对平台的要求：将PostgreSQL 17设为最低版本、停止对Redis 6的支持，并移除针对Ubuntu 20.04与SUSE发行版的Linux包。包括 GitHub "与 Atlassian "在内的竞争对手也在推进类似的agentic功能，因此平台团队需要在治理与定价模型上权衡，选择与安全需求及预算相符的方案。 查看英文原文： GitLab 19.0 Embeds Agentic AI in Secrets, Merge Requests, and Supply Chain Security "