GitLab 19.0: Mehr Sicherheit und Automatisierung für KI‑beschleunigte Softwareentwicklung

Wichtige Funktionen sind unter anderem:

• Speicherung und Abruf von CI/CD‑Secrets innerhalb von Projekten oder Gruppen
• Einschränkung von Secrets auf bestimmte Jobs oder Umgebungen
• Zugriffskontrolle über die gleichen Berechtigungen wie für Quellcode

Durch die enge Integration mit Pipelines und Projektberechtigungen soll das Risiko verstreuter Zugangsdaten reduziert und das Prinzip der minimalen Berechtigungen („Least Privilege“) konsequenter umgesetzt werden.

KI automatisiert Merge‑Requests und Entwicklungs‑Workflows

GitLab erweitert außerdem den Einsatz von KI entlang des gesamten Merge‑Request‑Lebenszyklus. Die Plattform setzt dabei auf sogenannte agentische Workflows innerhalb der GitLab Duo Agent Platform.

Statt KI nur zur Codegenerierung zu verwenden, können KI‑Agenten nun auch Aufgaben im Review‑ und Integrationsprozess übernehmen, etwa:

• Bearbeitung von Reviewer‑Feedback
• Auflösen von Merge‑Konflikten
• automatisches Rebasen
• „One‑Click Rebase and Merge“

Diese Erweiterungen sollen den manuellen Aufwand rund um Code‑Änderungen reduzieren – ein Bereich, der oft zum Flaschenhals wird, wenn Entwickler durch KI deutlich schneller neuen Code produzieren.

Self‑Hosted‑KI für regulierte oder abgeschottete Umgebungen

Viele Organisationen – etwa Banken, Gesundheitsunternehmen oder Behörden – dürfen proprietären Code nicht an externe KI‑Dienste senden. GitLab 19.0 adressiert dieses Problem mit Unterstützung für selbst gehostete Open‑Source‑KI‑Modelle, die über externe Agenten in die Duo Agent Platform integriert werden können.

Damit können Unternehmen:

• KI‑Modelle auf eigener Infrastruktur betreiben
• Prompts und Quellcode innerhalb kontrollierter Systeme halten
• KI‑Funktionen trotzdem in GitLab‑Automatisierungsprozesse integrieren

Das ist besonders wichtig für air‑gapped oder stark regulierte IT‑Umgebungen, in denen Cloud‑KI‑Dienste aus Datenschutz‑ oder Compliance‑Gründen nicht erlaubt sind.

Mehr Transparenz in der Software‑Supply‑Chain

Ein weiterer Schwerpunkt der Version 19.0 liegt auf der Sicherheit der Software‑Lieferkette. Moderne Anwendungen bestehen oft aus zahlreichen Drittanbieter‑Bibliotheken – ein wachsender Risikofaktor für Sicherheitslücken.

GitLab erweitert deshalb seine Analyse‑ und Sicherheitsfunktionen in zwei zentralen Bereichen:

CI/CD Components Analytics
Diese Analysefunktion zeigt Plattform‑Engineering‑Teams, welche gemeinsam genutzten CI/CD‑Komponenten und Versionen in verschiedenen Projekten eingesetzt werden. So lassen sich veraltete Komponenten schneller erkennen und Pipeline‑Standards besser durchsetzen.

SBOM‑basiertes Dependency Scanning
GitLab verbessert außerdem die Abhängigkeitsanalyse mithilfe von Software Bills of Materials (SBOMs). Dadurch erhalten Teams frühzeitig Einblick in Open‑Source‑Bibliotheken und mögliche Sicherheitslücken innerhalb ihrer Software‑Supply‑Chain.

Das „AI Paradox“ als Ausgangspunkt der Strategie

GitLab beschreibt den Hintergrund dieser Entwicklungen als AI Paradox. Während KI‑Tools die Geschwindigkeit der Codeerstellung stark erhöhen, bleiben andere Teile des Software‑Lebenszyklus – etwa Tests, Security‑Reviews oder Compliance‑Kontrollen – oft fragmentiert und manuell organisiert.

Das Ergebnis: Unternehmen produzieren zwar mehr Code, liefern Software aber nicht unbedingt schneller aus.

GitLab versucht dieses Problem mit dem Konzept der „intelligenten Orchestrierung“ zu lösen. Die Idee dahinter: Entwicklung, Sicherheit, Compliance und KI‑Automatisierung in einer gemeinsamen DevSecOps‑Plattform zu bündeln, statt sie über zahlreiche Einzeltools zu verteilen.

Warum GitLab 19.0 für DevSecOps‑Teams relevant ist

Die neue Version zeigt einen klaren Trend in modernen Entwicklungsplattformen: weg von isolierten Tools hin zu integrierten Plattformen mit KI‑gestützter Automatisierung.

GitLab 19.0 konzentriert sich weniger auf neue KI‑Coding‑Features allein, sondern vor allem auf die Prozesse rund um den Code – etwa Secrets‑Management, Merge‑Reviews, CI/CD‑Governance und Supply‑Chain‑Sicherheit.

Für große Engineering‑Organisationen mit hohen Sicherheits‑ und Compliance‑Anforderungen könnte diese Kombination helfen, Entwicklungsgeschwindigkeit und Governance wieder besser in Einklang zu bringen. Ob damit das „AI Paradox“ tatsächlich gelöst wird, wird sich allerdings erst in der praktischen Nutzung zeigen.