GitLab 19.0 усиливает DevSecOps: Secrets Manager, агентные AI‑процессы и контроль цепочки поставок

Разработчики сегодня пишут код быстрее, чем когда‑либо — во многом благодаря инструментам ИИ. Но ускорение кодирования создало новую проблему: проверка безопасности, соблюдение требований, тестирование и доставка релизов часто не успевают за этим темпом.

Релиз GitLab 19.0 нацелен именно на этот разрыв. Платформа добавляет новые возможности DevSecOps: GitLab Secrets Manager, расширенную AI‑автоматизацию merge request, поддержку self‑hosted моделей ИИ для регулируемых сред и дополнительные инструменты безопасности цепочки поставок программного обеспечения.

По мнению GitLab, всё это должно помочь решить явление, которое компания называет «AI Paradox» — когда код генерируется всё быстрее, а процессы безопасности и доставки становятся узким местом.

Secrets Manager: управление CI/CD‑секретами внутри GitLab

Одним из самых заметных нововведений стал GitLab Secrets Manager, доступный в публичной бете для тарифов Premium и Ultimate.

Раньше многие команды хранили ключи и токены для CI/CD в сторонних системах вроде HashiCorp Vault или сервисов облачных провайдеров. Теперь GitLab позволяет управлять этими секретами прямо внутри своей платформы.

Основные возможности:

• хранение и извлечение секретов CI/CD непосредственно в проектах или группах GitLab
• привязка секретов к конкретным задачам pipeline или средам
• управление доступом через те же механизмы прав, что используются для исходного кода

Такой подход помогает уменьшить «расползание» учётных данных и применять принцип минимально необходимого доступа в CI/CD‑процессах.

AI‑автоматизация merge request и агентные workflow

В GitLab 19.0 искусственный интеллект используется не только для подсказок при написании кода. Он начинает участвовать во всём жизненном цикле merge request (MR).

AI‑агенты могут помогать с рядом задач в процессе ревью:

• обработка комментариев ревьюеров
• разрешение merge‑конфликтов
• автоматический rebase
• операции «rebase‑and‑merge» одним нажатием

Эти функции входят в платформу GitLab Duo Agent Platform, где агенты выполняют задачи на разных этапах разработки — от планирования до проверки безопасности и деплоя.

Идея в том, чтобы автоматизировать не только написание кода, но и ручную работу вокруг него, которая часто замедляет выпуск изменений.

Self‑hosted модели ИИ для регулируемых и изолированных сред

Для многих организаций — особенно в финансовом секторе, здравоохранении или государственном секторе — передача исходного кода в облачные AI‑сервисы недопустима.

GitLab 19.0 решает эту проблему благодаря поддержке self‑hosted open‑source моделей ИИ, которые можно подключать через внешние агенты в Duo Agent Platform.

Это позволяет компаниям:

• запускать модели ИИ на собственной инфраструктуре
• хранить код и промпты внутри контролируемой среды
• интегрировать такие модели в автоматизацию GitLab

В результате команды могут использовать AI‑помощников даже в air‑gapped инфраструктурах или средах с жёсткими требованиями к соответствию нормативам.

Усиление безопасности цепочки поставок ПО

Современные приложения всё больше зависят от сторонних библиотек и компонентов. Поэтому GitLab добавил инструменты для лучшей видимости и контроля цепочки поставок.

Аналитика компонентов CI/CD

Функция Components Analytics показывает платформенным инженерам, какие компоненты CI/CD‑каталога и какие версии используются в разных проектах организации.

Это помогает:

• отслеживать стандарты pipeline
• выявлять устаревшие компоненты
• управлять повторным использованием CI/CD‑модулей в крупных командах.

Сканирование зависимостей на основе SBOM

GitLab также расширил анализ зависимостей, используя Software Bill of Materials (SBOM).

Такой подход позволяет раньше обнаруживать уязвимости в сторонних библиотеках и улучшает прозрачность состава программного обеспечения.

«AI Paradox»: проблема, которую GitLab пытается решить

GitLab объясняет многие изменения в версии 19.0 так называемым AI Paradox.

Суть проблемы: инструменты ИИ резко ускоряют написание кода, но другие этапы жизненного цикла — проверка безопасности, тестирование, соблюдение требований и выпуск — остаются фрагментированными и медленными.

В итоге организации могут производить больше кода, но не быстрее доставлять готовый продукт.

Ответ GitLab — концепция «intelligent orchestration» (интеллектуальной оркестрации). Она предполагает объединение разработки, безопасности, комплаенса и AI‑автоматизации внутри одной DevSecOps‑платформы, чтобы процессы работали как единая система, а не как набор разрозненных инструментов.

Почему этот релиз важен для DevSecOps

GitLab 19.0 отражает более широкую тенденцию в индустрии: переход от отдельных инструментов к интегрированным платформам разработки с поддержкой ИИ.

Вместо того чтобы просто ускорять написание кода, GitLab пытается автоматизировать весь путь изменения — от управления секретами и проверки безопасности до анализа зависимостей и принятия merge‑запросов.

Для крупных инженерных команд это означает попытку синхронизировать безопасность, управление и комплаенс с новой реальностью AI‑ускоренной разработки. Сможет ли такой подход полностью устранить «парадокс ИИ», покажет практика — но GitLab явно делает ставку на сквозные AI‑ориентированные DevSecOps‑платформы, а не на отдельные инструменты разработки.