GitLab 19.0 mở rộng DevSecOps với Secrets Manager, workflow AI agent và bảo mật chuỗi cung ứng

AI tự động hóa toàn bộ vòng đời Merge Request

GitLab cũng mở rộng vai trò của AI trong quy trình merge request (MR) — nơi các thay đổi code được review và hợp nhất vào nhánh chính.

Thay vì chỉ gợi ý code, các agent AI trong GitLab giờ có thể hỗ trợ nhiều bước trong quy trình review, bao gồm:

• Xử lý phản hồi từ reviewer
• Giải quyết xung đột merge
• Tự động rebase nhánh
• Thực hiện thao tác rebase‑and‑merge chỉ với một cú nhấp

Những khả năng này thuộc nền tảng GitLab Duo Agent Platform, nơi các AI agent có thể tham gia vào nhiều giai đoạn của vòng đời phần mềm — từ lập kế hoạch, review, kiểm tra bảo mật cho tới triển khai.

Mục tiêu là giảm bớt khối lượng công việc thủ công xung quanh code, vốn thường là nguyên nhân làm chậm quá trình phát hành phần mềm.

Hỗ trợ mô hình AI tự host cho môi trường tuân thủ nghiêm ngặt

Không phải tổ chức nào cũng có thể gửi mã nguồn hoặc dữ liệu nội bộ đến dịch vụ AI trên cloud. Các ngành như tài chính, y tế hoặc chính phủ thường yêu cầu kiểm soát dữ liệu chặt chẽ.

GitLab 19.0 giải quyết vấn đề này bằng cách cho phép kết nối mô hình AI mã nguồn mở chạy trên hạ tầng riêng thông qua các external agents trong Duo Agent Platform.

Điều này cho phép tổ chức:

• Chạy mô hình AI ngay trong hạ tầng nội bộ
• Giữ toàn bộ prompt và mã nguồn trong môi trường kiểm soát
• Tích hợp AI vào workflow GitLab mà không cần dịch vụ cloud

Cách tiếp cận này đặc biệt hữu ích cho môi trường air‑gapped hoặc yêu cầu tuân thủ cao, nơi kết nối internet hoặc dịch vụ AI bên ngoài bị hạn chế.

Tăng khả năng quan sát chuỗi cung ứng phần mềm

Bên cạnh AI và automation, GitLab 19.0 cũng tập trung mạnh vào bảo mật chuỗi cung ứng phần mềm — một vấn đề ngày càng quan trọng khi phần mềm hiện đại phụ thuộc nhiều vào thư viện và component bên thứ ba.

Hai tính năng mới đáng chú ý gồm:

Phân tích Components trong CI/CD

Tính năng Components Analytics cho phép đội platform engineering theo dõi:

• Những component CI/CD nào đang được sử dụng
• Phiên bản nào đang chạy trên các project
• Mức độ tái sử dụng pipeline trong toàn tổ chức

Điều này giúp phát hiện component lỗi thời và chuẩn hóa pipeline trên quy mô lớn.

Quét dependency dựa trên SBOM

GitLab 19.0 cũng mở rộng dependency scanning dựa trên Software Bill of Materials (SBOM) để cải thiện khả năng phát hiện lỗ hổng trong thư viện mã nguồn mở.

SBOM cho phép nhóm phát triển nhìn rõ:

• ứng dụng đang sử dụng những dependency nào
• phiên bản cụ thể của từng thư viện
• lỗ hổng bảo mật tiềm ẩn trong các dependency đó

Việc phát hiện sớm các rủi ro này giúp giảm khả năng lỗ hổng lọt vào production.

“AI Paradox”: khi viết code nhanh hơn nhưng phát hành phần mềm lại chậm hơn

GitLab cho rằng nhiều tổ chức đang gặp phải AI Paradox. AI có thể tăng tốc việc viết code, nhưng các bước tiếp theo — như kiểm thử, review, bảo mật và tuân thủ — vẫn phụ thuộc vào nhiều công cụ rời rạc.

Hệ quả là:

• lượng code tăng nhanh
• backlog review và kiểm tra bảo mật ngày càng lớn
• pipeline và quy trình phát hành bị tắc nghẽn

GitLab 19.0 đưa ra giải pháp mà công ty gọi là “intelligent orchestration”: kết hợp phát triển, bảo mật, tuân thủ và tự động hóa AI vào một nền tảng DevSecOps thống nhất.

Ý tưởng là thay vì ghép nhiều công cụ riêng lẻ, toàn bộ workflow — từ quản lý secrets, review code, CI/CD cho tới kiểm soát chuỗi cung ứng — có thể được điều phối trong cùng một hệ thống.

Vì sao bản phát hành này đáng chú ý

GitLab 19.0 phản ánh xu hướng lớn trong ngành DevOps: chuyển từ các công cụ rời rạc sang nền tảng DevSecOps tích hợp và có AI hỗ trợ.

Thay vì chỉ tập trung vào việc viết code nhanh hơn, bản phát hành này hướng đến việc tự động hóa toàn bộ quy trình xung quanh code — từ credential, pipeline, review cho đến bảo mật dependency.

Đối với các tổ chức có codebase lớn hoặc yêu cầu tuân thủ cao, sự kết hợp giữa Secrets Manager tích hợp, workflow merge bằng AI, mô hình AI tự host và phân tích chuỗi cung ứng có thể giúp bảo mật và quản trị phần mềm bắt kịp tốc độ phát triển do AI thúc đẩy.

Liệu chiến lược này có giải quyết hoàn toàn “AI Paradox” hay không vẫn cần thời gian kiểm chứng, nhưng GitLab 19.0 cho thấy rõ xu hướng: DevSecOps đang chuyển sang các nền tảng end‑to‑end được hỗ trợ bởi AI.