GitLab 发布了GitLab 19.0版本,把 Agentic AI 从代码生成推向与之相关的工作流中:凭证安全、变更审查与合并,以及已发布包的依赖扫描。5 月 21 日的发布这个版本包含了 GitLab Secrets Manager 的公开测试、将 Developer Flow 智能体扩展到完整的合并请求生命周期中,并正式发布软件物料清单(SBOM,software bill of materials)依赖扫描。
GitLab Secrets Manager目前对 Premium 与 Ultimate 用户发布了公开测试,它将在运行代码与流水线的同一平台内保存凭证,并将每个 secret 限定为仅允许被授权的 job 使用。访问控制与审计日志沿用 GitLab 现有的 group 与 project 层级,无需独立的授权模型。如果凭证被泄露的话,响应者可以从 GitLab 审计轨迹追溯每个使用该凭证的 job。该功能与 HashiCorp Vault、AWS Secrets Manager、Azure Key Vault、Google Cloud Secret Manager 兼容,并非替代这些服务。
在合并请求方面,Developer Flow现在能处理审阅者反馈、拆分过大的 MR 并自动解决冲突。该流程在提交前会从AGENTS.md读取项目规范,这样生成的产出能够反映团队的上下文而不是通用的默认方式。新的 Resolve with Duo 按钮(beta)会评估双方分支、提交建议修复并留下概要注释供后续审阅。一次性的 rebase-and-merge 支持 fast-forward 与半线性合并。GitLab Duo 遵守分支保护规则,不会对受保护分支强制推送。
此版本还将 GitLab Duo Core 迁移为按使用计费。Web IDE 与桌面 IDE 中的 Code Suggestions 现在使用GitLab Credits计费,GitLab Duo Chat 也变为基于智能体运行,团队需启用 GitLab Duo Agent Platform 以继续使用。平台工程师将获得 Components Analytics 数据,显示组织内运行的 CI/CD Catalog 组件及版本,以及尚未落地的安全修复的位置。
在供应链方面,基于 SBOM 的依赖扫描现已正式发布,覆盖 Maven、npm、NuGet、PyPI、Go 与 Cargo 等生态系统。自动依赖解析(在项目未提交 lockfile 时生成所需的 lockfile 或依赖图导出)默认对 Maven、Gradle 与 Python 启用,必要时能够回退到 manifest 扫描。安全配置策略允许团队通过策略开启 Secret Detection、SAST 与依赖扫描,而无需逐项目修改 CI 配置。对于自托管团队,GitLab Duo Agent Platform 为无网络的环境提供了包括 Mistral Devstral 2 123B 与 GLM-5.1 在内的四个开源模型,并新增对 Claude Opus4.7 与 Gemini 的支持。
GitLab 的首席产品与市场官 Manav Khurana 表示:“AI 加速了代码生成,但并未让大规模信任或保障变得更容易。当安全、自动化与治理、代码共享同一平台时,团队能在 AI 加速下保持对交付物的控制,而这正是 GitLab 19.0 要实现的。”
GitLab 19.0 同时提升了对平台的要求:将 PostgreSQL 17 设为最低版本、停止对 Redis 6 的支持,并移除针对 Ubuntu 20.04 与 SUSE 发行版的 Linux 包。包括GitHub与Atlassian在内的竞争对手也在推进类似的 agentic 功能,因此平台团队需要在治理与定价模型上权衡,选择与安全需求及预算相符的方案。
查看英文原文:GitLab 19.0 Embeds Agentic AI in Secrets, Merge Requests, and Supply Chain Security
