RSS GitLab - TheNote.app

RSS GitLab
关注

GitLab 博客是一个分享软件开发和 DevOps 实践新闻、见解和观点的平台。它包括 GitLab 团队成员、客户和行业专家的文章，涵盖 CI/CD、GitOps、云原生开发等主题。该博客为开发者、运营专业人士和技术领导者提供了一个宝贵的资源，以了解软件开发最新的趋势和最佳实践。通过创新、协作和社区，GitLab 博客促进了知识共享，并鼓励读者之间的讨论。无论您是 GitLab 的新手还是经验丰富的用户，该博客都提供了有价值的信息和见解，以帮助您改进软件开发工作流程。从技术深入分析到思想领导文章，GitLab 博客为所有对软件开发未来感兴趣的人提供了内容。通过订阅 GitLab 博客，随时了解最新的新闻、趋势和最佳实践。

RSS about.gitlab.com

GitLab about.gitlab.com

RSS Hunter • 2024年8月23日

笔记线程

一种漏洞视角：从扫描器覆盖到 AI 治理

企业常因各项目间安全扫描覆盖不一致而面临未检测到的盲区。GitLab 19.1 通过支持大规模集成并强制实施现有的第三方安全扫描器来解决这一问题。该新功能提供统一的扫描覆盖视图，确保所有项目均按照既定策略进行扫描。由这些集成扫描器检测到的漏洞将直接流入 GitLab 的中心漏洞视图，以实现一致的管理。此外，这些第三方发现结果现在可通过 GitLab Duo Agent Platform 工作流实现自动修复。本次发布还增强了密钥检测功能，通过扫描新分支上的每个提交，防止遗漏早期提交的密钥。密钥误报检测现已普遍可用，提供置信度分数和解释说明，以减少开发人员噪音。在 AI 治理方面，目前处于测试版的 AI 审计事件流记录 AI 代理执行的每一项操作，使组织能够监控并证明代理行为。同样处于测试版的代理工具审批护栏赋予管理员定义代理操作的能力，并要求对敏感操作进行人工审批。这种全面的扫描覆盖、自动化修复以及强大的 AI 代理治理相结合，提升了安全性与问责制。

One vulnerability view: From scanner coverage to AI governance about.gitlab.com

RSS Hunter • 6月18日

用于治理与运营的 AI 目录更新

企业 AI 的采用常因缺乏对正在运行的 AI 工具及其部署者的可见性而受阻。GitLab 19.1 为 Duo Flows 引入了事件驱动触发器，从而实现持续且自动化的 AI 工作流。此前，所有触发器均需人工手动操作，限制了程序化集成与定时执行。这些新触发器允许在满足定义条件时自动运行流程，例如检测到合并请求冲突或标记为待审查时。其他新增触发器包括合并请求批准和工作项创建，从而简化合规检查与事件创建等流程。管道事件现可按特定状态（如失败或成功）进行过滤，避免不必要的警报。两项新设置赋予管理员禁用自定义代理并将 AI 目录限制在其组层级内的能力，防止未经授权的 AI 内容。流程配置错误现在会在保存前通过针对 Duo Workflow Service 的验证在上游捕获。一项公开测试版功能允许管理员创建已批准 AI 模型的白名单，从而加强对 AI 使用的控制。这些更新使 AI 流程能够持续、可靠地运行，并增强了治理与开发者反馈机制。

AI Catalog updates for governance and operations about.gitlab.com

RSS Hunter • 6月18日

GitLab 19.1 已发布

GitLab 19.1 released docs.gitlab.com

RSS Hunter • 6月18日

GitLab 被评为 2026 年 Gartner® 魔力象限™ 中 DevSecOps 平台领域的领导者

Gartner 连续四年将 GitLab 评为 DevSecOps 平台魔力象限中的领导者。该公司指出，软件开发已超越单纯的编码范畴，强调底层平台对于速度与效率的重要性。尽管 AI 编码助手加速了代码生成，但也导致流水线、安全及部署环节出现下游瓶颈。GitLab 认为真正的挑战在于通过“可控的速度”将代理生成的代码转化为可靠的软件。当前企业的困境在于如何在快速交付与治理之间取得平衡，尤其是在 AI 代理数量激增而缺乏健全管理政策的情况下。GitLab 将自己定位为规划、构建、保障及发布软件的一体化平台，作为代理时代的控制层。它在变更进入生产环境之前，会针对现有代码和政策进行压力测试。爱立信和西南航空等成熟企业依赖 GitLab 实现可扩展且可靠的软件交付。GitLab 在 SaaS 和自托管部署中提供一致的平台能力，即使在空气隔离环境中也不牺牲控制力。Gartner 特别指出这种对等性以及全面的 AI 功能是其优势所在。该平台还具有可扩展性，可在保持统一治理边界的同时与现有工具集成。GitLab 对企业级高可用性的承诺通过增强的服务等级协议（SLA）得到强化，包括为 Ultimate 客户提供每月 99.9% 的可用性保证。近期的创新聚焦于机器级源代码管理、名为 GitLab Orbit 的上下文图以提升 AI 模型性能，以及用于安全与治理的代理。新的代理触发器可自动化任务协调，灵活的协议则支持定制化支出。最终，GitLab 为人类与代理协作的软件开发提供单一平台、统一上下文图及治理边界。

GitLab named a Leader in the 2026 Gartner® Magic Quadrant™ for DevSecOps Platforms about.gitlab.com

RSS Hunter • 6月17日

GitLab 和 Capgemini 加速 DevSecOps 转型

GitLab 与 Capgemini 已建立全球联盟合作伙伴关系。Capgemini 将作为 GitLab Select Partner，利用 GitLab 的综合平台，其中包括用于整个软件开发生命周期 AI 编排的 GitLab Duo Agent 平台。双方还将向全球客户提供专门的实施服务。此次合作旨在通过提供关于工具、流程和方法的专业指导，加速客户实现价值的时间。该合作将 GitLab 的 DevSecOps 编排能力与 Capgemini 的数字化转型专长相结合。合作重点包括现代化软件交付、保障供应链安全以及将人工智能集成到开发过程中。关键关注领域涵盖云原生开发、应用现代化以及主权解决方案设计。价值流现代化以优化软件交付生命周期也是优先事项。此外，通过 GitLab Duo 集成生成式 AI 和代理式 AI 将增强开发工作流。

GitLab and Capgemini accelerate DevSecOps transformation about.gitlab.com

RSS Hunter • 6月17日

隆重揭晓 2026 年 EMEA 区 GitLab 合作伙伴奖获奖者

GitLab 合作伙伴计划积极培育 DevSecOps 生态系统，助力客户实现软件开发现代化。近日，GitLab 表彰了其在欧洲、中东和非洲（EMEA）地区的合作伙伴在专业能力和客户成功承诺方面的卓越表现。在此活动中，GitLab 公布了 2026 年 EMEA 地区 GitLab 合作伙伴奖的获奖者。cc cloud GmbH 荣获中欧年度区域合作伙伴奖，Eficode 获北欧年度区域合作伙伴奖，Kiratech 获南欧年度区域合作伙伴奖。Bynet 因在新兴市场（特别是东欧和以色列）的表现获得认可。Capgemini | Sogeti 凭借创新工作荣获最佳技术方案/项目奖。Devoteam 因拥有最高数量的认证专业人员，被授予最具认证与赋能合作伙伴奖。ITDOTCOM 因早期产生的重大影响荣获年度新秀奖。Linux Polska 因在新业务拓展方面的成功，被授予首单大师奖。最后，Conoa（一家 PROACT 公司）因其卓越的联合营销努力，荣获年度联合营销合作伙伴奖。

Introducing the 2026 EMEA GitLab Partner Award winners about.gitlab.com

RSS Hunter • 6月17日

GitLab 补丁发布：19.0.2,18.11.5,18.10.8

GitLab Patch Release: 19.0.2, 18.11.5, 18.10.8 docs.gitlab.com

RSS Hunter • 6月11日

Google Cloud 上的 GitLab：完全托管、合规且已就绪 AI

GitLab 现已作为完全托管平台在 Google Cloud 上提供，由 Beyond 和 Digital Future 等认证 MSP 交付。此次合作将最新的 Google AI 模型（包括 Gemini 和 Gemma）直接集成到 GitLab 平台中。团队可在利用可扩展且可靠的 DevSecOps 架构的同时，对其代码、流水线和安全数据保持完全控制。该方案建立在先前合作的基础之上，使 GitLab Duo Agent Platform 能够利用 Google 模型，并将用量计入现有的 Google Cloud 承诺额度。托管服务解决了在需要访问强大 AI 模型与维护敏感数据控制之间的张力，既提供现代化的 AI 能力，又具备稳健的治理机制。组织可在 Google Cloud 上运行完全托管的 GitLab，确保数据驻留并符合监管要求。MSP 合作伙伴承担运营负担，提供高水平的服务等级协议（SLA），而内置的审计和策略控制则为合规团队提供可见性。最新的 Gemini 模型（包括 Gemini 3.5 Flash）现已在 GitLab Duo Agent Platform 中可用，新模型将持续集成。对于自托管和受监管的团队，Gemma 4 为 GitLab Duo Self-Hosted 提供开源权重选项，使其能够在其环境中对 AI Gateway 和数据实现完全控制。通过 Google Cloud Marketplace 购买 GitLab 和 Duo Agent Platform，可将用量计入现有的 Google Cloud 承诺额度，从而简化预算编制和计费。这种集成方法将平台、推理和基础设施支出整合为单一的 Google Cloud 账单。GitLab 还提供成本管控功能，包括用量仪表板、模型使用策略管理以及用于可预测消耗的 Credits 模式。将强大的 AI 模型与 GitLab Duo Agent Platform 的软件交付上下文统一，避免了分散在不同工具中的碎片化，确保部署、模型选择、治理和支出保持一致。此次与 Google Cloud 的合作为在受控基础设施上以可审计的治理方式规模化运行 DevSecOps，提供了正确的部署选项、模型和成本管控。新的和现有的 GitLab 用户均可通过免费试用和简单的注册选项开始使用 Duo Agent Platform。

GitLab on Google Cloud: Fully managed, compliant, and AI-ready about.gitlab.com

RSS Hunter • 6月10日

介绍 GitLab Orbit：一次查询即可获取完整的代码与生命周期上下文

AI 代理在理解代码所处的系统环境方面存在困难，导致努力白费和任务失败。这一差距的产生，是因为代理往往缺乏超出其正在分析代码之外的上下文。GitLab Orbit 旨在弥合这一差距，通过构建一个涵盖所有软件开发生命周期数据的实时可查询图谱来实现。该图谱将代码、合并请求、流水线、部署、漏洞及所有权关系相互连接。借助这一来自 GitLab 的一手数据，代理能够做出更明智的决策并提供更准确的结果。与 RAG 等传统方法相比，GitLab Orbit 在 AI 代码审查准确性方面展现出显著提升。它使编码代理的速度最高提升 11 倍，并大幅减少 token 用量。此外，Orbit 支持此前无法实现的查询，例如追踪流水线故障的根本原因，或映射漏洞的影响范围。这有助于加快事件响应速度，并更高效地规划迁移等任务。该系统通过从各种来源摄入并解析数据，维护一个实时更新的关系图谱。查询流量与主 GitLab 实例分离，授权机制则镜像现有的 GitLab 权限。Orbit 基于 GitLab 已捕获的数据构建，无需新增监控工具。工程师还可通过数据探索器直接查询该图谱，以进行手动调查。GitLab Orbit 目前面向 Premium 和 Ultimate 客户开放公共测试版。

Introducing GitLab Orbit: Full code and lifecycle context, in one query about.gitlab.com

RSS Hunter • 6月10日

GitLab：专为主动型工程时代打造

GitLab Transcend 展示了推动代理式软件开发的主要创新。下一代源代码管理（SCM）采用专为代理级并发优化的 Git 引擎，现已进入私有测试版。GitLab Orbit 作为涵盖整个软件生命周期的全面上下文图谱，现已进入公开测试版，显著提升了代理的效率与准确性。面向安全与代理治理的代理，聚焦于代理行为的身份、策略及审计追踪，目前处于私有测试阶段。GitLab Duo 代理平台是一款已普遍可用的编排系统，支持贯穿完整开发周期的代理工作流。GitLab Flex 是一种新的采购模式，允许灵活分配年度承诺，涵盖席位、AI 使用量及功能能力。研究表明，91% 的组织使用两种或更多 AI 编码工具，但缺乏管理的速度会导致混乱。软件生命周期的碎片化使得当前 AI 编码工具引发效率低下与风险。GitLab 通过其代理式基础设施应对这些挑战，该基础设施包括用于执行的“运动系统”、用于上下文的“神经系统”、用于治理的“免疫系统”以及编排系统。下一代 SCM 旨在消除“克隆税”并解决代理负载下的并发崩溃问题，内部测试结果令人鼓舞。GitLab Orbit 为代理提供关键上下文，减少幻觉并提升响应速度。新的安全与治理代理确保每项代理行为均符合合规性与可追溯性。Duo 代理平台每周活跃用户数已实现 10 倍增长，通过减少上下文切换简化开发流程。GitLab Flex 为软件采购提供了前所未有的灵活性。这些创新旨在将代理式编码转化为受控、高效的软件交付。

GitLab: Built for the agentic engineering era about.gitlab.com

RSS Hunter • 6月10日

GitLab Flex：一次提交，重塑席位与 AI 支出

代理时代使得软件需求变得难以预测，尤其是在席位数量、AI 消耗量以及所需功能方面。然而，传统合同将这些要素全部在前期锁定，一旦需求发生变化，往往导致过度支付或项目停滞。GitLab Flex 通过提供一份年度承诺来解决这一问题，该承诺可按月灵活调整席位、AI 用量及新增功能，无需重新采购。这避免了固定合同中因预估过高或过低而陷入的困境。借助 Flex，年度预算可按月动态调整。客户可调整席位预订，根据团队变化重新分配席位，或将其转向 AI 使用。AI 消耗量可基于已公布的费率从年度承诺中按需扩展，超出承诺部分的用量则按即需计费。签约后发布的新增合格功能也可在不进行新采购的情况下纳入，直接利用现有承诺。与大多数消耗模型不同，Flex 允许在同一承诺内于席位与用量之间进行预算调配。一份单一的 Flex 协议可整合平台席位（Premium 和 Ultimate）、用于 AI 及其他功能的 GitLab Credits，以及任何部署类型（GitLab.com、自托管、专用、空气隔离）。这种灵活性使组织能够在协议期内调整其组合结构。更大的年度承诺可解锁更优的单位定价，且预留容量的成本低于未计划用量。订阅层级和用户级别的支出控制等功能有助于管理预算。未预留席位按有效的预先协商价格计费，超出完整 Flex 承诺的用量则按即需费率计费。云连接客户将自动计费，而空气隔离客户则每半年开具一次发票。现有客户可通过续订维持当前计划，但建议新协议采用 Flex。Premium 和 Ultimate 的层级功能在 Flex 模式下保持不变。GitLab Flex 提供了一种运营模型，用于管理平台和 AI 支出，以适应代理时代的动态需求。客户现在即可通过 GitLab Flex 提出订单。

GitLab Flex: Commit once, reshape your seats and AI spend about.gitlab.com

RSS Hunter • 6月10日

神话级克劳德寓言 5 号抵达 GitLab Duo Agent 平台

Claude Fable 5 是 Anthropic 推出的全新 Mythos 级模型，现已集成至 GitLab Duo Agent 平台。这是一项重大升级，使模型能够完成此前 AI 难以应对的复杂多步骤任务，同时缩短迭代周期。Claude Fable 5 凭借其增强的能力，提升了 Duo Agentic Chat 及基础代理的功能。该模型可通过 AI Gateway 在所有 GitLab 层级和部署模式中访问。其关键优势在于针对复杂问题实现了可衡量的首射准确率提升，显著缩短开发时间。Claude Fable 5 在技术图像和截图的解读方面也表现出卓越性能。该模型具备长视界自主性，可在长时间跨度和数百万 token 的范围内维持高效产出，使代理工作流无需人工干预即可完整执行；Claude Fable 5 能够自我修正并管理并行子代理。工程领导者将受益于人工监督成本的降低以及分配更具挑战性问题的能力。缺陷检测与事件响应亦得到改进，得益于更深层的代码推理和更具可操作性的审查评论。用户被鼓励在最具挑战性的未解难题中充分利用 Claude Fable 5。Claude Fable 5 将于 2026 年 6 月 9 日起在 GitLab Duo Agent 平台上线。

Mythos-class Claude Fable 5 arrives on GitLab Duo Agent Platform about.gitlab.com

RSS Hunter • 6月9日

Shai-Hulud 模仿者行动通过 PyPI 同形异义词攻击针对 Python 开发者

GitLab 漏洞研究团队发现了一起针对 PyPI 的协调供应链攻击，该攻击利用了一种 Shai-Hulud 恶意软件变体。共发现五个恶意包：其中四个是对 Flask、Requests 和 NumPy 等流行库的域名抢注（typosquat），第五个则是被武器化的合法项目 mflux-streamlit。这些包在安装时即执行代码，无需导入，并采用自我传播的凭证窃取器。恶意软件针对各大云服务商的 CI/CD 环境，试图窃取来自 GitHub、AWS、Azure、GCP 等的凭证。此外，它还针对数据库和 Vault，甚至尝试在 CI 运行器上提升权限。该攻击利用 Python 的 .pth 文件机制进行初始执行，下载并运行 Bun JavaScript 运行时以执行混淆后的负载。该负载包含 Shai-Hulud 蠕虫，能够收集敏感信息。该蠕虫同样具备自我传播能力，会将恶意文件提交至仓库并发布更多投毒包。GitLab 确认其自身系统未受影响，并分享调查结果以协助更广泛的安全社区。所有恶意包均源自同一个 PyPI 账户 elitexp，该账户此前曾发布过合法项目。建议用户移除受影响的包、轮换凭证，并审计系统以排查可疑活动。GitLab Ultimate 用户可利用依赖扫描功能检测此类漏洞。

Shai-Hulud copycat campaign targets Python developers through PyPI typosquatting about.gitlab.com

RSS Hunter • 6月9日

代理式编程的效果仅取决于其上下文。

演示通常展示编码代理快速生成拉取请求，却未能解决提交后的问题，如 CI/CD 失败。此类失败往往源于缺乏平台上下文，导致返工而非加速交付。将编码代理与 GitLab 等平台集成，后者提供问题、流水线和安全策略上下文，有助于避免失败。GitLab 教程展示了如何通过增加代理的上下文来提升代码质量、安全性和审查周期。代理受益于仓库、问题和合并请求的上下文，以与团队标准和计划保持一致。当代理在合并请求内工作时，审查周期缩短，合并时间得以改善。平台团队定义代理的访问权限和验证流程，使平台而非代理成为安全代码交付的关键。随着代理生成的代码增多，安全性变得愈发关键，瓶颈从漏洞发现转移至修复审批。具备上下文的代理可根据实际暴露情况对漏洞进行优先级排序。AGENTS.md 文件中的自定义指令通过标准化项目结构和期望，提升代理输出质量。GitLab 等平台提供的结构化且相关的上下文，因上下文窗口限制，优于原始数据转储。代理通过在合并请求中处理审查反馈，同时维持现有控制措施，从而加速修订。要开始代理式编码，请修复一个真实缺陷，使用 AGENTS.md 进行文档化，并专注于高效交付上下文。

Agentic coding is only as good as its context about.gitlab.com

RSS Hunter • 5月28日

GitLab 补丁版本发布：19.0.1、18.11.4、18.10.7

GitLab Patch Release: 19.0.1, 18.11.4, 18.10.7 docs.gitlab.com

RSS Hunter • 5月28日

Claude Opus 4.8 在 GitLab：复杂代理工作，更少干扰

Anthropic 最新推出的 Claude Opus 4.8 模型现已集成至 GitLab Duo Agent 平台，旨在提升智能体在处理复杂任务时的性能。该模型擅长在较长周期内自主执行复杂的、多步骤的智能体序列。Opus 4.8 具备卓越的推理与规划能力，从而产出更清晰的结果并减少人工干预。它增强了指令理解能力，使既定智能体工作流中的结果更加高效且准确。除编程外，该模型在文档起草、数据分析及结构化知识任务方面同样表现优异。其关键特性之一是支持对话中途的系统提示，允许动态更新指令，从而避免重新初始化提示缓存，在应对不断变化的条件时尤为高效。Opus 4.8 现已可在 GitLab Duo Agent 平台中使用，并消耗 GitLab Credits。用户可通过 GitLab 的各级别订阅启动免费试用或访问智能体平台。现有 Premium 或 Ultimate 订阅用户可使用其包含的 GitLab Credits。

Claude Opus 4.8 on GitLab: Complex agentic work, less disruption about.gitlab.com

RSS Hunter • 5月28日

GitLab 补丁版本发布：18.9.8、18.8.10、18.7.7、18.6.8、18.5.7

GitLab Patch Release: 18.9.8, 18.8.10, 18.7.7, 18.6.8, 18.5.7 docs.gitlab.com

RSS Hunter • 5月27日

几分钟内实现代码库的全安全扫描覆盖

随着组织规模扩大，CI/CD 平台在大规模保障代码管道安全方面面临可扩展性挑战。在 AI 驱动的代码交付速度不断提升的背景下，手动为各项目配置扫描器变得难以管理。GitLab 19.0 引入安全配置配置文件（Security Configuration Profiles）以应对这一挑战。这些配置文件是集中式设置，用于定义安全扫描器的运行方式和时机。通过消除在每个项目文件中配置扫描器的需求，从而简化了安全运维。配置文件使各项目从第一天起即可启用 SAST、依赖项扫描和密钥检测。这些配置文件自动在合并请求和分支管道中执行 SAST 和依赖项扫描。密钥检测还包括推送保护，以实时捕获密钥。其优势包括实现标准化覆盖、在发布前发现漏洞以及防止依赖项被篡改。安全配置配置文件可通过 GitLab 的安全清单（Security Inventory）轻松实施，需要 GitLab Ultimate 许可，并可应用于单个项目或整个组。在迁移期间，基于配置文件的设置与遗留配置可共存。

Full security scanner coverage of your codebase in minutes about.gitlab.com

RSS Hunter • 5月26日

基于 SBOM 的依赖扫描以降低供应链风险

第三方代码依赖引入了显著的安全风险，而 AI 生成代码的漏洞进一步加剧了这些风险。传统的依赖扫描器已无法满足现代应用安全需求。GitLab 19.0 引入了基于软件物料清单（SBOM）的依赖扫描功能，以有效应对这些挑战。该功能对项目依赖进行清单化管理，识别应用程序实际使用的易受攻击包。扫描过程追踪传递性依赖至其源头，提供关键上下文信息。同时，系统根据代码可达性对漏洞进行优先级排序，提升防护重点。系统持续扫描新漏洞，确保持续保护。GitLab 的 SBOM 扫描器支持多种包生态系统，现已简化新语言和文件格式的添加。安全配置配置文件可简化跨项目的部署与执行。团队可一次性配置依赖扫描，并通过策略广泛应用。新的依赖扫描功能面向 GitLab Ultimate 用户开放，并提供迁移指南。详细的操作说明和文档便于快速部署与使用。

Reduce supply chain risk with SBOM-based dependency scanning about.gitlab.com

RSS Hunter • 5月26日

更多适用于 GitLab Duo Agent Platform 自托管版本的 AI 模型

GitLab 19.0 扩展了 Duo Agent 平台对自托管开源模型的支持，旨在弥合受监管和隔离环境中的 AI 能力差距。此次更新面向面临数据驻留、网络隔离和合规挑战的客户。这些限制常因数据安全顾虑而阻碍对先进 AI 模型的访问。新功能允许团队在隔离或断网网络中，在其自有 GPU 上部署合适的模型。GitLab 所选的开源模型解决了这些挑战，实现了本地推理和数据隐私保护。支持的开源模型包括 Mistral Devstral 2 123B、GLM-5.1、Kimi-K2.6 和 MiniMax-M2.7。客户可利用本地硬件配合 vLLM 或启用 GPU 的虚拟机进行自管理推理。对于断网环境，本地开源模型是主要解决方案。同时也支持混合部署，实现自托管模型与 GitLab 托管模型的组合。部署选择取决于具体环境需求，例如网络访问限制。该更新对离线和在线许可证持有者均开放，并提供自托管模型与 GitLab 托管模型组合的选项。如有特定部署需求及更多详情，请联系 GitLab 销售团队。此次增强彰显了 GitLab 致力于在多样化环境中提供 AI 能力的承诺。

More AI models for GitLab Duo Agent Platform Self-Hosted about.gitlab.com

RSS Hunter • 5月21日

使用 GitLab Secrets Manager 管理 CI/CD 凭据

凭证泄露往往始于开发人员临时拼凑秘密存储方式，从而导致漏洞。GitLab Secrets Manager 现已进入公开测试版，旨在通过提供安全且集成的解决方案来解决这一问题。该管理器将秘密保留在 GitLab 平台内部，供需要它们的作业访问。开发人员可在 .gitlab-ci.yml 中定义秘密，使用 secrets: 关键字。访问控制采用既定的组和项目结构。这种方法消除了对独立系统的需求，简化了访问管理。秘密的作用范围可通过作业属性定义，从而将泄露的影响降至最低。GitLab 内部的审计日志可追踪秘密使用情况，支持高效调查。此功能目前面向 GitLab.com 及自托管部署的 Premium 和 Ultimate 用户开放公开测试。其设计目标是简化秘密管理并降低凭证遭泄露带来的风险。Secrets Manager 在公开测试版结束后将作为付费功能推出。欢迎提供反馈，以帮助完善其最终形态。

Manage CI/CD credentials with GitLab Secrets Manager about.gitlab.com

RSS Hunter • 5月21日

GitLab 19.0：将 MR 从手动任务转变为自动化工作流

AI 已加速代码生成，但围绕合并请求的手动流程依然存在，形成了瓶颈。GitLab 19.0 推出了开发者流程（Developer Flow），这是一个旨在自动化整个合并请求生命周期的 AI 代理。该代理可处理诸如回应反馈、解决冲突、研究代码库以及拆分大型合并请求等任务。开发者流程允许开发人员委派任务，从而专注于审查和引导流程。该代理能够读取项目配置（包括文档），以提升其性能。新版本还包含一键变基和合并功能，以简化合并的最后阶段。GitLab 19.0 还引入了在 Duo 的协助下解决合并冲突的能力，从而减少耗时的手动任务。代理的操作均会被记录，以保持透明度和审计轨迹。所有这些功能均旨在减少从创建合并请求到完成合并之间所需的人工 effort。这包括对判断密集型工作和机械性任务的自动化。GitLab Premium 和 Ultimate 版客户可试用这些新功能。

GitLab 19.0: Transform MRs from manual tasks to an automated workflow about.gitlab.com

RSS Hunter • 5月21日

跨组织追踪 CI 组件使用情况

GitLab 的 CI/CD 目录允许团队发布和共享可复用的流水线组件。这些组件部署后，难以追踪其使用情况和版本管理。GitLab 19.0 在 CI/CD 目录中引入了组件分析（Components Analytics），以解决这一可见性缺失问题。该功能为所有 CI/CD 组件提供采用数据和用量统计。概览视图（所有版本均支持，包括免费版）显示每个组件的最新版本及使用该项目数量。GitLab Ultimate 用户可访问下钻视图，揭示哪些项目使用了特定组件版本。这有助于识别过时组件及潜在安全风险。组件分析提供了对所用组件及其版本的清晰理解，使团队能够优先安排维护工作、规划弃用策略并提升安全响应速度。组件分析提供的原生可见性超越了 GitHub Actions、CircleCI 和 Jenkins 等其他平台的能力，确保 CI 标准得到执行，并使平台投资获得回报。随着 AI 生成更多流水线，CI/CD 目录与组件分析协同工作，以扩展自动化工作流。自托管和专用版客户同样受益于组件镜像功能。

Track CI component usage across your organization about.gitlab.com

RSS Hunter • 5月21日

GitLab 19.0 已发布

GitLab 19.0 released docs.gitlab.com

RSS Hunter • 5月21日

GitLab Dedicated for Government 现已获得 GovRAMP 认证

GitLab Dedicated for Government 已获得 GovRAMP 认证，简化了州和地方政府机构采用安全 DevSecOps 的流程。该平台提供单租户解决方案，具备增强的数据驻留、隔离和专用网络功能，以满足严格的合规要求。平台集成各类工具，实现工具链整合，缓解预算限制，并将开发流程统一至单一平台。GitLab Dedicated for Government 构建于经 GovRAMP 认证的基础设施之上，支持数据加密，并提供托管服务，简化机构的基础设施管理。该平台提供全面的原生安全与合规能力，包括安全扫描和策略执行。GitLab Duo 现已可用，在合规范围内提供 AI 辅助功能，并计划未来推出更高级的 AI 特性。这一安全的 SaaS 平台支持政府现代化进程，满足数据主权需求，并提供更快的软件交付路径。机构可从中获益，包括缩短交付周期、强化安全、提升开发者生产力以及简化合规流程。GitLab 提供全面的支持服务，包括迁移协助，以帮助机构顺利起步。

GitLab Dedicated for Government now GovRAMP-authorized about.gitlab.com

RSS Hunter • 5月18日

Codex 与 GitLab：从代码修复到生产”

本教程探讨如何使用 Codex 这一编码代理与 GitLab 协同进行软件开发。首先，在本地利用 Codex 修复一个 WebSocket 错误，随后集成 GitLab MCP 以纳入问题需求。Codex 用于修复 WebSocket 错误，包括更新逻辑、添加测试并创建分支，接着利用 GitLab 的 CI/CD 流水线及代码审查功能。第二个用例中，Codex 借助 GitLab MCP，在代码变更之前直接整合问题详情，从而创建合并请求并通过 MCP 关闭相关问题。重点转向修复一个 REST API 验证错误，此时 Codex 作为外部代理，在合并请求内处理审查反馈。Codex 在合并请求上下文中添加文档、测试并提交修复。此举提升了代码审查与修订更新的效率。教程还提供了有效协同使用 Codex 与 GitLab 的具体建议，例如使用名为"AGENTS.md"的文件。

Codex and GitLab: From code fix to production about.gitlab.com

RSS Hunter • 5月18日

超越自带密钥（BYOK）：为何治理对 AI 智能体至关重要

GitHub 的 Copilot CLI 现已允许用户自带 AI 模型或在本地运行模型。然而，仅依赖模型选择对于治理至关重要的企业级自动化而言是不够的。基于 Duo Agent 平台构建的 GitLab Duo CLI 提供了不同的方法，专注于软件交付管道中的企业级控制。Duo CLI 支持交互式开发和 CI/CD 管道中的自动化工作流，包括无头模式。这种平台级控制确保了治理、审计和安全的一致性，不同于 Copilot 的每位开发者独立配置。Duo CLI 提供提示注入检测、复合身份范围以及自定义指令文件（AGENTS.md 和 SKILL.md），以管理代理权限。这使得团队能够安全地调试管道并自动化复杂的开发任务。在考虑平台的 AI 工具时，在缺乏人工监督的情况下实现企业级控制和健全的安全性变得至关重要。GitLab Duo 通过支持自托管和 GitLab 托管模型来促进模型灵活性，从而实现数据主权。团队可以开始免费试用，或使用现有的 GitLab 订阅注册，以体验 GitLab Duo CLI 的优势。

Beyond BYOK: Why governance matters for AI agents about.gitlab.com

RSS Hunter • 5月18日

利用策略纠正误导性漏洞严重性等级的五种方法

GitLab 的安全漏洞报告通常包含大量发现项，其通用 CVSS 评分无法反映具体环境的特性，从而导致低效的人工分诊，因为初始严重程度并不能体现真实风险。GitLab 引入了严重程度覆盖策略，以便根据预定义标准自动调整严重程度。这些策略利用规则，依据 CVE、文件路径和 CWE 等因素修改严重程度级别（设置、提升或降低）。示例包括降低内部服务中漏洞的严重程度，以及提升生产代码中注入类漏洞的严重程度。其他应用场景包括在不同扫描器之间标准化严重程度，并与威胁情报（如 CISA 的 KEV 清单）保持一致。这些策略可应用于组级别，以便在多个项目中保持统一的风险模型。应用这些策略可确保漏洞报告更准确地反映环境风险。手动覆盖始终优于策略操作，且所有更改均会记录以供审计。建议用户实施这些策略，以优化其漏洞管理流程。

5 ways to fix misleading vulnerability severities with policy about.gitlab.com

RSS Hunter • 5月13日

为 AI 辅助编程时代加固管道边界

AI 辅助开发加速了代码创建，但也导致了许多未被察觉的安全漏洞。传统安全工具通常独立于开发工作流运行，使得执行安全策略变得困难。GitLab Ultimate 将安全功能直接集成到其平台中——开发者可以在同一套工具中查看、执行并修复漏洞。“查看（See）”维度提供了跨项目的全面视图，包括仪表板和安全清单，从而揭示隐藏的风险。凭据管理通过令牌清单和基于审计事件流式的实时监控得到增强。“执行（Enforce）”利用平台内的自动化策略来管理每一条流水线（Pipeline）和合并请求（Merge Request），确保安全合规。扫描与流水线执行策略为每个项目建立了安全检查的护栏。这种方法大幅减少了与安全协议相关的人工负担。“修复（Fix）”通过优先处理问题并在开发者工作流中提供清晰上下文，从而关闭漏洞修复闭环。GitLab 的功能使开发者能够高效地解决漏洞，利用 AI 驱动的工具在合并请求中直接进行问题分类（triage）并建议修复方案。该平台还包含 AI 驱动的分析功能，用于识别误报，帮助团队专注于真实威胁。GitLab 的最终目标是在快节奏的 AI 驱动环境中实现安全开发实践。

Harden your pipeline perimeter for the era of AI-assisted coding about.gitlab.com

RSS Hunter • 5月13日

GitLab 补丁发布：18.11.3,18.10.6,18.9.7

GitLab Patch Release: 18.11.3, 18.10.6, 18.9.7 docs.gitlab.com

RSS Hunter • 5月13日

GitLab Act 2

GitLab 正在进行重大变革，启动了一项在致团队信中所述的重构流程。此次重构涉及人员精简，重点在于透明度和自愿离职窗口期。公司正在重新评估其全球布局，扁平化组织架构，重组研发部门，并在内部流程中实施 AI 代理。公司重申了其财务指引。其战略聚焦于软件开发的“代理时代”，其中 AI 代理将发挥关键作用。GitLab 在机器级基础设施、编排、上下文和治理方面押注架构创新。公司计划通过灵活的业务模式和卓越文化交付这些进展。对于客户，现有的支持承诺保持不变，而创新预计将加速。这一战略转变旨在将 GitLab 定位为 AI 时代软件创作领域的领先平台。公司计划将重构节省的资金再投入以加速增长。公司致力于透明度和员工参与变革。

GitLab Act 2 about.gitlab.com

RSS Hunter • 5月11日

在 Kubernetes 上利用 Gitaly 整合您的 GitLab 堆栈

GitLab 18.11 现已正式发布 Gitaly on Kubernetes，简化了团队的部署流程。此前，在 Kubernetes 组件旁于虚拟机上运行 Gitaly 会带来运维挑战。本次新发布提供了完全支持的解决方案，实现了在 Kubernetes 环境内的整合。由于 Gitaly 资源消耗较大，需要特定的 Kubernetes 配置，例如使用 cgroup 以防止 OOM 错误。通过 init 容器挂载 /sys/fs/cgroup 对于隔离 Git 进程至关重要。Pod 重启曾是一个挑战，因此实现了可配置的客户端重试机制。对比基于虚拟机和基于 Kubernetes 的 Gitaly 的基准测试显示，性能差异极小，即使在升级过程中也大多能成功完成操作。这些结果证明了 Kubernetes 在面对突发重启过程时的韧性。Gitaly on Kubernetes 使现有用户能够消除混合基础设施，并为 Kubernetes 用户简化了新部署。建议通过 GitLab Helm Chart 进行部署，文档中提供了全面部署和外部 Gitaly 设置的说明。

Consolidate your GitLab stack with Gitaly on Kubernetes about.gitlab.com

RSS Hunter • 5月7日

使用 GitLab Duo Agent Platform 中的自定义代理自动化部署流程

GitOps 中的手动微服务接入流程复杂、耗时且易出错。GitLab Duo Agent Platform 通过自定义 AI 代理解决这一问题。本教程演示了构建一个代理以接入 TanukiBank 微服务。该流程包括定义应用的 GitOps 工作流。首先，利用 GitLab Duo 生成系统提示以理解现有配置。随后，在 GitLab 中创建自定义代理，集成系统提示与相关工具。接着，通过开发者工作流构建新的微服务。然后，指示该自定义代理接入新服务。代理将更新清单、流水线，并创建需审批的合并请求。验证部署后，确认微服务已上线。其优势包括节省时间、知识沉淀及受控访问。由此实现一致且可审计的变更，兼具自动化速度与企业管理控制。

Automate deployment processes using a custom agent in GitLab Duo Agent Platform about.gitlab.com

RSS Hunter • 5月7日

通过细粒度的个人访问令牌限制凭据暴露

GitLab 的个人访问令牌（PAT）用于身份验证自动化，通常具有广泛的权限，如"api"或"read_api"。若此类令牌遭到泄露，其广泛权限可能导致多个项目面临安全风险。细粒度 PAT 现已进入测试版，允许用户将令牌访问权限限制为特定任务和资源。这种方法通过更严格地限定权限范围，从而缩小潜在泄露的“影响半径”。用户可根据访问范围（个人项目、所有项目或选定项目）和允许的操作（创建、读取、更新、删除）来定义这些令牌。此前，单个令牌即可访问所有资源；而细粒度 PAT 则为每个任务颁发具有精确权限的令牌。令牌表已更新以显示权限范围和具体权限，从而提升可审计性并识别过度授权的令牌。目前，细粒度 PAT 已覆盖约 75% 的 REST API 端点，后续计划进一步扩大覆盖范围。在测试期间，用户可同时创建传统 PAT 和细粒度 PAT。创建这些令牌时，用户需进入设置并选择“细粒度令牌”。欢迎提供反馈，以帮助完善此功能并推广最小权限安全实践。

Limit credential exposure with fine-grained personal access tokens about.gitlab.com

RSS Hunter • 5月7日

Claude Code 与 GitLab：三种可交付的工作流”

开发者喜爱 Claude Code，因其能够快速编写和理解代码。然而，更快的代码创建速度可能超越其他软件开发阶段，从而引发问题。GitLab 通过集成持续集成/持续部署（CI/CD）、安全扫描和代码审查来填补这一差距。本指南演示了如何使用 Claude Code 修复一个 C++ 错误，随后利用 GitLab 的自动化流程。教程展示了 GitLab MCP 如何增强 Claude Code 的上下文，从问题中提取信息。最后，GitLab Duo Agent 平台使 Claude Code 能够充当外部审查员，从而简化代码审查过程。自定义指令可进一步指导代理以满足特定项目需求。最终，Claude Code 加速了编码工作，而 GitLab 确保了软件交付的安全与高效。

Claude Code and GitLab: Three workflows that ship about.gitlab.com

RSS Hunter • 5月6日

8 种重塑团队协作的代理式 AI 模式

人工智能正在演进，以增强团队协作，超越个体任务效率。用户体验研究分析了 17 个代理平台，识别出优化团队协作的关键功能。该研究揭示了八种能力模式，导向三个关键成果：更快的进度、更智能的工作以及保持控制。这些模式涵盖状态更新、工作路由、团队沟通以及现有沟通工具中的角色特定代理。对话上下文感知和基于角色的访问控制同样至关重要，同时还需要受管的环境和协作式代理创建。关键观察包括 AI 在聊天平台中的集成、治理日益重要以及基于团队的代理开发。最成功的平台专注于设计统一的团队体验，而非孤立的代理能力。GitLab 的 DevSecOps 生命周期因其集成化、单一平台的流程而具有显著优势。GitLab Duo 代理平台利用这一优势，实现整个软件开发生命周期中代理的无缝执行。这使得团队能够有效编排任务，同时由代理负责执行，从而促进效率与控制。

8 Agentic AI patterns reshaping team collaboration about.gitlab.com

RSS Hunter • 5月5日

如何检测与防范传染性面试 IDE 攻击

GitLab 安全运营团队（包括威胁情报和安全事件响应团队）紧密协作，以应对不断演变的威胁。该团队近期发表了一篇关于朝鲜国家行为体战术的文章，重点针对恶意利用 VS Code 任务（tasks）的攻击手法。在“Contagious Interview”行动中，攻击者利用伪造的面试流程诱骗个人运行恶意代码。攻击者在受感染的仓库中使用 tasks.json 文件，当仓库在 VS Code 中打开时执行命令。这使得攻击者能够安装恶意软件、窃取凭证并在受感染系统中建立持久化访问。GitLab 通过分析 VS Code 及其他 IDE 所使用的 node-pty.spawn() 库，制定了预防措施。他们基于 spawn-helper（用于后台任务）创建了检测机制，以识别可疑活动。该方法通过将焦点集中在非交互式进程（如常用于命令执行的 curl | bash）上，最大限度地减少了误报。GitLab 还建议全局禁用任务运行，或教育用户了解相关风险。这种综合方法有助于保护 GitLab 及其客户免受基于 IDE 的攻击。GitLab 旨在激励他人共同应对高级持续性威胁（APTs）。

How to detect and prevent Contagious Interview IDE attacks about.gitlab.com

RSS Hunter • 5月4日

Atlassian 将在您的数据上进行训练：使用 GitLab 退出

Atlassian 将从 2026 年 8 月 17 日起，开始使用其云产品（包括 Jira 和 Confluence）中的客户数据用于 AI 训练。该数据收集功能默认启用，影响几乎所有云客户，仅企业版（Enterprise tier）客户拥有退出选项。此项政策变更将涉及收集用户元数据及应用内内容。Atlassian 声称在训练前会对数据进行去标识化处理，但存在部分例外，例如政府云客户。此次转变推翻了此前关于客户数据不用于 AI 的承诺。这种“默认退出”（opt-out-by-default）的做法引发了关于用户数据治理的担忧。使用 Atlassian 产品处理敏感数据的组织可能面临监管影响。合规义务要求重新评估受此变更影响的数据实践。作为竞争对手，GitLab 采取了不同的做法，即不收集客户数据用于其自身的 AI 训练。GitLab 强调透明度、可审计性以及将客户数据与 AI 训练隔离。GitLab 提供自托管选项，以便将 AI 处理保留在客户基础设施内。数据实践的这一转变要求组织评估其数据的使用方式。

Atlassian will train on your data: Opt out with GitLab about.gitlab.com

RSS Hunter • 5月4日

使用 GitLab CI/CD 和 Duo 构建自动化检测测试框架

一个健康的运营中心告警系统不仅需要精细调优误报，还需确保关键但低频的检测功能正常。GitLab 信号工程团队开发了一个名为 WATCH（Weekly Attack Testing for Continuous Health，持续健康周度攻击测试）的框架，以填补这一空白。WATCH 通过在基础设施上模拟真实的恶意行为，自动化验证安全检测的有效性。该过程验证了从日志源到 SIEM 及安全编排的全链路告警管道。WATCH 通过在预发布环境中调度脚本化的攻击模拟，随后验证预期告警是否通过监控栈传播。在测试运行之前，WATCH 会向 SOAR 系统通知预期的检测项，从而创建可追踪的记录。随后执行模拟的恶意行为，SIEM 处理日志以触发检测规则。到达 SOAR 的告警将与已注册的测试进行关联，以防止误升级。验证阶段会检查所有预期检测是否均已触发，更新检测状态元数据，并将结果部署到 GitLab Pages 仪表板。失败会立即向团队发送通知。WATCH 利用 GitLab CI/CD 进行编排，涵盖三个阶段：调度、测试执行和验证/报告。该框架设计注重易用性，允许团队成员通过继承基类并定义设置、执行和清理流程来创建新测试。预期检测的配置，即将 SIEM 规则名称映射到预期告警到达时间，是关键环节。WATCH 测试可以通过 GitLab Duo（AI 助手）轻松搭建，只需提供针对特定恶意行为的提示即可。这显著降低了创建新测试的门槛。Duo Agent Skills 通过提供良好测试实践的详细大纲和辅助函数，进一步增强了测试的一致性。WATCH 还通过 GitLab Pages 部署了两个交互式仪表板，提供检测健康的实时可见性。其中一个仪表板为“检测状态仪表板”，汇总所有检测规则的当前测试状态；另一个为“检测测试结果仪表板”，提供对单个测试结果深入分析。这种全面的方法确保了安全告警系统的可靠性和有效性。

Build an automated detection testing framework with GitLab CI/CD and Duo about.gitlab.com

RSS Hunter • 4月30日

使用 GitLab 轻松教授软件开发

软件开发教师在分发作业和提供有效反馈方面面临诸多挑战。GitLab 教育计划为教育机构免费提供 GitLab Ultimate 的访问权限。华盛顿大学博瑟尔分校的 Stephen Dame 利用 GitLab 高效地管理课程材料和学生反馈。他借助 GitLab 的组（Groups）和子组（Subgroups）构建有序的层级结构，该结构模拟了大学、课程及角色，并应用了相应的权限设置。教师通过学生组和评分者子组控制对材料的访问权限；学生使用 SSH 密钥在私有仓库中访问和管理代码。GitLab 的 REST API 可通过 Python 脚本示例，利用子组创建和成员管理功能，实现大规模学生管理的自动化。学生通过合并请求（Merge Requests）提交作业，支持行内代码评论和情境化反馈。这一工作流程与专业软件开发环境相一致，使学生受益匪浅。GitLab 教育版还提供无限评审人和额外存储空间等宝贵功能。建议教师从简单用例起步，逐步扩展使用范围。

Teaching software development the easy way using GitLab about.gitlab.com

RSS Hunter • 4月29日

GitLab 补丁版本发布：18.11.2、18.10.5

了解 GitLab 社区版和企业版的本次发布内容。

GitLab Patch Release: 18.11.2, 18.10.5 docs.gitlab.com

RSS Hunter • 4月29日

GitLab 与 Anthropic：面向企业开发的受控人工智能

企业级与公共部门领导者面临两难困境：既要加速人工智能（AI）的采用，又要确保严格的安全性和监管合规。GitLab 通过将 Anthropic Claude 模型深度集成至其智能编排平台，解决了这一难题。此次集成确保治理、合规性及可审计性内嵌于 GitLab Duo Agent 平台中的每一次 AI 交互。Claude 现已赋能 GitLab Duo 的多种能力，涵盖代码生成与审查、智能体聊天以及漏洞修复等。GitLab 的关键差异化优势在于其内置的治理控制与全软件开发生命周期的审计机制。例如，任何由 AI 建议的代码变更，都将与人工变更一样，经历合并请求、审批规则、安全扫描及审计追踪。随着 GitLab 向智能体驱动的软件开发演进，AI 将自主执行定义明确的任务，这一架构决策愈发关键。此外，企业部署的灵活性得到提升：通过 Google Cloud Vertex AI 和 AWS Bedrock，Claude 模型可在 GitLab 中访问，并依托现有的云治理框架。GitLab 亦可在 Claude Marketplace 获取，简化了已承诺使用 Anthropic 的客户采购流程。该战略契合 GitLab 对智能体软件开发的愿景，需要强大的 AI 模型以及支持完全受控自主行动的平台。最终，GitLab 客户能够在既有的治理框架内获得先进的 AI 辅助，无需在 AI 能力与企业管控之间做出取舍。

GitLab and Anthropic: Governed AI for enterprise development about.gitlab.com

RSS Hunter • 4月28日

如何构建大规模 CI/CD 可观测性

优化 CI/CD 性能始于对流水线指标的可观测性。成功的企业级 DevOps 平台需要深入理解流水线性能、作业执行模式以及运营洞察。GitLab 推出了 CI/CD 可观测性解决方案，旨在将原始指标转化为可操作的洞察。一家金融服务机构与 GitLab 合作，实施了一套容器化的可观测性方案。该方案集成了 gitlab-ci-pipelines-exporter，并依托 Prometheus 和 Grafana 基础设施。此次实施解决了该组织在大规模管理流水线时面临的挑战。该方案提供 Grafana 仪表板，实现 CI/CD 平台的实时与历史可观测性。关键仪表板包括：流水线概览、作业性能、Runner 与基础设施、以及部署频率。该方案需要两个导出器：Pipeline Exporter 用于收集 CI/CD 指标，Node Exporter 用于采集主机级指标。对于企业级部署，推荐使用 Kubernetes 集群，并将各组件作为独立的 Deployment 进行部署以实现集成。本文详细介绍了这些组件在 Kubernetes 上的分步部署流程，包括用于安全性的网络策略。同时，提供了 Pipeline Exporter、Prometheus 和 Grafana 的配置参考，以及所采集的关键指标。企业级考量因素包括令牌安全、网络分段和身份认证集成。GitLab 以 API 优先的设计，支持构建与现有基础设施集成的自定义可观测性方案。

How to build CI/CD observability at scale about.gitlab.com

RSS Hunter • 4月28日

使用 glab CLI 为 AI 代理提供直接、结构化的 GitLab 访问权限。

GitLab CLI（glab）增强了开发者与 AI 助手的集成能力，提供直接访问 GitLab 项目的接口。这使得 AI 工具能够更高效地读取问题、审查合并请求以及管理流水线。模型上下文协议（MCP）允许 AI 代理通过 glab 直接访问 GitLab。使用 glab 配合 MCP 消除了手动复制粘贴数据的需要，从而简化了工作流程。开发者可以利用 glab 提供的结构化 JSON 输出，实现 AI 对信息的精确提取和针对性操作。例如，"glab mr view"和"glab issue list"等命令为 AI 代理提供结构化数据以供处理。此外，通过"glab api"命令，代理还可访问完整的 GitLab REST 和 GraphQL API，进一步扩展功能。文章还强调了持续改进的方向，包括面向代理的帮助文本以及更易于机器解析的错误信息。开发者被鼓励提供反馈，以推动更优 AI 集成的发展。其目标是使 glab 成为 AI 工具与 GitLab 项目之间的最佳连接桥梁。

Give your AI agent direct, structured GitLab access with glab CLI about.gitlab.com

RSS Hunter • 4月27日

curl 已从 Omnibus-GitLab FIPS 包中移除（版本 19.0）

GitLab 将从 Omnibus-GitLab 19.0 版本开始，改变 FIPS 包对 curl 依赖的处理方式。此前，FIPS 包中包含由 GitLab 自行构建的 curl 版本。然而，更新的 curl 版本已弃用针对旧版 OpenSSL 的编译方式，因此必须做出这一调整。此后，FIPS 包将使用客户 Linux 发行版提供的 curl 版本。这一做法与 FIPS 包现有使用发行版 OpenSSL 的实践保持一致。该变更适用于所有 FIPS 客户，无论其 OpenSSL 版本如何。对于 GitLab Self-Managed 用户，此次过渡将于 2026 年 5 月 21 日发布的 19.0 版本中生效。客户无需立即采取任何行动，其 GitLab 实例将继续正常运行。这意味着 GitLab 将不再为 FIPS 包中的 curl 提供专门的安全更新。客户现在需负责确保其操作系统的 curl 包保持更新。与 curl 相关的扫描结果将反映主机操作系统中的 curl 包版本。如遇到问题，客户应在 omnibus-gitlab 问题跟踪器中提交问题。

curl removed from Omnibus-GitLab FIPS packages in 19.0 about.gitlab.com

RSS Hunter • 4月24日

2026 年 GitLab AI 黑客马拉松：认识获奖者”

如今，AI 编写代码的能力已司空见惯，但在规划、安全、合规及部署等方面仍存在差距。为应对这一挑战，GitLab 推出了 Duo Agent 平台，邀请开发者构建能够协助团队更快交付安全软件的 AI 智能体，而不仅仅是回答问题。由 Google Cloud 和 Anthropic 联合赞助的这场黑客马拉松于 2026 年 2 月至 3 月举行，吸引了近 7000 名开发者参与，他们共创建了超过 600 个智能体和自动化流程。比赛聚焦于技术实现、设计能力、潜在影响及创意质量，评委投入了大量时间审阅参赛作品。大奖得主为 LORE，该系统旨在应对资深工程师离职导致的知识流失问题，通过八个智能体管理组织记录并提供可视化仪表盘。Google Cloud 授予的大奖颁给了 Gitdefender，这是一个能够在代码审查中自动识别并修复安全问题的智能体。Anthropic 的大奖得主 GraphDev 则用于映射代码间的关系，并可视化系统随时间的变化，从而提供关于修改影响的深入洞察。其他值得注意的项目包括：用于技术惊艳的数据库迁移的 Time-Traveler、用于验证 AI 生成安全报告的 RedAgent，以及以易用性和精致的用户体验著称的 Launch Control。黑客马拉松还强调可持续发展，多个项目因衡量并减少软件开发碳足迹而获奖。荣誉提名项目包括用于漏洞测试的 SecurityMonkey 以及面向移动优先的 CI/CD 管理工具 stregent。此次黑客马拉松的成功彰显了社区利用 AI 智能体解决现实问题的决心，也为未来结合更丰富本地上下文的发展奠定了基础。开发者被鼓励自行构建智能体，并探索现有的 AI 目录。

GitLab AI Hackathon 2026: Meet the winners about.gitlab.com

RSS Hunter • 4月22日

GitLab 补丁发布：18.11.1， 18.10.4， 18.9.6

GitLab Patch Release: 18.11.1, 18.10.4, 18.9.6 docs.gitlab.com

RSS Hunter • 4月22日

GitLab + Amazon：在可信 AI 基础上的平台编排

GitLab 与 Amazon Bedrock 为希望将人工智能集成到软件开发生命周期中的团队提供了解决方案。GitLab Duo Agent 平台在 GitLab 内编排由人工智能驱动的规划、安全及修复工作流。GitLab AI 网关将模型调用路由至 Amazon Bedrock，确保在用户自身的 AWS 环境中实现安全且合规的人工智能推理。该集成解决了人工智能使用碎片化、数据安全顾虑以及 Bedrock 投资利用率不足等问题。部署选项包括由 GitLab 管理 Bedrock 模型，或在 AWS 内部自行托管这些模型。主要优势包括标准化的人工智能治理、简化的工作流以及与现有 AWS 承诺的一致性。安全工作流受益于自动化的安全发现与修复建议。此方法避免了“影子人工智能”和独立的人工智能技术栈，促进了统一的治理和高效的云支出管理。GitLab Duo Agent 平台与 Amazon Bedrock 使组织能够在不割裂工具链或数据流的前提下，实现可扩展的人工智能采用。组织可在其现有的 AWS 环境中掌控人工智能的使用、数据路径及合规性。平台团队可标准化模型并实施护栏机制，而开发团队则能在 GitLab 内受益于由人工智能驱动的工作流。

GitLab + Amazon: Platform orchestration on a trusted AI foundation about.gitlab.com

RSS Hunter • 4月21日

GitHub Copilot 关于 AI 训练的新政策是一次治理上的警钟。

GitHub 即将实施的政策变更要求用户主动选择退出，使其交互数据不被用于人工智能模型的训练。该政策自 2026 年 4 月 24 日起适用于 Copilot Free、Pro 和 Pro+ 所有用户。这一转变对金融、医疗、国防及公共部门等受监管行业产生重大影响，引发关于知识产权和合规性的担忧。源代码常包含敏感的专有信息，将其用于 AI 训练需审慎评估供应商的数据实践。金融机构面临 SR 11-7 和 DORA 等法规的审查，必须对第三方服务提供商实施监督。同样，公共部门和医疗机构须严格遵守严格的数据边界与隐私法律，如 NIST 800-53、FISMA 和 HIPAA。供应商政策变更（如 GitHub 的变更）所引入的不可控变量会带来合规风险。受监管组织在采用 AI 工具时，需要合同层面的确定性、可审计性以及独立于供应商利益的机制。GitLab 通过合同条款禁止在任何层级下将客户代码用于 AI 模型训练，从而提供解决方案。其 AI 透明度中心提供关于数据处理、模型使用及次级处理者的可审计文档。这一承诺确保客户数据与供应商利益相隔离，降低知识产权暴露风险。GitLab 云中立和模型中立的立场进一步降低了受监管实体的供应商集中风险。最终，受监管行业需要能够就数据使用和安全性提供清晰、有据可查且可审计答案的 AI 供应商。

GitHub Copilot's new policy for AI training is a governance wake-up call about.gitlab.com

RSS Hunter • 4月20日

为您的AI发现零日流程做好准备

Anthropic 的 Mythos Preview 模型已发现数千个零日漏洞，其中包括一个存在 27 年的 OpenBSD 漏洞，展现出高级的漏洞链式利用能力。这种快速发现的速度凸显了一个关键的不平衡：防御方难以跟上节奏；被利用的漏洞往往在披露前就已出现活动。人工智能进一步压缩了漏洞利用窗口，加速了攻击者，并以安全团队无法及时分级的速度大量披露漏洞。当前的修复工作不足，开发者需花费大量时间处理发布后的修复，而组织则面临关键漏洞长达一年的积压。人工智能生成的代码加剧了这一问题，因其固有缺陷而引入了大量新的安全发现并增加了漏洞数量。为应对这一挑战，防御方必须将前沿人工智能模型直接集成到开发流程中，在每次合并请求时强制执行安全策略。这包括在集成开发环境中尽早发现简单问题，自动化处理复杂发现的分级工作，并通过既定流程治理人工智能生成的修复方案。一个健全的安全流程可确保在几分钟内回答关于暴露风险的问题，并通过自动化补丁生成和策略执行高效开展修复活动。此类系统还能提供清晰的审计轨迹以满足合规要求，展示策略如何应用以及风险如何缓解。随着高级人工智能威胁迫在眉睫，组织必须主动填补流程中的差距，以加强软件供应链的安全性。

Prepare your pipeline for AI-discovered zero-days about.gitlab.com

RSS Hunter • 4月20日