DevSecOps : GitLab dévoile ses deux premiers agents IA spécialisés

Duo Planner et Duo Security Analyst : deux agents IA qui ne remplacent pas les développeurs

Duo Security Analyst doit trier les vulnérabilités détectées par différents types de scan GitLab SAST, évaluer, puis notifier leur sévérité à l’aide du score EPSS, d’identifier des faux positifs, de rendre compréhensibles les règles de conformité ou encore de générer des rapports après remédiations.

Depuis l’interface Duo Chat, il est possible de demander des indications sur les vulnérabilités les plus critiques, de les analyser, puis de les assigner à un développeur. Cela fonctionne aussi avec les secrets. Un outil de la plateforme DevOps accessible par l’agent permet de déterminer si un secret dans un dépôt (privé ou non) est encore actif. Il s’agit de réduire le bruit des alertes de sécurité.

Duo Planner, lui, cible les product managers. Il permet de prioriser les items de travail à l’aide des frameworks RICE, MoSCoW ou WSJF. L’outil facilite la décomposition des projets en épiques, fonctionnalités et histoires. L’agent IA doit identifier les goulets d’étranglement et les dépendances entre plusieurs tâches. Organisation du calendrier en mode Scrum, génération des rapports de progrès et de risques de blocage, gestion du backlog, estimation du temps pour chaque tâche, l’agent doit suggérer un ensemble d’éléments d’organisation depuis l’interface de GitLab. Pour l’instant, il est en « lecture seule ».

En clair, l’agent ne peut pas modifier les projets déjà en place. « Pour les équipes gérant des feuilles de route complexe, Duo Planner a vocation à éliminer des heures d’analyse manuelle », promet Sarah Waldner, directrice senior, responsable gestion produit chez GitLab. Reste à voir l’usage qu’en feront les « PM ».

Comme l’avait évoqué Sabrina Farmer, CTO de GitLab, il n’est donc pas question d’automatiser des tâches de programmation. L’éditeur se concentre sur l’automatisation des fonctions de planification et d’analyse de la sécurité du code. La directrice technique estimait pour sa part que la revue de code assisté par l’IA générative permet d’obtenir environ 10 % de gain de productivité.

Toutefois, dans un mode expérimental, GitLab propose un catalogue pour faciliter l’intégration de sa plateforme avec les assistants de programmation. L’éditeur les veut (presque) tous : Claude Code, Codex d’OpenAI, Gemini CLI de Google, Amazon Q Developer et OpenCode. Pour l’instant, seuls Claude Code et OpenAI Codex sont inclus dans la souscription GitLab Enterprise. L’éditeur compte étendre ce mode de facturation à d’autres outils du marché. GPT-5, lui, est accessible en option depuis GitLab Duo Agentic Chat.

L’AI Catalog est aussi un endroit où les usagers peuvent partager leurs propres agents IA, les outils et les prompts qui les animent. Analyse de risques, des causes profondes d’un problème affectant un pipeline CI, revue de code, assistant de documentation… plusieurs prototypes sont déjà disponibles. Pour l’instant, l’éditeur propose son serveur et son client MCP, mais n’a pas encore lancé un registre de serveurs, comme l’a fait GitHub.

Voilà pour les fonctionnalités d’IA générative. Certaines d’entre elles s’appuient sur plusieurs fonctionnalités attendues par les équipes DevOps et DevSecOps.

En bêta, cette version 18.5 introduit une interface Web pour faciliter l’exploration de dépôt Maven sans avoir à configurer des appels API. Il est possible de visualiser 20 registres virtuels. Cela va de pair avec une nouvelle interface en cours de déploiement. Elle doit centraliser l’accès aux fonctions clés de la plateforme.

Sécurité du code : affiner les analyses SAST, SCA et DAST

L’objectif principal de GitLab demeure l’infusion d’un maximum d’outils DevSecOps dans sa suite. La plupart des fonctionnalités clés de cette version 18.5 concernent donc la sécurité. Static Reachability Analysis. C’est un outil en disponibilité limitée qui permet de savoir si une vulnérabilité est active dans un dépôt Git d’une entreprise. Pour rappel, il avait introduit les données en provenance de l’Exploit Prediction Scoring System et de KEV (Known exploited Vulnerabilities) en plus des CVE dans son système de priorisation des risques de vulnérabilités. Il améliore la prise en charge du code JavaScript et TypeScript et lance l’expérimentation des analyses pour Java.

De la même manière, Secret Validity Checks permet de vérifier des secrets actifs présents dans un dépôt. Cela fonctionne pour les secrets générés par GitLab, mais il compte étendre cette capacité à ceux d’AWS et de Google Cloud « dans de prochaines mises à jour ».

La fonction Advanced SAST a désormais le droit à des règles spécifiques afin de détecter des comportements identifiés que les responsables de la sécurité applicative veulent bloquer. Il suffit pour cela de retoucher des fichiers TOML. L’outil ne permet toutefois pas d’effectuer des analyses de teinte. En revanche, l’éditeur adjoint en bêta la prise en charge de C et C++.

Comme les scans SAST ont tendance à traiter l’ensemble de la base de code à chaque commit, GitLab ajoute un moyen de concentrer les examens uniquement sur le code modifié par une merge request.

Dans toutes les versions, il est également possible d’appliquer des fenêtres temporelles à l’approbation des requêtes de merge quand les résultats de certains scans tardent à afficher leurs résultats. En clair, si la requête n’introduit pas de nouvelles vulnérabilités par rapport à un précédent scan effectué quelques minutes auparavant (15 minutes par exemple), elle peut être acceptée.

Suivant cette même logique, un filtre n’exhibe que les vulnérabilités actives dans la liste de dépendances.  

Le scan DAST a le droit à des scripts pouvant être intégrés dans des configurations CI/CD pour automatiser la vérification de flux d’authentification complexes, dont ceux liés au MFA et à l’usage de mots de passe temporaires. Pour l’instant, cette fonctionnalité n’est disponible que depuis un IDE.

Enfin, pour les administrateurs, GitLab simplifie l’application des règles de conformité et de sécurité à des groupes d’utilisateurs des instances Self-Managed et dédiées.