Claude alimente les fonctionnalités de GitLab Duo Agent Platform en tant que modèle par défaut prêt à l'emploi et couvre un large éventail de cas d'utilisation : génération et revue de code, chat agentique et résolution de vulnérabilités. Si vous avez déjà utilisé GitLab Duo, vous avez pu constater comment les agents GitLab Duo automatisent les workflows sur l'ensemble du cycle de développement logiciel (SDLC).

Cette évolution accélère l'intégration des capacités de Claude dans GitLab, élargit les modalités de déploiement pour les entreprises et renforce ce qui distingue fondamentalement GitLab en tant que plateforme de développement logiciel : la gouvernance, la conformité et la traçabilité intégrées à chaque interaction avec l'IA.

« GitLab Duo a accéléré la façon dont nos équipes planifient, développent et livrent des logiciels. La combinaison d'Anthropic Claude et de la plateforme GitLab nous permet de bénéficier d'une IA plus performante, sans modifier nos méthodes de travail ni notre framework de gouvernance. »

– Mans Booijink, Operations Manager, Cube

Le véritable atout : l'IA gouvernée

Avec GitLab, les contrôles de gouvernance et les mécanismes d'audit sont intégrés au SDLC. Lorsque Claude propose une modification de code via GitLab Duo Agent Platform, cette suggestion suit le même processus de merge request, les mêmes règles d'approbation, les mêmes scans de sécurité et la même piste d'audit que toute autre modification. L'IA ne contourne pas vos contrôles : elle s'y conforme.

À mesure que GitLab s'engage davantage dans le développement logiciel agentique, où l'IA prend en charge de manière autonome des tâches bien définies, la couche de gouvernance devient encore plus déterminante. Un agent d'IA capable d'ouvrir une merge request, d'aider à résoudre une vulnérabilité ou de refactoriser un service doit être auditable, imputable et soumis aux mêmes règles que celles appliquées aux équipes de développement. Cette exigence est un choix architectural que GitLab a fait dès le départ, et dont l'importance ne fait que croître à mesure que les agents d'IA assument des responsabilités plus étendues.

Flexibilité de déploiement pour les entreprises

Cette collaboration élargit également les modalités d'accès aux derniers modèles Claude via GitLab. Claude est disponible dans GitLab via Vertex AI de Google Cloud et AWS Bedrock, ce qui permet aux entreprises d'acheminer leurs charges de travail d'IA à travers les engagements des hyperscaler et les frameworks de gouvernance cloud déjà en place, sans contrat fournisseur supplémentaire ni remise en question de la résidence des données. Votre relation existante avec Google Cloud Platform ou AWS constitue le point d'entrée.

GitLab est désormais également disponible sur Claude Marketplace, où les clients peuvent acheter des GitLab Credits et les imputer sur leurs engagements de dépenses Anthropic existants afin de consolider les dépenses en IA et de simplifier la façon dont les équipes découvrent et utilisent GitLab parallèlement à leurs investissements Anthropic.

Vers un avenir agentique

La vision de GitLab pour le développement logiciel agentique, où l'IA prend en charge de manière autonome des tâches définies couvrant la planification, le codage, les tests, la sécurisation et le déploiement, exige des modèles dotés de solides capacités de raisonnement, de fiabilité et de sécurité. Elle requiert également une plateforme dans laquelle ces actions autonomes sont entièrement gouvernées.

Les workflows agentiques nécessitent des modèles alliant raisonnement, fiabilité et sécurité, des critères qui guident la manière dont GitLab sélectionne et intègre ses partenaires en matière de modèles d'IA. Le framework de gouvernance de GitLab contribue à garantir que, à mesure que les agents d'IA prennent en charge des tâches de développement plus avancées, les entreprises conservent une visibilité et un contrôle complets sur ce que font ces agents, le moment où ils agissent et la façon dont les modifications sont suivies.

Ce que cela signifie pour les clients GitLab

Si vous utilisez déjà GitLab Duo Agent Platform, vous bénéficierez d'un accès aux modèles Claude et d'une assistance IA approfondie sur l'ensemble de votre cycle de développement logiciel, le tout dans le framework de gouvernance sur lequel vous vous appuyez déjà.

Si vous évaluez des plateformes de développement logiciel basées sur l'IA, vous ne devriez pas avoir à choisir entre des capacités d'IA avancées et le contrôle en entreprise. Cette intégration stratégique est conçue pour offrir les deux.

Vous souhaitez en savoir plus sur GitLab Duo Agent Platform ? Demandez une démonstration ou commencez un essai gratuit dès aujourd'hui.

Nous savons que la gestion des changements cassants lors d'une mise à niveau est une opération chronophage : elle exige une analyse approfondie et une coordination entre les différentes équipes de votre organisation. C'est pourquoi nous avons introduit une procédure d'approbation des changements cassants qui impose une atténuation de l'impact et une validation de la direction avant toute mise en œuvre. Ce processus porte ses fruits, et nous nous engageons à continuer de réduire ce nombre.

Vous trouverez ci-dessous l'ensemble des changements cassants de GitLab 19.0, classés par type de déploiement et niveau d'impact, accompagnés des mesures d'atténuation nécessaires pour effectuer votre mise à niveau en toute confiance.

Fenêtres de déploiement

Voici les fenêtres de déploiement à connaître.

GitLab.com

Les changements cassants pour GitLab.com seront limités à ces deux fenêtres :

• 4-6 mai 2026 (09 h 00-22 h 00 UTC) – fenêtre principale
• 11-13 mai 2026 (09 h 00-22 h 00 UTC) – fenêtre de secours

De nombreux autres changements continueront d'être déployés tout au long du mois. Pour en savoir plus sur les changements prévus dans chacune de ces fenêtres, consultez notre documentation.

Remarque : dans des circonstances exceptionnelles, certains changements cassants peuvent être déployés légèrement en dehors de ces fenêtres.

GitLab Self-Managed

GitLab 19.0 sera disponible à partir du 21 mai 2026.

Pour en savoir plus, consultez le calendrier des releases.

GitLab Dedicated

La mise à niveau vers GitLab 19.0 aura lieu pendant la fenêtre de maintenance qui vous a été attribuée. Vous pouvez en savoir plus et consulter votre fenêtre de maintenance attribuée dans votre portail Switchboard. Les instances GitLab Dedicated sont maintenues en release N-1 : la mise à niveau vers GitLab 19.0 aura donc lieu pendant la fenêtre de maintenance de la semaine du 22 juin 2026.

Consultez la page des dépréciations pour voir la liste complète des éléments dont la suppression est prévue dans GitLab 19.0. Poursuivez votre lecture pour découvrir les changements à venir et savoir comment vous préparer en fonction de votre type de déploiement.

Changements cassants

Voici les changements à impact élevé.

Impact élevé

1. Prise en charge de NGINX Ingress remplacée par la passerelle API avec Envoy Gateway

GitLab Self-Managed (chart Helm)

Le chart Helm de GitLab intégrait NGINX Ingress comme composant réseau par défaut. NGINX Ingress a atteint sa fin de vie en mars 2026, et GitLab effectue désormais la transition vers la passerelle API avec Envoy Gateway comme nouvelle configuration par défaut.

À partir de GitLab 19.0, la passerelle API et avec Envoy Gateway intégré deviennent la configuration réseau par défaut. Si la migration vers Envoy Gateway n'est pas immédiatement possible pour votre déploiement, vous pouvez réactiver explicitement NGINX Ingress, qui reste disponible jusqu'à sa suppression prévue dans GitLab 20.0.

Ce changement n'affecte pas :

• NGINX utilisé dans le paquet Linux
• Les instances chart Helm GitLab et GitLab Operator qui utilisent un contrôleur Ingress ou une passerelle API géré en externe

GitLab assurera une maintenance de sécurité au mieux de ses capacités pour le chart et les builds NGINX Ingress dupliqués jusqu'à leur suppression définitive. Pour garantir une transition fluide, planifiez votre migration vers la passerelle API fournie ou vers un contrôleur Ingress géré de manière externe avant la mise à niveau vers GitLab 19.0.

Avis de dépréciation

2. Suppression de PostgreSQL, Redis et MinIO intégrés du chart Helm GitLab

GitLab Self-Managed (chart Helm)

Le chart Helm GitLab intégrait depuis longtemps Bitnami PostgreSQL, Bitnami Redis et une duplication du chart MinIO officiel afin de simplifier la mise en place de GitLab dans les environnements de test et les études de faisabilité. En raison de modifications de licences, de la maintenance des projets et de la disponibilité des images publiques, ces composants seront supprimés du chart Helm GitLab et de GitLab Operator sans remplacement.

Ces charts sont explicitement documentés comme non recommandés pour un usage en production. Leur seul objectif était de permettre la mise en place rapide d'environnements de test.

Si vous exécutez une instance avec PostgreSQL, Redis ou MinIO intégrés, suivez le guide de migration pour configurer des services externes avant la mise à niveau vers GitLab 19.0. Redis et PostgreSQL, fournis par le paquet Linux, ne sont pas concernés par ce changement.

Avis de dépréciation

3. Suppression de l'autorisation OAuth Resource Owner Password Credentials (ROPC)

GitLab.com | GitLab Self-Managed | GitLab Dedicated

La prise en charge de l'autorisation Resource Owner Password Credentials (ROPC) en tant que flux OAuth sera entièrement supprimée dans GitLab 19.0. Cette décision est conforme à la norme OAuth RFC Version 2.1, qui supprime le ROPC en raison de ses limitations de sécurité inhérentes.

GitLab exigeait déjà l'authentification du client pour le ROPC sur GitLab.com depuis le 8 avril 2025. Un paramètre administrateur a été ajouté dans GitLab 18.0 pour permettre une désactivation contrôlée avant la suppression.

Après la mise à niveau vers GitLab 19.0, le ROPC ne pourra plus être utilisé en aucune circonstance, même avec des identifiants client. Toute application ou intégration utilisant ce type d'autorisation doit migrer vers un flux OAuth pris en charge, tel que le flux Authorization Code, avant la mise à niveau.

Avis d'obsolescence

4. Fin de la prise en charge de PostgreSQL 16 – PostgreSQL 17 devient la version minimale requise

GitLab Self-Managed

GitLab suit une cadence annuelle de mise à niveau pour PostgreSQL. Dans GitLab 19.0, PostgreSQL 17 devient la version minimale requise, et la prise en charge de PostgreSQL 16 est supprimée.

PostgreSQL 17 est disponible depuis GitLab 18.9, vous pouvez donc effectuer la mise à niveau à tout moment avant la sortie de GitLab 19.0.

Pour les instances exécutant une seule instance PostgreSQL installée via le paquet Linux, une mise à niveau automatique vers PostgreSQL 17 pourra être tentée lors de la mise à niveau vers GitLab 18.11. Assurez-vous de disposer d'un espace disque suffisant pour cette opération.

Pour les instances utilisant PostgreSQL Cluster, ou celles ayant refusé la mise à niveau automatique, une mise à niveau manuelle vers PostgreSQL 17 est nécessaire avant de passer à GitLab 19.0.

Avis d'obsolescence | Guide de mise à niveau

Impact moyen

Voici les changements cassants à impact moyen.

1. Fin de la prise en charge d'Ubuntu 20.04 par le paquet Linux

GitLab Self-Managed

La prise en charge standard d'Ubuntu 20.04 a pris fin en mai 2025. Conformément à la politique de plateformes prises en charge par le paquet Linux de GitLab, les paquets sont retirés lorsque l'éditeur cesse de prendre en charge le système d'exploitation.

À partir de GitLab 19.0, les paquets ne seront plus fournis pour Ubuntu 20.04. GitLab 18.11 sera la dernière release avec des paquets Linux pour cette distribution.

Si vous exécutez actuellement GitLab sur Ubuntu 20.04, vous devez effectuer la mise à niveau vers Ubuntu 22.04 ou un autre système d'exploitation pris en charge avant de passer à GitLab 19.0. Canonical fournit un guide de mise à niveau pour faciliter la migration.

Avis d'obsolescence

2. Suppression de la prise en charge de Redis 6

GitLab Self-Managed

Dans GitLab 19.0, la prise en charge de Redis 6 est supprimée. Avant la mise à niveau, les instances utilisant un déploiement Redis 6 externe doivent migrer vers Redis 7.2 ou Valkey 7.2, disponible en version bêta depuis GitLab 18.9 avec une disponibilité générale prévue pour GitLab 19.0.

Le Redis intégré au paquet Linux utilise Redis 7 depuis GitLab 16.2 et n'est pas concerné. Seules les instances utilisant un déploiement Redis 6 externe doivent agir.

Des ressources de migration sont disponibles pour les principales plateformes :

• AWS ElastiCache : mise à niveau vers Redis 7.2 ou Valkey 7.2
• GCP Memorystore : mise à niveau vers Redis 7.2 ou Valkey 7.2
• Azure Cache pour Redis : Redis 7.2 ou Valkey 7.2 Managed n'est pas encore disponible sur Azure. Vous pouvez opter pour l'auto-hébergement sur des machines virtuelles Azure ou AKS, ou utiliser l'installation par paquet Linux, qui prendra en charge Valkey 7.2 avec la disponibilité générale de GitLab 19.0.
• Auto-hébergé : effectuez la mise à niveau de votre instance Redis 6 vers Redis 7.2 ou Valkey 7.2.

Avis d'obsolescence | Documentation des prérequis

3. Remplacement de l'image heroku/builder:22 par heroku/builder:24

GitLab.com | GitLab Self-Managed | GitLab Dedicated

L'image builder cloud-native buildpack (CNB) utilisée dans la fonctionnalité Auto DevOps a été mise à jour vers heroku/builder:24. Ce changement concerne les pipelines qui utilisent l'auto-build-image fournie par l'étape Auto Build de la fonctionnalité Auto DevOps.

Bien que la plupart des charges de travail ne soient pas concernées, cette évolution peut constituer un changement cassant pour certains utilisateurs. Avant la mise à niveau, consultez les notes de release de la pile Heroku-24 et les notes de mise à niveau pour évaluer l'impact sur votre environnement.

Si vous devez continuer à utiliser heroku/builder:22 après GitLab 19.0, définissez la variable CI/CD AUTO_DEVOPS_BUILD_IMAGE_CNB_BUILDER sur heroku/builder:22.

Avis d'obsolescence

4. Suppression de Mattermost du paquet Linux

GitLab Self-Managed

Dans GitLab 19.0, Mattermost est supprimé du paquet Linux. Mattermost a été intégré à GitLab pour la première fois en 2015, mais a depuis développé ses propres options de déploiement autonome. De plus, avec Mattermost v11, le SSO GitLab a été rendu obsolète dans l'offre gratuite, ce qui réduit la valeur de l'intégration fournie.

Les clients qui n'utilisent pas le paquet Mattermost ne seront pas concernés. Si vous l'utilisez actuellement, consultez la documentation Mattermost relative à la migration de GitLab Omnibus vers Mattermost Standalone pour obtenir les instructions de migration.

Avis d'obsolescence

5. Fin de la prise en charge des distributions SUSE par le paquet Linux

GitLab Self-Managed

Dans GitLab 19.0, la prise en charge des distributions SUSE par le paquet Linux prend fin. Cela concerne :

• openSUSE Leap 15.6
• SUSE Linux Enterprise Server 12.5
• SUSE Linux Enterprise Server 15.6

GitLab 18.11 sera la dernière release avec des paquets Linux pour ces distributions. La solution recommandée consiste à migrer vers un déploiement Docker de GitLab sur votre distribution existante, ce qui évite de devoir changer de système d'exploitation pour continuer à profiter des mises à niveau.

Avis d'obsolescence

Impact faible

Voici les changements cassants à impact faible.

1. Suppression de Spamcheck du paquet Linux et du chart Helm GitLab

GitLab Self-Managed

Dans GitLab 19.0, Spamcheck est supprimé du paquet Linux et du chart Helm GitLab. Son utilisation concerne principalement les grandes instances publiques, ce qui constitue un cas marginal dans la base de clients GitLab. Cette suppression réduit la taille du paquet et l'empreinte des dépendances pour la majorité des clients.

Les clients qui n'utilisent pas actuellement Spamcheck ne seront pas concernés. Si vous utilisez le paquet Spamcheck, vous pouvez le déployer séparément à l'aide de Docker. Aucune migration de données n'est nécessaire.

Avis d'obsolescence

2. Suppression de l'intégration pour les commandes slash Slack

GitLab Self-Managed | GitLab Dedicated

L'intégration pour les commandes slash Slack a été rendue obsolète au profit de l'application GitLab pour Slack, qui offre une intégration plus sécurisée avec les mêmes fonctionnalités.

À partir de GitLab 19.0, les utilisateurs ne pourront plus configurer ni utiliser les commandes slash Slack. Cette intégration n'existe que sur GitLab Self-Managed et GitLab Dedicated – les utilisateurs de GitLab.com ne sont pas concernés.

Pour vérifier si votre instance est concernée, consultez les instructions de vérification d'impact.

Avis d'obsolescence

3. Fin de la prise en charge des mots de passe d'application de l'importation Bitbucket Cloud via l'API

GitLab.com | GitLab Self-Managed | GitLab Dedicated

Atlassian a rendu obsolètes les mots de passe d'application (authentification par nom d'utilisateur et mot de passe) pour Bitbucket Cloud et a annoncé que cette méthode d'authentification cessera de fonctionner le 9 juin 2026.

À partir de GitLab 19.0, l'importation de dépôts depuis Bitbucket Cloud via l'API GitLab nécessite des tokens d'API utilisateur au lieu des mots de passe d'application. Les utilisateurs qui importent depuis Bitbucket Server, ou depuis Bitbucket Cloud via l'interface GitLab, ne sont pas concernés.

Avis d'obsolescence | Vérification d'impact

4. Suppression de l'onglet Tendance de la page Explorer les projets

GitLab.com | GitLab Self-Managed | GitLab Dedicated

L'onglet Tendance dans Explorer > Projets et les arguments GraphQL associés sont supprimés dans GitLab 19.0. L'algorithme de tendances ne prend en compte que les projets publics, ce qui le rend inefficace pour les instances GitLab Self-Managed qui utilisent principalement une visibilité de projet interne ou privée.

Au cours du mois précédant la sortie de GitLab 19.0, l'onglet Tendance sur GitLab.com redirigera vers l'onglet Actif, qui sera trié par étoiles par ordre décroissant.

Sont également supprimés : l'argument trending dans les types GraphQL Query.adminProjects, Query.projects et Organization.projects.

Avis d'obsolescence

5. Mises à jour des pilotes de stockage du registre de conteneurs

GitLab Self-Managed

Deux pilotes de stockage legacy du registre de conteneurs sont remplacés dans GitLab 19.0 :

• Pilote de stockage Azure : le pilote legacy azure devient un alias pour le nouveau pilote azure_v2. Aucune action manuelle n'est requise, mais une migration proactive est recommandée pour une fiabilité et des performances améliorées. Consultez la documentation du stockage objet pour les étapes de migration. Avis d'obsolescence
• Pilote de stockage S3 (AWS SDK v1) : le pilote legacy s3 devient un alias pour le nouveau pilote s3_v2. Le pilote s3_v2 ne prend pas en charge Signature Version 2 : toute configuration v4auth: false sera ignorée de manière transparente. Migrez vers Signature Version 4 avant la mise à niveau. Avis d'obsolescence

6. Suppression de la mutation GraphQL ciJobTokenScopeAddProject

GitLab.com | GitLab Self-Managed | GitLab Dedicated

La mutation GraphQL ciJobTokenScopeAddProject a été rendue obsolète au profit de ciJobTokenScopeAddGroupOrProject, introduite avec les changements de portée des jetons de jobs CI/CD dans GitLab 18.0. Mettez à jour toute automatisation ou tout outil utilisant la mutation obsolète avant la mise à niveau.

Avis d'obsolescence

7. Suppression de l'attribut ci_job_token_scope_enabled de l'API Projects

GitLab.com | GitLab Self-Managed | GitLab Dedicated

L'attribut ci_job_token_scope_enabled de l'API REST Projects est supprimé dans GitLab 19.0. Cet attribut a été rendu obsolète dans GitLab 18.0 lorsque le paramètre sous-jacent a été supprimé, et renvoie depuis toujours la valeur false.

Pour contrôler l'accès des jetons de jobs CI/CD, utilisez les paramètres de projet des jetons de jobs CI/CD.

Avis d'obsolescence

8. Application de la limite de pagination pour les requêtes non authentifiées sur l'API Projects de GitLab.com

GitLab.com

Afin de maintenir la stabilité de la plateforme et de garantir des performances homogènes, une limite d'offset maximale de 50 000 sera appliquée à toutes les requêtes non authentifiées sur l'API REST Projects List de GitLab.com. Par exemple, le paramètre page sera limité à 2 500 pages lors de la récupération de 20 résultats par page.

Les workflows nécessitant l'accès à davantage de données doivent utiliser des paramètres de pagination par clé. Cette limite s'applique uniquement à GitLab.com. Sur GitLab Self-Managed et GitLab Dedicated, la limite d'offset sera désactivée par défaut avec un feature flag.

Avis d'obsolescence

Ressources pour gérer l'impact

Nous avons développé des outils spécifiques pour aider les clients à comprendre l'impact de ces changements prévus sur leur(s) instance(s) GitLab. Une fois que vous avez évalué votre impact, nous vous recommandons de consulter les mesures d'atténuation fournies dans la documentation relative à chaque changement afin de garantir une transition fluide vers GitLab 19.0.

GitLab Detective (GitLab Self-Managed uniquement) : cet outil expérimental vérifie automatiquement une installation GitLab à la recherche de problèmes connus en examinant les fichiers de configuration et les valeurs de la base de données. Remarque : il doit être exécuté directement sur vos nœuds GitLab.

Si vous disposez d'un abonnement payant et avez des questions ou besoin d'assistance concernant ces changements, veuillez ouvrir un ticket sur le portail d'assistance GitLab.

Si vous utilisez la version gratuite de GitLab.com, vous pouvez accéder à une assistance supplémentaire via les ressources communautaires telles que la documentation GitLab, le forum GitLab et Stack Overflow.

C'est là qu'intervient GitLab CI/CD : en automatisant les builds, les tests et les déploiements dans un même environnement, les équipes peuvent livrer plus vite, avec moins de risques et une meilleure visibilité sur chaque étape du cycle de développement logiciel.

Dans cet article, nous explorerons comment GitLab CI/CD fonctionne et comment le mettre en place pour des cycles de livraison plus rapides, plus fiables et mieux structurés.

→ Commencez un essai gratuit de GitLab Ultimate.

Qu’est-ce que GitLab CI/CD ?

Le CI/CD regroupe deux pratiques complémentaires :

• CI pour « continuous integration » (intégration continue) : intégrer régulièrement des modifications de code pour détecter les erreurs le plus tôt possible dans le cycle de développement logiciel.
• CD pour « continuous delivery/deployment » (livraison continue/déploiement continu) : préparer automatiquement chaque modification pour qu'elle soit prête à être déployée en production à tout moment. Le déploiement continu va plus loin en déclenchant automatiquement la mise en production, sans intervention humaine.

Ensemble, ces pratiques évitent l’accumulation de changements difficiles à stabiliser et réduisent le délai entre un commit et son déploiement.

GitLab intègre nativement le CI/CD dans sa plateforme où résident déjà le code, les merge requests, la sécurité et les déploiements. Les pipelines s’exécutent sans nécessiter de plugins ni d’outils externes, ce qui simplifie la configuration et offre une vue centralisée sur l’ensemble du workflow de développement. Sur GitLab.com, des runners partagés Linux, Windows et macOS sont également disponibles sans configuration initiale, ce qui facilite le démarrage.

Concrètement, chaque modification déclenche un pipeline qui construit le logiciel, exécute les tests, analyse la sécurité et prépare une version déployable. Les équipes obtiennent des retours immédiats, ce qui leur permet d'identifier les erreurs tôt et de travailler de manière itérative.

Grâce à cette centralisation, la collaboration est facilitée et l'état du logiciel reste visible et compréhensible à chaque étape de son cycle de développement.

Pourquoi GitLab CI/CD est devenu une référence dans le développement logiciel ?

Dans de nombreuses organisations, l'adoption du CI/CD se heurte à un obstacle récurrent : la fragmentation des outils. Une chaîne de développement qui repose sur des solutions trop nombreuses et disparates devient rapidement lente, difficile à maintenir et propice aux erreurs de configuration.

Face à cette fragmentation, GitLab apporte une réponse concrète : une plateforme qui réunit le code, les pipelines, la sécurité et le déploiement dans un seul et même environnement. Les équipes n'ont plus à gérer de multiples outils, ce qui réduit la complexité et fluidifie l'ensemble du workflow de développement logiciel.

Ainsi, les logs, artefacts, résultats de tests et statuts de déploiement cohabitent dans le même espace que le code, ce qui offre un gain de visibilité significatif aux équipes. Les pipelines se déclenchent directement depuis les merge requests pour obtenir des retours plus rapidement et limiter les régressions tardives.

Cette cohérence, alliée à la possibilité d’intégrer dès le départ l’analyse de sécurité ou la gestion des dépendances, explique pourquoi GitLab CI/CD est aujourd’hui largement adopté par les organisations qui cherchent à fluidifier leurs cycles de livraison logicielle.

Radio France déploie 5 fois plus rapidement avec GitLab CI/CD

Radio France, la société nationale de radiodiffusion française, compte sept stations dans tout le pays. Radio France conçoit, développe et exploite des sites web, des applications mobiles, des API, des podcasts, des assistants vocaux et des plateformes de streaming audio.

Avant d'adopter GitLab CI/CD, les équipes utilisaient GitLab pour le code source et Jenkins pour tous les builds en production, ce qui les obligeait à basculer constamment entre les deux outils.

Après avoir migré l'ensemble de leurs pipelines vers GitLab CI/CD, les résultats ont été immédiats :

• 5x plus rapide de déployer
• 82 % de réduction de la durée de cycle
• 70 % d'économies annuelles sur les coûts CI/CD

« Nous étions à 10 déploiements par jour avant la migration. Maintenant, avec GitLab, nous effectuons 50 déploiements par jour en production. Nous n'avons plus à basculer entre GitLab et Jenkins. » — Julien Vey, Operational Excellence Manager, Radio France

Lire le cas client complet >

Comment fonctionne un pipeline GitLab CI/CD ?

Dans GitLab, un pipeline est une suite d’étapes exécutées automatiquement à chaque modification du code. Il se déclenche lors d’un commit, d’une merge request ou d’un événement planifié. Son rôle est de valider la modification et de produire les artefacts nécessaires. Si tout est conforme, il prépare ou déclenche directement le déploiement.

Les étapes et les jobs

Un pipeline GitLab est composé d'étapes (build, test, déploiement…), chacune regroupant un ou plusieurs jobs. Les jobs indiquent les actions à exécuter, comme compiler le code ou lancer une suite de tests. GitLab exécute les jobs d'une même étape en parallèle (en fonction de la disponibilité des runners), gère les dépendances et passe automatiquement à l'étape suivante lorsque tous les jobs de la précédente sont terminés. Les logs associés à chaque job permettent de suivre l'exécution en détail.

Par défaut, GitLab attend que tous les jobs d'une étape soient terminés avant de passer à la suivante. Pour les pipelines où cette séquence stricte n'est pas nécessaire, le mot-clé needs: permet de définir des dépendances directes entre jobs, indépendamment de leur étape. Un job peut ainsi démarrer dès qu'un job précis est terminé, sans avoir à attendre la fin de toute l'étape. Cette approche, appelée DAG (Directed Acyclic Graph), peut réduire considérablement la durée totale d'un pipeline en parallélisant davantage l'exécution. Dans l’interface, ces pipelines apparaissent sous forme de graphe de dépendances, ce qui facilite la compréhension de l’ordre réel d’exécution.

Les artefacts et le cache : transfert et réutilisation

Les artefacts et le cache sont deux mécanismes de persistance de fichiers entre jobs, souvent confondus.

Les artefacts sont les fichiers générés par un job, comme un binaire, un rapport de test ou un paquet. Ils peuvent être transmis aux jobs suivants ou conservés pendant une durée définie. Cette gestion intégrée évite les transferts manuels et facilite la reproductibilité des pipelines.

Le cache, quant à lui, permet de réutiliser des fichiers entre plusieurs exécutions d'un même pipeline, typiquement les dépendances (node_modules, packages Maven, gems Ruby…).

Là où les artefacts transfèrent des fichiers d'un job au suivant au sein d'un même pipeline, le cache évite de re-télécharger les mêmes ressources à chaque nouvelle exécution. C'est souvent l'une des premières optimisations à mettre en place pour réduire significativement la durée des pipelines.

En pratique : les artefacts sont obligatoires pour le job suivant, alors que le cache est optionnel et uniquement là pour aller plus vite.

Les runners : là où s’exécutent réellement les jobs

Les runners sont les machines qui exécutent réellement les jobs. GitLab propose des runners hébergés sur GitLab.com (Linux, Windows, macOS) ou permet d’en installer sur ses propres serveurs ou environnements cloud, notamment en s’appuyant sur la conteneurisation.

Lorsqu'on installe son propre runner, il faut également choisir un executor, c'est-à-dire le mécanisme par lequel le runner exécute les jobs.

Les executors les plus courants sont :

• Docker : il exécute chaque job dans un conteneur isolé. Il est rapide, flexible et recommandé pour la majorité des projets.
• Shell : il exécute directement les jobs sur la machine hôte. Il est simple, mais sans isolation.
• Kubernetes : il exécute les jobs dans des pods Kubernetes, avec une scalabilité native.

Le choix de l'executor conditionne directement l'isolation, la reproductibilité et les performances des jobs. Il est indépendant du runner lui-même et se configure au moment de l'installation.

Les tags associés aux runners permettent de cibler un environnement spécifique et d’adapter l’exécution aux besoins du pipeline.

Pour en savoir plus sur les runners de GitLab, consultez notre article de blog « GitLab Runner : installation, configuration et bonnes pratiques pour vos pipelines CI/CD ».

Configuration d’un pipeline GitLab CI/CD

Tout pipeline GitLab prend forme dans un fichier .gitlab-ci.yml placé à la racine du projet. Ce fichier définit les étapes, les jobs, les scripts à exécuter, les variables, les dépendances ou encore les artefacts à conserver. GitLab lit ce fichier à chaque modification de code et déclenche un pipeline conforme à sa configuration.

Il est utile de distinguer deux types de pipelines selon leur contexte de déclenchement :

• Le pipeline de branche s'exécute lors d'un push direct sur une branche.
• Le pipeline de merge request se déclenche dès qu'une merge request est ouverte ou mise à jour. Il peut s’exécuter soit sur le contenu de la branche source, soit sur le résultat simulé du merge avec la branche cible (grâce aux pipelines de résultats de merge), avant même que celle-ci ne soit effectuée.

Cette distinction est importante en pratique : elle permet de réserver certains jobs coûteux ou sensibles (comme les scans de sécurité approfondis ou les déploiements) à un contexte précis, et d'obtenir un retour sur la qualité du code fusionné le plus tôt possible. C'est l'un des leviers concrets pour détecter les régressions avant qu'elles n'atteignent la branche principale.

Voici un exemple de fichier .gitlab-ci.yml illustrant la structure d'un pipeline GitLab :

stages:          # Définit l'ordre d'exécution des étapes du pipeline
  - build
  - test
  - deploy

variables:       # Variables accessibles par tous les jobs du pipeline
  APP_ENV: "production"

build-job:
  stage: build
  image: node:20                    # Image Docker utilisée pour exécuter ce job
  cache:
    key: $CI_COMMIT_REF_SLUG        # Cache propre à chaque branche
    paths:
      - node_modules/               # Dossier de dépendances mis en cache
  script:
    - echo "Compilation du code..."
  artifacts:
    paths:
      - dist/                       # Fichiers générés transmis aux jobs suivants
    expire_in: 1 hour               # Durée de conservation de l'artefact

test-job:
  stage: test
  image: node:20
  needs: ["build-job"]             # Démarre dès que build-job est terminé (DAG)
  script:
    - echo "Exécution des tests..."

deploy-job:
  stage: deploy
  script:
    - echo "Déploiement en production..."
  rules:
    - if: $CI_COMMIT_BRANCH == "main"  # S'exécute uniquement sur la branche principale

Ce pipeline illustre plusieurs mécanismes clés de GitLab CI/CD :

• La variable APP_ENV est accessible par l'ensemble des jobs.
• Le build-job utilise une image Docker Node.js 20, met en cache les dépendances pour accélérer les exécutions suivantes, et produit un artefact, le dossier dist/, transmis automatiquement aux jobs suivants.
• Le test-job démarre dès que le build est terminé grâce au mot-clé needs:, sans attendre la fin de l'étape entière.
• Le deploy-job ne s'exécute que sur la branche principale, via une règle rules:.

Pour les équipes qui débutent avec le CI/CD, GitLab propose également la fonctionnalité d’Auto DevOps qui détecte automatiquement le langage de votre projet et configure un pipeline prêt à l'emploi, sans fichier .gitlab-ci.yml. Auto DevOps couvre les étapes de build, de test, d'analyse de sécurité et de déploiement, et peut être personnalisé progressivement selon vos besoins.

Bon à savoir : Comme montré dans l’exemple, GitLab peut exécuter un job à partir d’une image Docker spécifique, définie via le mot-clé image: dans le fichier .gitlab-ci.yml. Une image par défaut peut être configurée pour l’ensemble du pipeline, tandis que chaque job peut utiliser sa propre image si nécessaire. Cette flexibilité permet d’adapter l’environnement d’exécution à chaque étape, sans maintenance manuelle de serveurs. Les images peuvent provenir du Docker Hub ou du registre de conteneurs de GitLab (GitLab Container Registry), ce qui permet de choisir rapidement l’environnement adapté.

Les fonctionnalités avancées de GitLab CI/CD

Les variables pour personnaliser et sécuriser un pipeline

Les variables CI/CD permettent de transmettre des valeurs aux jobs sans les inscrire directement dans le code. Elles peuvent contenir des paramètres techniques, des clés d’API ou des informations sensibles.

GitLab distingue plusieurs types de variables : personnalisées, prédéfinies, protégées, masquées ou de type fichier. Cette granularité facilite la configuration et limite l’exposition d’informations critiques dans les logs.

Les règles CI/CD pour rendre les pipelines dynamiques

Les règles (rules:) permettent d'adapter la logique du pipeline en fonction du contexte d'exécution. Elles s'appuient sur des conditions comme if:, changes: ou exists: pour contrôler quand un job doit s'exécuter.

Elles permettent par exemple d'activer certaines étapes selon la branche ou de déclencher des comportements différents selon le type de pipeline exécuté. C'est un moyen d'alléger la configuration et de conserver un pipeline adaptable.

Les composants et le catalogue CI/CD pour construire des pipelines réutilisables

Les composants CI/CD (CI/CD components) sont des blocs de configuration réutilisables. Ils peuvent représenter un ensemble de jobs, une intégration, une logique de test ou un processus de déploiement.

Ces composants peuvent être publiés dans le catalogue CI/CD (CI/CD catalog), une spécificité de GitLab qui permet de les partager à l’échelle d’une équipe ou de l’organisation. Cela réduit la duplication des tâches et rend la maintenance des pipelines beaucoup plus souple.

Bon à savoir : Le catalogue CI/CD inclut des composants publiés par GitLab et la communauté pour des environnements courants comme Java/Maven, ce qui évite de recréer des configurations complexes pour chaque projet.

Les groupes de ressources pour contrôler les déploiements concurrents

Les groupes de ressources permettent de limiter l’exécution simultanée de certains jobs. Ils sont particulièrement utiles pour les déploiements, afin d’éviter que deux pipelines ne modifient un même environnement au même moment. GitLab met en file d’attente les jobs qui partagent un même groupe et n’en exécute qu'un seul à la fois.

Les environnements pour gérer et suivre les déploiements

Les environnements de GitLab permettent de définir et de suivre les cibles de déploiement, comme la préproduction ou la production. Chaque déploiement est associé à un environnement, ce qui offre une traçabilité complète : qui a déployé quoi, quand et depuis quel pipeline.

Les environnements peuvent être protégés pour restreindre les déploiements à certaines branches ou à certains utilisateurs, ce qui réduit les risques d'erreurs en production. GitLab affiche également l'état de chaque environnement en temps réel, directement depuis l'interface.

Les Review Apps pour tester chaque merge request dans un environnement dédié

Les environnements éphémères (ou Review Apps) poussent la logique des environnements un cran plus loin : GitLab peut déployer automatiquement un environnement éphémère pour chaque merge request, accessible via un lien directement depuis l'interface. Chaque modification devient ainsi testable dans des conditions réelles, sans attendre une intégration dans la branche principale.

L'environnement est détruit automatiquement à la fermeture de la merge request, ce qui évite toute accumulation de ressources inutiles. Pour les équipes qui impliquent des profils non techniques dans le processus de validation (product managers, designers, équipes QA) c'est un levier concret pour raccourcir les cycles de revue et détecter les régressions plus tôt.

Pipelines parent-enfant et multi-projets

GitLab peut déclencher un pipeline depuis un autre pipeline (modèle parent-enfant) ou orchestrer plusieurs projets dans un workflow commun (pipelines multi-projets).

Ces mécanismes sont utilisés pour les architectures modulaires, les monorepos, les écosystèmes multicomposants ou les déploiements distribués. Ils permettent de découper les pipelines tout en conservant une coordination centralisée.

Comment GitLab CI/CD s’intègre dans votre démarche DevSecOps ?

GitLab CI/CD ne se limite pas à automatiser les livraisons : il relie aussi naturellement le développement, la sécurité et les opérations (DevSecOps) au sein d'un même workflow.

Build, test, sécurité et déploiement dans un même environnement

GitLab CI/CD s’exécute directement là où se trouvent déjà le code, les merge requests, la sécurité et les déploiements. Cela réduit les frictions entre équipes : les développeurs disposent d’un pipeline qui teste, analyse et prépare les déploiements, tandis que les équipes sécurité et opérations visualisent les effets de chaque modification dans un même espace.

Sécurité intégrée dans les pipelines de GitLab

Les scans SAST, DAST, l’analyse des dépendances ou l’analyse des conteneurs peuvent être ajoutés comme jobs standard du pipeline, selon votre abonnement GitLab.

Comme ces fonctionnalités sont intégrées nativement, elles ne nécessitent ni outils externes ni configuration lourde. Les résultats s’affichent dans les merge requests, ce qui permet d’aborder la sécurité en amont, sans ralentir les cycles de développement.

Au-delà des scans intégrés, un job peut aussi invoquer un outil tiers comme SonarQube pour compléter l’analyse de qualité du code et détecter la dette technique.

Retour continu entre les équipes

Chaque pipeline fournit des logs, des rapports de tests, des alertes de sécurité et des informations sur les déploiements, consultables dans une seule interface.

Les retours sont donc immédiats : une erreur de test, un échec de build ou une alerte de vulnérabilité apparaît directement dans la merge request. Cela facilite les arbitrages et favorise des décisions rapides et éclairées à chaque étape du cycle de développement.

L'IA au cœur du cycle DevSecOps avec GitLab Duo Agent Platform

GitLab intègre des capacités d'IA à chaque étape du cycle de développement logiciel via GitLab Duo Agent Platform, une plateforme d’agents spécialisés qui collaborent autour du code, des pipelines et des outils existants. L’objectif n’est pas de remplacer les équipes, mais de leur fournir des agents qui automatisent les tâches répétitives, orchestrent les workflows et accélèrent les décisions tout au long du pipeline.

Agents pour l’écriture, la revue et l’industrialisation du code

Avec GitLab Duo Agent Platform, les capacités d’IA ne se limitent plus à de simples complétions : elle se matérialise sous forme d’agents GitLab Duo disponibles par défaut (Foundational agents) (proposés par GitLab, prêts à l’emploi) et d’agents GitLab Duo personnalisés (configurés par vos équipes) que vous pouvez adapter à vos propres projets.

• L’agent GitLab Duo orienté code (Foundational agent). Cet agent s’appuie sur les capacités natives de GitLab Duo (complétion, génération et refactorisation de code) dans l’IDE et le Web IDE. Il aide les équipes à écrire, adapter ou moderniser le code tout en respectant les standards et conventions de vos projets.
• L’agent GitLab Duo CI/CD personnalisé. Avec GitLab Duo Agent Platform, il est possible de définir un agent spécialisé CI/CD : il peut générer ou corriger un fichier .gitlab-ci.yml, expliquer un pipeline existant, proposer des optimisations (cache, parallélisation, stratégie de runners) et diagnostiquer les erreurs de jobs. Cet agent est personnalisé par les équipes, en fonction de leurs patterns et de leurs contraintes.
• L’agent GitLab Duo Doc & Connaissance personnalisé. En s’appuyant sur GitLab Duo Chat connecté au contexte de GitLab, un agent “Connaissance projet” permet d’interroger en langage naturel le code, les merge requests, les tickets et la configuration CI/CD pour comprendre rapidement l’état d’un projet ou la cause probable d’un échec de build. Cet agent exploite les mêmes fondations que GitLab Duo Chat, mais est spécialisé sur votre périmètre (projets, groupes) et vos règles internes.

Pour en savoir plus sur les agents d’IA par défaut, personnalisables et externes disponibles sur GitLab Duo Agent Platform, consultez notre documentation.

Analyse proactive des merge requests par des agents

Plutôt qu’un simple résumé automatique, GitLab Duo Agent Platform permet de confier la merge request à un agent dédié GitLab (par exemple l’agent CI Expert) ou à un flow par défaut (Foundational flow) spécialisé dans la revue de code (par exemple le flow Code Review) qui :

• Synthétise les changements (fonctionnels, sécurité, performance) et met en avant les impacts majeurs.
• Signale les risques potentiels (endroits sensibles du code, dettes techniques aggravées, modifications de contrats d’API).
• Propose des points d’attention ciblés pour les relecteurs, voire des suggestions de corrections ou de tests manquants.

Ces capacités aident à réduire le temps de revue, à standardiser la qualité des merge requests et à impliquer des profils moins techniques dans l’évaluation des changements.

IA et sécurité : agents pour expliquer, corriger et gouverner les vulnérabilités

Avec GitLab Duo Agent Platform, la sécurité est prise en charge par un ou plusieurs agents orientés AppSec (par exemple l’agent Security Analyst) qui :

• Consomment les résultats des scans de sécurité (SAST, DAST, analyse des dépendances, analyse des conteneurs, etc.).
• Expliquent chaque vulnérabilité dans le langage de l’équipe (contexte, scénario d’attaque probable, impact métier).
• Proposent des patchs concrets ou des refactorings, que les équipes de développement peuvent appliquer et ajuster.
• Aident à prioriser les vulnérabilités en croisant criticité, surface d’exposition, historique du projet et politiques internes.

Ces agents permettent de passer d’une gestion réactive des vulnérabilités à une gouvernance continue de la posture de sécurité, directement intégrée dans les pipelines et les merge requests.

GitLab Duo Agent Platform : vers des pipelines autonomes

GitLab Duo Agent Platform représente l'étape suivante : non plus seulement déclencher des jobs prévus à l’avance, mais confier des tâches complètes à des agents d’IA capables de raisonner sur l’état du projet et du pipeline.

Un agent peut par exemple analyser un échec de build, proposer un correctif, ouvrir ou mettre à jour une merge request, relancer les jobs nécessaires, ou encore alerter les bonnes personnes avec un résumé exploitable. Cette approche commence à transformer la notion même de pipeline CI/CD : nous passons d’une automatisation statique (des scripts fixés dans .gitlab-ci.yml) à une orchestration adaptative, où des agents spécialisés et des flows agentiques collaborent autour du pipeline pour diagnostiquer, corriger et optimiser en continu.

Pourquoi choisir GitLab CI/CD ?

Une plateforme qui simplifie le CI/CD

La plupart des outils CI reposent sur une logique d'assemblage : un outil pour le code, un autre pour les tests, un autre pour la sécurité, puis un outil de déploiement. Cette fragmentation complique la maintenance et disperse les informations entre plusieurs interfaces.

GitLab adopte une approche unifiée : le code, les pipelines, la sécurité, la revue et les déploiements reposent sur une seule plateforme, pour des workflows plus simples et plus cohérents.

Des fonctionnalités propres à GitLab

GitLab CI/CD dispose de capacités propres à la plateforme et difficiles à reproduire avec une chaîne d'outils fragmentée :

• le catalogue CI/CD (CI/CD Catalog) et les composants (CI/CD components) pour standardiser les pipelines,
• les runners hébergés par GitLab sur GitLab.com (Linux, Windows, macOS),
• l’intégration native de la sécurité dans les pipelines,
• l'éditeur de pipeline (Pipeline Editor), un éditeur intégré avec validation en temps réel et visualisation du graphe du pipeline,
• la gestion complète des merge requests et des protections de branches intégrée au cycle CI/CD,
• l’IA intégrée à chaque étape du cycle de développement logiciel avec GitLab Duo Agent Platform.

Ces éléments permettent de construire des pipelines complets sans dépendre d’extensions ou de services externes.

Une expérience DevSecOps unifiée

Comme l’ensemble du workflow de développement repose sur un environnement unique, chaque modification bénéficie automatiquement des tests, des analyses de sécurité, des logs de déploiement et des retours dans les merge requests.

Les équipes travaillent donc sur un cycle continu, avec moins de ruptures contextuelles et une vue consolidée de la qualité du logiciel à chaque étape.

Par où commencer avec GitLab CI/CD ?

GitLab CI/CD est conçu pour s'adapter à tous les niveaux de maturité.

Les équipes qui débutent peuvent s'appuyer sur la fonctionnalité Auto DevOps pour obtenir un premier pipeline fonctionnel sans configuration, puis affiner progressivement leur fichier .gitlab-ci.yml au fur et à mesure que leurs besoins évoluent.

Pour les équipes déjà avancées, les composants du catalogue CI/CD, les pipelines DAG, les Review Apps et l'intégration native de la sécurité permettent de construire des workflows robustes, reproductibles et adaptés à des architectures complexes.

GitLab Duo Agent Platform vient compléter cet ensemble en apportant une couche d'intelligence à chaque étape : assistance à la configuration, analyse des vulnérabilités, résumé des merge requests et, progressivement, des agents capables d'agir de manière autonome dans les pipelines.

Dans les deux cas, l'objectif reste le même : réduire le délai entre un commit et sa mise en production, tout en maintenant un niveau de qualité et de fiabilité élevé à chaque étape.

→ Prêt à franchir le pas ? Commencez un essai gratuit de GitLab Ultimate et explorez l'ensemble des fonctionnalités CI/CD dans votre propre environnement.

GitLab CI/CD en résumé

GitLab CI/CD réunit dans une même plateforme l’ensemble du cycle DevSecOps : le code, les pipelines, les tests, la sécurité, les artefacts et les déploiements. Cette intégration évite la multiplication d’outils et permet de suivre chaque modification de code jusqu’à sa mise en production dans un environnement cohérent.

Un pipeline GitLab s’appuie sur plusieurs éléments clés :

• un fichier .gitlab-ci.yml qui définit les étapes et les jobs,
• des runners qui exécutent les tâches,
• des artefacts pour transmettre ou conserver les fichiers produits,
• le cache pour accélérer les exécutions en évitant de re-télécharger les dépendances à chaque pipeline,
• des variables pour adapter le comportement du pipeline en toute sécurité,
• le catalogue CI/CD et les composants pour standardiser les configurations à l’échelle d’un projet ou d’une organisation.

Cette structure offre un espace unique pour analyser les résultats des tests, vérifier les analyses de sécurité et suivre les déploiements.

GitLab Duo Agent Platform vient enrichir cette structure en y apportant une couche d'intelligence : des agents capables d'assister la configuration, d'analyser les vulnérabilités et d'orchestrer des actions correctives de manière autonome.

GitLab Duo Agent Platform vous permet de gérer la planification, les merge de pipelines, les scans de sécurité, la remédiation des vulnérabilités et bien plus encore dans le cadre de vos workflows GitLab, tandis que la passerelle d'IA de GitLab achemine les appels de modèles vers Amazon Bedrock (ou vers des points de terminaison gérés par GitLab et adossés à Bedrock, selon votre configuration). Vous pouvez ainsi vous appuyer sur les politiques de gestion des identités et des accès (IAM), les périmètres de cloud privé virtuel (VPC), les contrôles régionaux et les engagements de dépenses cloud que vous avez déjà définis dans AWS.

Si vous utilisez déjà Amazon Bedrock et souhaitez que l'IA intervienne directement dans vos activités GitLab, et non dans un autre outil de chat autonome, cette combinaison est faite pour vous.

Dans cet article, nous abordons le problème concret auquel de nombreuses équipes sont confrontées aujourd'hui : l'IA est fragmentée, les flux de données sont flous et l'investissement dans Amazon Bedrock est sous-exploité lorsque l'IA se trouve en dehors du cycle de développement logiciel.

Nous détaillerons ensuite vos options de déploiement pour GitLab Duo Agent Platform :

• Intégration avec des modèles auto-hébergés sur Amazon Bedrock pour les déploiements GitLab Self-Managed et la passerelle d'IA auto-hébergée
• Intégration avec des modèles opérés par GitLab sur Amazon Bedrock (avec des clés appartenant à GitLab) pour les déploiements GitLab Self-Managed et la passerelle d'IA hébergée par GitLab
• Intégration avec des modèles opérés par GitLab sur Amazon Bedrock (avec des clés appartenant à GitLab) pour les instances GitLab.com et la passerelle d'IA hébergée par GitLab

Enfin, nous conclurons par un résumé expliquant comment cette approche permet d'éviter le Shadow AI et la multiplication d'outils spécialisés, sans créer de pile technologique parallèle dédiée à l'IA.

IA omniprésente, contrôle inexistant

En ce moment même, des équipes de développement au sein de votre entreprise utilisent peut-être un outil d'IA que votre équipe de sécurité n'a pas approuvé. Des données de prompt quittent peut-être votre environnement par un chemin que personne n'a entièrement cartographié. Et l'investissement de votre organisation dans Amazon Bedrock est peut-être sous-exploité, tandis que d'autres équipes financent séparément des outils d'IA, détournant ainsi les charges de travail et les dépenses cloud des plateformes auxquelles vous vous êtes déjà engagés.

Plutôt qu'un problème humain, il s'agit peut-être d'un problème d'architecture. Et il fait ressortir les trois mêmes contraintes dans presque toutes les entreprises :

Fragmentation opérationnelle. Chaque équipe, voire chaque développeur, choisit ses propres outils de développement, y compris les outils d'IA et les modèles. Cette fragmentation rend la gouvernance de bout en bout au sein du cycle de vie du développement logiciel quasiment impossible.

Sécurité et souveraineté. Où circulent réellement les données de prompt et de code ? Qui est propriétaire des logs ?

Optimisation des dépenses cloud. Les engagements envers des fournisseurs cloud majeurs comme AWS se diluent à mesure que les charges de travail et l'utilisation de l'IA migrent vers des outils ponctuels en dehors des accords existants des clients.

GitLab Duo Agent Platform et Amazon Bedrock contribuent ensemble à résoudre ces problèmes. La répartition des responsabilités est claire : GitLab Duo Agent Platform prend en charge l'orchestration des workflows avec l'IA agentique pour le développement logiciel, Amazon Bedrock gère la couche d'inférence et héberge les modèles de fondation approuvés, et votre organisation conserve un contrôle total sur les périmètres de données et de politiques déjà définis dans AWS. Trois missions, trois responsables, aucune fragmentation.

GitLab Duo Agent Platform : le plan de contrôle agentique

GitLab Duo Agent Platform est la couche d'IA agentique de GitLab : un framework d'agents et de flows spécialisés qui opèrent simultanément et en parallèle, dépassant les transferts traditionnels par étapes et contribuant à automatiser les tâches sur l'ensemble du cycle de vie logiciel. Plutôt qu'un assistant unique répondant à des prompts, GitLab Duo Agent Platform permet aux équipes d'orchestrer de nombreux agents d'IA de manière asynchrone, en s'appuyant sur des données unifiées et le contexte du projet, tickets, merge requests, pipelines et résultats de sécurité inclus. Les workflows linéaires se transforment en une collaboration coordonnée et continue entre les équipes de développement et leurs agents d'IA, à grande échelle.

Une fois ce plan de contrôle mis en place, la question qui se pose naturellement est de savoir quelle infrastructure d'IA devrait alimenter ces agents. Pour les clients qui exécutent GitLab Self-Managed sur AWS et ont besoin que le trafic d'inférence, les données de prompt et les logs restent également dans leur environnement AWS avec leurs données de cycle de vie logiciel, Amazon Bedrock en tant que couche d'inférence IA est la solution idéale.

Amazon Bedrock : une base fiable pour l'IA

Amazon Bedrock est une couche de modèles de fondation entièrement gérée et sans serveur, qui s'exécute intégralement dans votre environnement AWS. Les données clients restent dans leur compte AWS : les entrées et sorties sont chiffrées en transit et au repos, ne sont jamais partagées avec les fournisseurs de modèles et ne sont jamais utilisées pour entraîner des modèles de base. Amazon Bedrock est certifié pour la conformité RGPD, HIPAA et FedRAMP High, couvrant de nombreuses exigences des secteurs réglementés sans configuration supplémentaire. Les équipes peuvent également importer des modèles affinés depuis d'autres sources via Custom Model Import et les déployer aux côtés des modèles Amazon Bedrock natifs via la même infrastructure, sans gérer de pipelines de déploiement séparés. Bedrock Guardrails ajoute des protections configurables sur tous les modèles pour le filtrage de contenu, la détection des hallucinations et la protection des données sensibles.

Ensemble, GitLab Duo Agent Platform et Amazon Bedrock consolident l'orchestration DevSecOps et la gouvernance des modèles d'IA, contribuant à éliminer la fragmentation qui survient lorsque les équipes déploient des outils d'IA de manière indépendante.

Choisir votre modèle de déploiement

L'intégration offre les mêmes fonctionnalités principales de GitLab Duo Agent Platform, quel que soit le mode de déploiement. Ce qui varie, c'est qui gère GitLab, qui opère la passerelle d'IA et dans quel compte Amazon Bedrock l'inférence s'exécute. Le bon modèle dépend de l'environnement dans lequel votre organisation opère déjà.

À un niveau général, l'intégration comporte trois composants principaux :

• GitLab Duo Agent Platform : workflows agentiques intégrés tout au long du cycle de vie du développement logiciel
• Passerelle d'IA (gérée par GitLab ou auto-hébergée) : la couche d'abstraction entre GitLab Duo Agent Platform et le backend de modèles de fondation
• Amazon Bedrock : le substrat de modèles d'IA et d'inférence

Le choix d'un modèle de déploiement est guidé par l'endroit où une organisation souhaite placer les leviers de contrôle. Les modèles présentés ci-dessous sont conçus pour s'adapter à la situation actuelle des équipes, qu'elles privilégient une approche SaaS, optent pour une gestion autonome à des fins de conformité ou misent entièrement sur AWS en tirant parti de leurs investissements existants dans Amazon Bedrock.

| Modèle de déploiement | Instance GitLab.com avec passerelle d'IA hébergée par GitLab et modèles Amazon Bedrock opérés par GitLab | GitLab Self-Managed avec passerelle d'IA hébergée par GitLab et modèles Bedrock opérés par GitLab | GitLab Self-Managed avec passerelle d'IA auto-hébergée et modèles Bedrock opérés par le client | | :---- | :---- | :---- | :---- | | Idéal si vous : | Utilisez principalement GitLab.com et ne souhaitez pas auto-héberger la passerelle d'IA et les modèles Bedrock | Avez besoin de GitLab Self-Managed pour des raisons de conformité et opérationnelles, mais ne souhaitez pas gérer la couche d'IA | Êtes centré sur AWS avec une utilisation Bedrock existante et des besoins stricts en matière de données et de contrôle | | Principaux avantages | La solution la plus rapide et clé en main pour accéder aux workflows de GitLab Duo Agent Platform : GitLab gère GitLab.com, la passerelle d'IA, intégrée aux modèles d'IA Bedrock. | Conservez GitLab déployé dans votre propre environnement tout en consommant les modèles Bedrock via une passerelle d'IA gérée par GitLab, alliant contrôle du déploiement et simplification des opérations d'IA. | Exécutez GitLab et la passerelle d'IA dans votre compte AWS, réutilisez vos configurations IAM/VPC/régions existantes, conservez les logs et les données dans votre environnement, et imputez l'utilisation de Bedrock à vos engagements de dépenses AWS existants. |

Comment les clients utilisent GitLab Duo Agent Platform avec Amazon Bedrock

Les équipes plateforme peuvent utiliser GitLab Duo Agent Platform avec Amazon Bedrock pour standardiser les modèles chargés des suggestions de code, de l'analyse de sécurité et de la remédiation des pipelines. Cela permet d'appliquer des garde-fous et une journalisation de manière centralisée, plutôt que de laisser chaque équipe adopter des outils séparés de façon indépendante.

Les workflows de sécurité bénéficient d'avantages particuliers. Les agents de GitLab Duo Agent Platform peuvent proposer et valider des correctifs pour les résultats de sécurité au sein de GitLab, contribuant à réduire le travail de triage manuel que les développeurs devraient autrement effectuer en dehors de la plateforme.

Pour les entreprises déjà engagées envers AWS, le routage des charges de travail d'IA via Bedrock depuis GitLab vous permet de maintenir l'utilisation de l'IA par les développeurs en cohérence avec les accords cloud existants, plutôt que de générer des dépenses séparées et non planifiées.

En résumé

Les contraintes qui freinent l'adoption de l'IA en entreprise ne sont souvent pas d'ordre technique, elles sont organisationnelles : fragmentation des outils, flux de données non gouvernés et dépenses cloud qui ne se consolident jamais. Ce sont ces problèmes qui peuvent bloquer les programmes d'IA même après la réussite des projets pilotes.

GitLab Duo Agent Platform et Amazon Bedrock permettent de s'attaquer directement à chacun de ces problèmes. Les équipes plateforme bénéficient d'une gouvernance cohérente, d'une auditabilité et de chemins standardisés pour l'utilisation de l'IA tout au long du cycle de vie du développement logiciel. Les équipes de développement disposent de workflows agentiques rationalisés qui s'intègrent naturellement à GitLab. Et les organisations centrées sur AWS peuvent étendre leur investissement Bedrock existant plutôt que de construire une infrastructure d'IA parallèle.

Le résultat est un programme d'IA qui évolue sans se fragmenter. Gouvernance et vélocité sur la même pile, au service des mêmes équipes, sous des politiques que l'organisation maîtrise déjà.

Pour déterminer quel modèle de déploiement convient à votre organisation et comment aligner GitLab Duo Agent Platform et Amazon Bedrock avec votre stratégie AWS existante, contactez l'équipe commerciale de GitLab, qui vous aidera à concevoir et à mettre en œuvre la meilleure architecture pour votre environnement. Vous pouvez également consulter notre page partenaire AWS pour en savoir plus.

Pour les équipes qui exécutent des agents sur l'intégralité du cycle de développement, Opus 4.7 apporte des améliorations significatives aux tâches essentielles : les travaux complexes et multi-étapes qui exigent un raisonnement soutenu, une exécution précise des instructions et la capacité à vérifier ses propres résultats avant de les afficher.

Un raisonnement renforcé pour chaque workflow d'agent

L'amélioration la plus notable concerne la manière dont Opus 4.7 traite les tâches longues et complexes. Les évaluations internes de GitLab ont mis en évidence des performances supérieures à celles de Sonnet 4.6 comme d'Opus 4.6. Ces améliorations combinées se traduisent directement par des agents plus efficaces dans les pipelines CI/CD, la revue de code, la résolution de vulnérabilités et d'autres workflows multi-outils où les erreurs en cascade ont un coût élevé.

Les équipes avec des workflows d'agents établis noteront qu'Opus 4.7 interprète les instructions avec plus de précision que les modèles précédents, ce qui lui permet d'exécuter les tâches complexes et conditionnelles avec davantage de fidélité. Par exemple, les agents chargés de séquences de remédiation multi-étapes accomplissent chaque étape conformément aux spécifications et garantissent aux équipes des résultats plus prévisibles et auditables.

Des agents qui maintiennent la cadence du code à la production

La promesse des agents intégrés à chaque étape du cycle de développement logiciel signifie que le travail avance sans attendre l'intervention humaine. Opus 4.7 contribue à tenir cette promesse de manière plus fiable en pratique.

Au stade de la génération de code et de la création de tests, les agents bénéficient de la capacité d'Opus 4.7 à vérifier ses propres résultats avant de les afficher. Résultat ? Moins d'allers-retours, une itération plus rapide et moins d'interruptions qui perturbent la concentration des développeurs. Dans les workflows de sécurité et de gestion des vulnérabilités, un meilleur respect des instructions permet aux agents de rester sur la tâche tout au long des séquences de remédiation multi-étapes, en menant le travail à son terme tel qu'il a été défini, sans nécessiter de corrections en cours de route.

Dans les environnements CI/CD, où les échecs de pipeline peuvent bloquer toute une équipe, la cohérence sur le long terme d'Opus 4.7 est particulièrement précieuse. Les agents qui analysent les échecs, examinent les logs et proposent des correctifs traitent cette séquence de manière cohérente, sans perdre le contexte en cours d'exécution. Le travail est terminé au lieu d'être escaladé.

GitLab Duo Agent Platform relie ces étapes par conception. Opus 4.7 renforce la couche d'intelligence qui les alimente, de sorte que les agents coordonnant la planification, le développement, la sécurité et le déploiement disposent d'un modèle plus performant pour piloter les décisions à chaque transfert.

Tarification et disponibilité

Claude Opus 4.7 est disponible dès maintenant dans GitLab Duo Agent Platform via la sélection de modèle. Pour consulter la liste complète des modèles disponibles pour GitLab Duo Agent Platform ainsi que leur consommation respective en crédits, rendez-vous sur notre documentation.

Vous pouvez commencer un essai gratuit de GitLab Duo Agent Platform dès aujourd'hui. Si vous utilisez déjà GitLab dans la version gratuite, vous pouvez vous inscrire à GitLab Duo Agent Platform en suivant quelques étapes simples.

Si vous êtes déjà abonné à GitLab Premium ou GitLab Ultimate, il vous suffit d'activer GitLab Duo Agent Platform et de commencer à utiliser les GitLab Credits inclus dans votre abonnement.

Cet article de blog contient des déclarations de nature prospective au sens de la Section 27A du Securities Act de 1933, telle que modifiée, et de la Section 21E du Securities Exchange Act de 1934. Bien que nous pensions que les attentes reflétées dans ces déclarations sont raisonnables, elles sont soumises à des risques, incertitudes, hypothèses et autres facteurs connus et inconnus qui peuvent entraîner des résultats ou conséquences sensiblement différents. De plus amples informations sur ces risques et autres facteurs sont incluses sous la rubrique « Facteurs de risque » dans nos documents déposés auprès de la SEC. Nous ne nous engageons pas à mettre à jour ou à réviser ces déclarations après la date de publication de cet article de blog, sauf si la loi l'exige.

L'un des principaux freins à une adoption plus large de l'IA n'est pas le scepticisme vis-à-vis de la technologie : c'est l'incertitude quant à la maîtrise des dépenses. Sans plafond budgétaire, un mois particulièrement chargé pourrait engendrer des dépenses imprévues. Sans limites par utilisateur, une poignée d'utilisateurs intensifs pourrait épuiser les crédits de l'équipe avant la fin du mois. Et sans aucun de ces mécanismes, les responsables techniques qui souhaitent étendre l'utilisation de l'IA agentique pour le développement logiciel doivent multiplier les démarches pour obtenir les validations budgétaires.

Depuis sa disponibilité générale, GitLab Duo Agent Platform offre des fonctionnalités de gouvernance et de visibilité sur l'utilisation. Avec GitLab 18.11, nous introduisons des contrôles d'utilisation pour GitLab Credits : des plafonds de dépenses et des garde-fous budgétaires qui donnent à votre organisation encore plus de contrôle et de transparence sur la consommation des crédits.

Gestion de GitLab Credits

GitLab 18.11 ajoute trois niveaux de contrôle sur la consommation des GitLab Credits : un plafond de dépenses au niveau de l'abonnement, des limites de crédits par utilisateur et une visibilité sur l'état et l'application des plafonds.

Plafond de dépenses au niveau de l'abonnement

Les responsables de facturation peuvent désormais définir un plafond mensuel strict pour la consommation de crédits GitLab à la demande sur l'ensemble de leur abonnement.

Voici comment cela fonctionne :

• Définissez un plafond dans le portail clients, dans les paramètres de votre abonnement relatifs à GitLab Credits.
• Appliquez automatiquement les limites de dépenses. Lorsque la consommation à la demande atteint le plafond, l'accès à GitLab Duo Agent Platform est suspendu pour tous les utilisateurs de l'abonnement jusqu'au début de la période mensuelle suivante.
• Ajustez en cours de route. Augmentez ou désactivez le plafond en cours de mois pour rétablir l'accès.

Le plafond se réinitialise à chaque période mensuelle et la limite configurée est reconduite automatiquement, sauf si vous la modifiez. Étant donné que les données d'utilisation sont synchronisées périodiquement plutôt qu'en temps réel, un léger dépassement peut survenir après que le plafond est atteint, avant que l'application ne prenne effet. Consultez la documentation relative à GitLab Credits pour plus de détails.

Plafonds de dépenses par utilisateur

Il est naturel que tous les utilisateurs ne consomment pas les crédits au même rythme. Mais lorsqu'un ou deux utilisateurs intensifs consomment une part disproportionnée du pool, le reste de l'équipe peut perdre son accès à l'IA avant la fin du mois.

Les plafonds de crédits par utilisateur empêchent qu'un seul utilisateur consomme plus que la part qui lui est allouée :

• Plafond forfaitaire par utilisateur. Définissez une limite de crédits forfaitaire qui s'applique de manière égale à chaque utilisateur de l'abonnement via l'API GraphQL de GitLab. Contrairement au plafond au niveau de l'abonnement, le plafond par utilisateur s'applique à la consommation totale d'un utilisateur, toutes sources de crédits confondues.
• Limites personnalisées par utilisateur. Pour les organisations qui ont besoin de limites différenciées, vous pouvez définir des plafonds de crédits individuels pour des utilisateurs spécifiques via l'API GraphQL. Par exemple, vous pourriez accorder une allocation plus élevée à vos staff engineers tout en appliquant une limite standard au reste de l'équipe.
• Application individuelle. Lorsqu'un utilisateur atteint son plafond, il conserve un accès complet à GitLab. Seule sa consommation de crédits GitLab Duo Agent Platform est suspendue jusqu'au prochain cycle de facturation. Tous les autres membres de l'équipe continuent à travailler sans interruption jusqu'à atteindre leur propre limite ou le plafond au niveau de l'abonnement, selon la première éventualité.

Visibilité et notifications

Lorsqu'un plafond au niveau de l'abonnement est atteint, GitLab envoie une notification par e-mail aux responsables de facturation afin qu'ils puissent agir : augmenter le plafond, attendre la période suivante ou redistribuer les crédits.

Dans GitLab, les propriétaires de groupe (GitLab.com) et les administrateurs d'instance (GitLab Self-Managed) peuvent consulter les utilisateurs bloqués en raison de l'atteinte de leur plafond par utilisateur et rétablir l'accès en ajustant le plafond via l'API GraphQL.

Comment les garde-fous budgétaires aident les organisations à déployer l'IA à grande échelle

Les garde-fous sont essentiels à mesure que les organisations accélèrent leur adoption de l'IA. Voici pourquoi :

Des budgets d'IA prévisibles

Les contrôles d'utilisation de GitLab Duo Agent Platform transforment l'IA en un poste budgétaire encadré et prévisible grâce aux crédits GitLab à la demande. Il devient ainsi plus facile de déployer des agents sur l'ensemble du cycle de développement logiciel, d'obtenir la validation des équipes financières, de justifier les renouvellements et de planifier les dépenses trimestrielles.

Gouvernance et refacturation interne

Les grandes organisations doivent souvent aligner la consommation d'IA sur leurs budgets internes, centres de coûts ou politiques de départements. Les plafonds par utilisateur offrent aux équipes plateforme un mécanisme simple pour répartir les crédits équitablement et suivre la consommation au niveau individuel. Les options d'importation par API facilitent la gestion des plafonds à l'échelle de l'entreprise. En combinant les plafonds par utilisateur aux données d'utilisation par utilisateur du tableau de bord GitLab Credits, les organisations peuvent analyser les tendances de consommation pour alimenter leurs propres processus de refacturation interne ou d'allocation budgétaire.

La confiance pour passer à l'échelle

De nombreux clients commencent à utiliser GitLab Duo Agent Platform avec un petit groupe pilote. Les contrôles d'utilisation éliminent les risques associés à l'extension de ce pilote à l'ensemble de l'organisation. Vous pouvez déployer GitLab Duo Agent Platform auprès de centaines, voire de milliers de développeurs, en sachant qu'un plafond strict protège votre budget. Si la consommation augmente plus vite que prévu, vous atteindrez le plafond, sans facture inattendue.

Dépasser le dilemme de la tarification par siège et du manque de visibilité

De nombreux outils de programmation assistée par l'IA adoptent une approche par siège pour la gestion des coûts. Vous achetez un nombre fixe de sièges à un prix forfaitaire par utilisateur, et c'est votre budget. L'approche est simple, mais rigide. Vous payez le même montant, qu'un développeur utilise l'outil dix fois par jour ou n'y touche jamais. Et à mesure que les éditeurs introduisent des modèles premium et des dépassements basés sur l'utilisation en plus de la tarification par siège, la prévisibilité des coûts promise par ce modèle commence à s'éroder.

GitLab adopte une approche différente : une tarification à l'usage avec des plafonds stricts et un tableau de bord de gouvernance unifié. Vous profitez d'une véritable flexibilité : vous ne payez que ce que vos équipes consomment réellement et pouvez prévoir un budget grâce aux limites de dépenses appliquées automatiquement.

Exemples concrets de contrôles d'utilisation

Prenons l'exemple d'une entreprise cliente SaaS de taille moyenne qui souhaite respecter son budget mensuel. Une entreprise d'ingénierie de 200 personnes définit un plafond au niveau de l'abonnement correspondant à sa consommation à la demande prévue. Le VP Engineering peut affirmer avec certitude aux équipes financières que les dépenses liées à GitLab Duo Agent Platform ne dépasseront jamais le montant approuvé, même lors de l'intégration de nouvelles équipes. Si l'organisation approche du plafond en cours de mois, le responsable de facturation reçoit une notification et peut décider d'augmenter la limite ou d'attendre la période suivante.

Chez GitLab, nous travaillons également avec de grandes entreprises qui souhaitent garantir une utilisation équitable entre les équipes. Une société de services financiers internationale comptant 2 000 développeurs utilise les plafonds par utilisateur pour assurer un accès équitable. Les ingénieurs seniors travaillant sur des projets de refactorisation complexes bénéficient d'une allocation individuelle plus élevée via l'API, tandis que la majorité des développeurs profite d'un plafond forfaitaire standard. Aucun utilisateur ne peut épuiser le pool à lui seul, et l'équipe plateforme utilise les données d'utilisation par utilisateur du tableau de bord GitLab Credits pour analyser les tendances de consommation et concevoir la planification budgétaire trimestrielle.

Premiers pas

Les contrôles d'utilisation sont disponibles pour les clients GitLab.com et GitLab Self-Managed dès la version GitLab 18.11. Les contrôles sont configurés à différents emplacements selon la portée et votre rôle.

Plafond au niveau de l'abonnement

Les responsables de facturation définissent le plafond à la demande au niveau de l'abonnement dans le portail client :

1. Connectez-vous au Portail clients.
2. Sur la carte de votre abonnement, accédez aux paramètres de GitLab Credits.
3. Activez le plafond mensuel de crédits à la demande et saisissez la limite souhaitée.

Plafond forfaitaire par utilisateur

Le plafond forfaitaire par utilisateur peut être défini via l'API GraphQL de GitLab par les propriétaires d'espace de nommage (GitLab.com) ou les administrateurs d'instance (GitLab Self-Managed). Consultez la documentation relative à GitLab Credits pour les dernières informations sur les interfaces de configuration disponibles.

Limites personnalisées par utilisateur

Pour des limites différenciées, les propriétaires d'espace de nommage (GitLab.com) et les administrateurs d'instance (Self-Managed) peuvent définir des plafonds individuels par programmation. Cette option est particulièrement utile pour les workflows d'automatisation et d'Infrastructure as Code.

Suivi de l'utilisation et de l'état des plafonds

• Portail client : consultez l'utilisation détaillée et l'état des plafonds.
• GitLab.com : les propriétaires de groupe peuvent consulter les utilisateurs bloqués sous Paramètres > GitLab Credits.
• GitLab Self-Managed : les administrateurs d'instance peuvent consulter l'état des plafonds et les utilisateurs bloqués sous Admin > GitLab Credits.

GitLab Duo Agent Platform est prêt à passer à l'échelle

Les contrôles d'utilisation sont disponibles dès maintenant dans GitLab 18.11. Si vous attendiez les bons garde-fous avant de déployer GitLab Duo Agent Platform à l'échelle de votre organisation, c'est le moment. Définissez vos plafonds, déployez GitLab Duo Agent Platform auprès de davantage d'équipes et accélérez vos livraisons !

En savoir plus sur GitLab Credits et les contrôles d'utilisation.

Désormais en disponibilité générale, Agentic SAST Vulnerability Resolution génère automatiquement des correctifs de code prêts à être fusionnés pour remédier aux vulnérabilités SAST. Grâce à cette fonctionnalité :

• Les équipes de développement restent concentrées sur leur travail
• Les vulnérabilités sont résolues avant d’atteindre l'environnement de production
• Les équipes AppSec consacrent moins de temps au classement et à la coordination avec les équipes

Agentic SAST Vulnerability Resolution représente l’avenir de la sécurité des applications. La version GitLab 18.11 offre également des scans SAST plus rapides, une priorisation plus intelligente et une gouvernance renforcée sur l’ensemble de la plateforme.

Une correction automatique sans interrompre votre workflow

Lorsque l’IA génère du code à grande échelle, l'équation change. Un backlog de sécurité qui progressait autrefois de façon linéaire s’accroît désormais de manière exponentielle à chaque commit assisté par un modèle. Il n’existe aucune solution à ce problème qui consiste à demander aux équipes de développement de changer de contexte plus souvent et de continuer à corriger manuellement des vulnérabilités. Selon le rapport DevSecOps 2025 de GitLab, les équipes de développement consacrent déjà 11 heures par mois à corriger des vulnérabilités après la mise en production, c’est-à-dire à résoudre des problèmes déjà exploitables en production au lieu de livrer de nouvelles fonctionnalités.

Agentic SAST Vulnerability Resolution transforme l’économie de ce cycle. Lorsqu’un scan SAST est terminé, les résultats déclenchent automatiquement le flow de SAST false positive detection. Les risques confirmés sont directement intégrés au flow Agentic SAST Vulnerability Resolution, où GitLab Duo Agent Platform :

• Analyse la vulnérabilité dans son contexte
• Génère un correctif qui traite la cause profonde
• Valide le correctif à l'aide de tests automatisés

L’équipe de développement reçoit une merge request prête à être fusionnée, accompagnée d’un score de confiance, afin de prendre une décision éclairée sur la manière de corriger la vulnérabilité. Le sprint reste dans les temps, les équipes de développement restent concentrés sur leur travail et les vulnérabilités sont résolues avant d’atteindre l'environnement de production.

Accélérer la production logicielle implique également de ne pas attendre les résultats de votre scanner. GitLab 18.11 introduit le scan incrémental pour Advanced SAST, permettant aux équipes de développement d’obtenir les résultats relatifs aux vulnérabilités sans attendre la fin d’un scan complet, et aux pipelines de continuer d'avancer.

Une remédiation en fonction du risque métier

La correction autonome ne fonctionne que si le signal qui la déclenche est fiable. Lorsque les scores de sévérité ne reflètent pas l’exploitabilité réelle, les équipes de développement cessent de faire confiance au signal et commencent à l’ignorer.

GitLab 18.11 répond à ce problème sur quatre niveaux. Premièrement, les scores de vulnérabilité s’appuient désormais sur le Common Vulnerability Scoring System (CVSS) 4.0, la norme la plus récente du secteur, avec des métriques plus granulaires qui reflètent davantage l’exploitabilité réelle. Le score affiché dans GitLab correspond ainsi à la norme du secteur la plus à jour pour mesurer le risque réel.

Les équipes AppSec peuvent ensuite définir des règles basées sur des politiques qui ajustent automatiquement les scores de sévérité des vulnérabilités en fonction de signaux tels que les Common Vulnerabilities and Exposures (CVE), les Common Weakness Enumeration (CWE) et le le chemin d'accès au fichier/répertoire. Une fois la politique définie, les modifications de sévérité s’appliquent immédiatement, permettant aux équipes de développement de travailler à partir d’un backlog qui reflète le risque métier réel, et non les résultats bruts du scanner.

L'application des règles en fonction des risques ne se limite pas au backlog. Les équipes AppSec peuvent désormais configurer des politiques d’approbation pour bloquer ou émettre des alertes en fonction du statut Known Exploited Vulnerabilities (KEV) ou des seuils de score Exploit Prediction Scoring System (EPSS). Lorsqu’un merge est bloqué, les équipes de développement savent que c’est parce que la vulnérabilité s'appuie sur des données d’exploitabilité réelles, et non sur un score qui ne tenait pas compte de leur environnement.

Enfin, le nouveau graphique du tableau de bord de sécurité Top CWEs offre aux équipes une visibilité sur les classes de vulnérabilités qui apparaissent le plus fréquemment dans leurs projets. Plutôt que de traiter les résultats individuellement, les équipes peuvent identifier des tendances, établir des priorités au niveau de la cause profonde et traiter les risques systémiques avant qu’ils ne s’aggravent.

Des contrôles de sécurité renforcés avec moins de charge opérationnelle

L'efficacité d'un pipeline de correction autonome dépend entièrement de la couverture offerte par le scanner de sécurité sur lequel il s'appuie. Si la configuration du scanner est incohérente, les résultats transmis au pipeline sont incomplets, tout comme les correctifs.

GitLab 18.11 introduit le Security Manager, un nouveau rôle par défaut conçu spécifiquement pour les professionnels de la sécurité. Grâce au rôle Security Manager, les équipes de sécurité peuvent appliquer des scanners de sécurité, définir et configurer des politiques de sécurité, gérer les workflows de classement et de correction des vulnérabilités, et maintenir les frameworks de conformité et les flux d’audit, sans avoir besoin d’autorisations de modification du code ou de déploiement. Les équipes de sécurité disposent ainsi des accès nécessaires à leur travail, et rien de plus, ce qui permet de limiter les autorisations au travail à accomplir et de laisser les autorisations relatives au code et au déploiement aux équipes de développement.

Pour les équipes AppSec, obtenir une couverture cohérente du scanner SAST sur plusieurs projets et groupes est désormais beaucoup plus simple. Les profils de configuration SAST offrent aux équipes de sécurité un espace unique pour définir la configuration des scans une seule fois et l’appliquer à tous les projets d’un groupe en une seule action. Les équipes n'ont plus besoin de rédiger et de maintenir des fichiers de politique YAML, de dépendre des équipes de développement pour configurer les scanners, ni de vérifier manuellement chaque projet pour identifier les lacunes de couverture.

Commencer dès aujourd’hui avec la remédiation agentique des vulnérabilités

GitLab 18.11 offre un workflow complet de gestion des vulnérabilités sur une seule plateforme : une IA qui corrige automatiquement les vulnérabilités, une priorisation plus intelligente qui réduit le bruit lié aux vulnérabilités, et des contrôles de gouvernance qui donnent aux équipes de sécurité les accès et la couverture appropriés à grande échelle.

Pour découvrir comment GitLab Duo Agent Platform intègre la correction automatisée directement dans le workflow de vos équipes de développement, commencez un essai gratuit de GitLab Ultimate dès aujourd’hui.

Dans GitLab 18.11, deux nouveaux agents fondamentaux pour Duo Agent Platform s'attaquent à des lacunes spécifiques du cycle de développement que l'IA a largement laissées de côté :

• L'agent CI Expert (désormais en version bêta) comble le fossé entre l'écriture du code et son intégration dans un pipeline opérationnel.
• L'agent Data Analyst (désormais en disponibilité générale) comble le fossé entre la livraison du code et la capacité à répondre à des questions fondamentales sur le déroulement réel de cette livraison.

Ces problématiques ne pouvaient pas être résolues par un assistant généraliste. Un outil fonctionnant en dehors de GitLab peut générer un fichier YAML ou répondre à une question, mais il n'a aucune connaissance des performances historiques de vos pipelines, des zones de concentration des échecs, ni de vos temps de cycle de merge request réels. Ce contexte réside dans GitLab. Ces agents aussi.

Configurer rapidement la CI avec l'agent CI Expert

L'IA a facilité l'écriture du code comme jamais auparavant. Intégrer ce code dans un pipeline opérationnel reste pourtant quelque chose que la plupart des équipes font des jours, voire des semaines plus tard — si tant est qu'elles le fassent. Le problème de la page blanche n'est plus dans l'éditeur. La page blanche, c'est désormais .gitlab-ci.yml.

Les développeurs qui n'ont jamais configuré de CI ne savent pas à quoi ressemble la détection de langage en YAML, quelles commandes de test utiliser, ni comment valider le résultat avant de pousser leurs modifications. Les équipes copient généralement une configuration d'un projet précédent qui ne correspond pas forcément, assemblent des exemples tirés de la documentation, ou attendent la seule personne qui l'a déjà fait. Si cette personne n'est pas disponible, la CI devient quelque chose qu'on « fera plus tard ». Plus tard ne vient jamais.

Quand la CI n'est jamais mise en place, les conséquences se font sentir partout. Les modifications sont livrées sans filet de sécurité fiable, les régressions apparaissent en production plutôt qu'en pipeline, et le travail s'accumule en lots plus importants et plus risqués, car personne ne veut être celui qui « casse le build ». Avec le temps, les équipes s'habituent à travailler dans l'incertitude, en s'appuyant souvent sur des connaissances institutionnelles non documentées et des tests ad hoc, plutôt que sur une boucle de retour rapide et prévisible intégrée à chaque modification.

L'agent CI Expert, désormais disponible en version bêta, supprime ces frictions. Il inspecte votre dépôt, identifie votre langage et votre framework, et propose un pipeline de build et de test opérationnel, adapté à ce qui s'y trouve réellement — en expliquant chaque décision en langage clair. L'objectif : un pipeline fonctionnel en quelques minutes, sans écrire une seule ligne de YAML à la main.

Ce que fait l'agent CI Expert :

• La génération de pipeline tenant compte du dépôt détecte le langage, le framework et la configuration des tests.
• Il génère des configurations de build et de test valides et exécutables.
• Un flux guidé pour le premier pipeline, avec une explication en langage clair de chaque étape dans Agentic Chat.
• Une sémantique GitLab CI native, sans traduction de configuration requise.

Parce qu'il s'exécute dans GitLab et observe le comportement réel des pipelines au fil du temps, chaque amélioration peut s'appuyer sur la façon dont les équipes travaillent réellement, et non sur de simples exemples statiques.

L'agent CI Expert est disponible sur GitLab.com, Self-Managed et Dedicated, dans les éditions Free, Premium et Ultimate avec GitLab Duo Agent Platform activé.

Interroger les données GitLab en langage naturel avec l'agent Data Analyst

L'IA a accéléré la cadence de livraison des équipes. Répondre à des questions fondamentales sur l'avancement de ce travail est devenu plus difficile, pas plus simple.

Combien de temps les merge requests restent-elles en revue ? Quels pipelines ralentissent les équipes ? Les objectifs de déploiement sont-ils réellement atteints ? Ces questions trouvaient autrefois une réponse en consultant un tableau de bord. Aujourd'hui, avec davantage de code, davantage d'équipes et une complexité accrue, les données existent — elles sont dans GitLab — mais y accéder implique encore d'attendre une équipe analytique, de soumettre une demande de tableau de bord, ou d'apprendre le GLQL.

L'agent Data Analyst comble ce fossé. Posez une question en langage naturel et obtenez une visualisation instantanée dans Agentic Chat. Aucun langage de requête, aucune demande de tableau de bord, aucune attente que quelqu'un d'autre assemble les réponses.

Par exemple, l'agent peut répondre aux questions portant sur les sujets suivants, selon les rôles :

• Responsables ingénierie : temps de cycle des merge requests, débit par projet, points de blocage dans les revues.
• Développeurs : tendances de contribution, tests instables bloquant leurs merge requests, évolution de la vitesse des pipelines.
• Ingénieurs DevOps et plateforme : taux de succès/échec des pipelines, utilisation des runners, fréquence de déploiement.
• Direction ingénierie : fréquence de déploiement multi-portefeuille, métriques de santé des projets, comparaisons des délais de livraison.

Désormais en disponibilité générale dans la version 18.11, l'agent couvre les merge requests, les tickets, les projets, les pipelines et les jobs — une couverture complète du cycle de vie du développement logiciel, étendue par rapport au périmètre de la version bêta. Parce que l'agent Data Analyst interroge ce qui se trouve déjà dans GitLab, le contexte est toujours à jour, sans pipeline à maintenir ni outil tiers à synchroniser. Les requêtes générées en GitLab Query Language peuvent être copiées et utilisées partout où le Markdown GitLab est pris en charge, avec une exportation directe vers les éléments de travail et les tableaux de bord prévue dans la roadmap.

L'agent Data Analyst est disponible sur GitLab.com, Self-Managed et Dedicated, dans les éditions Free, Premium et Ultimate avec GitLab Duo Agent Platform activé.

Une plateforme unique, un contexte connecté

Les deux agents s'exécutent dans GitLab, avec accès au code, aux pipelines, aux tickets et aux merge requests déjà présents. C'est ce qui distingue une IA native à la plateforme d'un assistant déconnecté : le contexte est toujours à jour et ne fait que gagner en pertinence avec le temps. L'agent CI Expert et l'agent Data Analyst représentent deux avancées concrètes vers une plateforme où l'IA ne se contente pas de vous aider à écrire du code plus vite, mais vous aide à comprendre, livrer et maintenir ce qui est construit.

Commencer un essai gratuit de GitLab Duo Agent Platform pour découvrir ces agents IA fondamentaux.

Grâce à ce partenariat, GitLab Duo Agent Platform automatise l'orchestration du développement logiciel et la gestion du contexte du cycle de vie via son intégration à Vertex AI sur Google Cloud, qui alimente la couche de modèles pour les appels d'agents. Les équipes continuent de travailler sur les tickets, les merge requests, les pipelines et les workflows de sécurité, tandis que l'inférence suit la posture Google Cloud qu'elles ont déjà définie.

Les avancées des modèles Vertex AI de Google Cloud élargissent les possibilités d'utilisation de GitLab Duo Agent Platform pour les clients Google Cloud. Ces derniers bénéficient d'un plan de contrôle DevSecOps alimenté par l'IA dans GitLab, soutenu par une infrastructure d'IA en constante évolution dans Vertex AI, ainsi que par les options de déploiement et d'intégration flexibles de GitLab Duo Agent Platform. Cette combinaison permet des workflows agentiques plus performants et mieux gouvernés à l'échelle de l'entreprise.

Des agents qui interviennent tout au long du cycle de vie

De nombreux outils d'IA se concentrent sur une seule tâche : accélérer la génération de code. GitLab Duo Agent Platform va plus loin. La plateforme orchestre des agents d'IA sur l'ensemble du cycle de vie du développement logiciel (SDLC), de la planification à la livraison en passant par les contrôles de sécurité, et ce pour de nombreuses équipes travaillant sur de multiples projets et releases. À cette échelle, les assistants d'IA pour le code sont indispensables à l'innovation continue, mais ne suffisent pas à eux seuls.

Les assistants de codage à usage unique ont rarement une vision complète de l'état d'un projet. Le backlog, les merge requests en attente, les jobs en échec et les résultats de sécurité sont disponibles dans GitLab, mais une fenêtre de chat distincte dans un assistant de codage n'hérite pas de cette vue d'ensemble du SDLC. Ce manque se traduit par des transferts manuels, des explications répétées à une IA dépourvue de contexte, et des équipes de gouvernance qui tentent de cartographier les flux de données entre des outils qui n'ont jamais été conçus comme un système unifié.

GitLab Duo Agent Platform contribue à combler ce fossé en exécutant des agents et des flows sur les mêmes objets que ceux utilisés quotidiennement par les équipes d'ingénierie. Vertex AI fournit ensuite les modèles et services que ces agents sollicitent lorsque Google Cloud est votre environnement d'inférence de référence, la passerelle d'IA (AI-Gateway) de GitLab gérant les accès afin que les administrateurs disposent d'une cartographie claire des connexions. Par exemple, l'agent Planner analyse les backlogs, décompose les epics en tâches structurées et applique des frameworks de priorisation pour aider les équipes à décider de ce qu'elles doivent développer ensuite. L'agent Security Analyst trie les vulnérabilités, détaille les risques en langage clair et recommande des mesures correctives par ordre de priorité. Des flows intégrés connectent ces agents au sein de processus de bout en bout, sans que les équipes de développement aient à gérer chaque transfert manuellement.

Agentic Chat dans GitLab Duo Agent Platform offre une expérience unifiée pour les équipes de développement. Elles formulent des requêtes en langage naturel pour obtenir des réponses contextuelles basées sur un raisonnement multi-étapes qui s'appuie sur l'état complet d'un projet : ses tickets, ses merge requests, ses pipelines, ses résultats de sécurité et son code source. GitLab servant de système d'enregistrement pour le SDLC avec un modèle de données unifié, les agents GitLab Duo opèrent dans un contexte de cycle de vie qui échappe aux assistants d'IA autonomes et spécifiques à un outil.

Amplifiés par Vertex AI

GitLab Duo Agent Platform est conçue pour offrir une flexibilité en matière de modèles, car elle attribue différentes capacités à différents modèles en fonction de ceux qui offrent les meilleures performances pour une tâche donnée. Ce choix architectural porte ses fruits sur Google Cloud, où Vertex AI joue le rôle d'environnement géré pour les modèles de base et les services associés, et offre un vaste écosystème de modèles et une infrastructure gérée qui contribuent à repousser encore plus loin les capacités de la plateforme.

Les dernières générations de modèles d'IA disponibles via Vertex AI apportent des améliorations significatives en matière de raisonnement, d'utilisation des outils et de compréhension des contextes longs par rapport aux versions précédentes. Des propriétés sur lesquelles s'appuient les agents de GitLab sur de nombreux projets et équipes qui disposent de codes sources volumineux et complexes. Des fenêtres de contexte plus longues et une intégration plus riche des outils dans les modèles sous-jacents élargissent ce que les agents peuvent accomplir en une seule action, ce qui est particulièrement important pour des charges de travail telles que l'analyse approfondie du backlog ou le contrôle de sécurité d'un monorepo.

Vertex AI Model Garden, avec son accès à un large éventail de modèles de base, offre aux clients la flexibilité nécessaire pour effectuer ces choix en fonction des performances, des coûts et des exigences réglementaires, sans la contrainte d'un fournisseur unique.

Par ailleurs, les clients de GitLab peuvent utiliser la fonctionnalité Bring Your Own Model (BYOM) pour GitLab Duo Agent Platform, afin que les fournisseurs et les passerelles approuvés s'intègrent là où votre modèle de sécurité l'exige. L'article consacré à GitLab Duo Agent Platform Self-Hosted et BYOM décrit le fonctionnement de cette configuration. Grâce à cette option de déploiement, les clients accèdent à un plus large éventail d'options de modèles qu'ils peuvent adapter à leur processus de développement logiciel : le bon modèle pour le bon workflow, avec les bonnes mesures de protection.

Pour GitLab, la décision de s'appuyer sur Vertex AI a été motivée par le besoin d'une fiabilité de niveau entreprise et d'une gamme de modèles inégalée. Vertex AI et Model Garden prennent entièrement en charge les aspects les plus complexes de l'hébergement des grands modèles de langage (LLM), ce qui signifie que la livraison rapide de versions, la robustesse de la sécurité et la rigueur de la gouvernance sont intégrées de façon transparente dans l'intégration. Au-delà de l'offre de modèles Gemini, Vertex AI offre un accès mondial à faible latence à un vaste catalogue de modèles tiers et open source.

Combiné à l'approche de pointe de Google Cloud en matière de confidentialité des données et de protection des modèles, Vertex AI s'est imposé comme le choix évident pour alimenter l'expérience développeur nouvelle génération de GitLab.

En intégrant Vertex AI Model Garden à son backend, GitLab renforce considérablement sa plateforme DevSecOps sans en répercuter la complexité sur les utilisateurs. Les équipes de développement n'ont pas à évaluer ni à gérer les LLM sous-jacents ; elles bénéficient au contraire d'un workflow simplifié et assisté par l'IA pour construire leurs applications.

GitLab gère entièrement l'orchestration cloud et permet aux équipes de développement de se concentrer pleinement sur l'écriture d'un code de qualité, tandis que Vertex AI alimente les fonctionnalités qui les accompagnent.

Ce que cela signifie pour les clients Google Cloud

GitLab Duo Agent Platform fournit déjà des agents d'IA qui opèrent sur l'ensemble du cycle de vie logiciel au sein d'un système d'enregistrement unique et gouverné. Sur Google Cloud, la plateforme favorise une innovation rapide à mesure que Vertex AI continue de faire évoluer les couches de modèles et d'infrastructure.

Pour les clients Google Cloud, cette intégration se traduit par une livraison logicielle rationalisée avec une gouvernance d'entreprise stricte. Pour les équipes d'ingénierie de plateforme, cela signifie normaliser les modèles Vertex qui alimentent les suggestions, les analyses et les corrections dans GitLab, plutôt que de répertorier des dizaines d'outils côté client. Les programmes de sécurité en bénéficient lorsque les agents proposent et valident des correctifs au même endroit où les équipes trient déjà les résultats, ce qui réduit les changements de contexte et les tâches qui s'échapperaient autrement vers des canaux non gérés.

Du point de vue de l'économie et des politiques cloud, orienter l'inférence des agents vers Vertex depuis GitLab maintient l'utilisation à proximité des accords et contrôles déjà en place sur Google Cloud, ce qui contribue à éviter les dépenses redondantes et les chemins parallèles qui contournent les processus d'approvisionnement.

Vertex AI étant un fournisseur d'infrastructure sous-jacente de GitLab Duo Agent Platform, les organisations peuvent considérablement accroître la productivité de leurs équipes de développement sans les contraintes et les risques liés à la gestion de chaînes d'outils d'IA fragmentées. Les équipes restent alignées au sein d'un système d'enregistrement unique et sécurisé, ce qui leur permet de construire des applications plus rapidement et de livrer en toute confiance.

La collaboration entre GitLab et Google Cloud se construit depuis 2018. Aujourd'hui, elle représente l'une des collaborations les plus complètes pour les organisations qui souhaitent passer d'expérimentations en matière d'IA à un développement logiciel agentique entièrement gouverné sur Google Cloud. À mesure que les deux plateformes continuent d'évoluer, GitLab en élargissant son orchestration d'agents et son contexte développeur, et Vertex AI en repoussant les limites des capacités des modèles et de l'infrastructure des agents, la valeur ajoutée pour les clients communs ne cessera de croître.

Commencez un essai gratuit de GitLab Duo Agent Platform pour découvrir la puissance de GitLab et Vertex AI sur Google Cloud.

Cette année, l'évaluation se distingue pour une raison précise : Omdia a élargi ses critères d'évaluation et, pour la première fois, les outils de développement d'IA ont été notés sur leur capacité à couvrir l'ensemble du cycle de vie logiciel, et non plus uniquement le codage. Cette évolution reflète la direction prise par l'évolution de l'IA et a bouleversé le classement des fournisseurs.

Téléchargez le rapport complet Omdia Universe.

À propos d'Omdia Universe

Omdia Universe positionne les fournisseurs selon deux axes : la Capacité de la solution, ainsi que la Stratégie et l'exécution, en distinguant trois niveaux : Leaders (les plus performants sur les deux axes, recommandés pour toute liste de présélection), Challengers (périmètre fonctionnel plus restreint ou maturité moins avancée) et Prospects (fournisseurs en phase de démarrage ou à positionnement adjacent).

Ce qui a changé dans l'évaluation de cette année

L'élargissement des critères d'Omdia reflète une réalité à laquelle les professionnels sont déjà confrontés. Les outils de codage basés sur l'IA ont considérablement augmenté la productivité des équipes de développement, et des applications qui nécessitaient autrefois plusieurs semaines de développement peuvent désormais être prototypées en un temps record. Toutefois, cette accélération au stade du codage ne se traduit pas automatiquement par une livraison plus rapide. Les backlogs de revue s'allongent. Les résultats de sécurité s'accumulent. Les déploiements nécessitent toujours une coordination entre des équipes qui utilisent des outils qui n'ont pas été conçus pour fonctionner ensemble.

Omdia a ainsi mis en lumière cette dynamique : les outils qui se démarquent sont ceux qui gèrent les tests, la sécurité, le déploiement et l'orchestration, pas uniquement la génération de code. Ce constat a motivé la décision d'élargir les critères d'évaluation et a permis de distinguer les Leaders des Challengers.

L'autre évolution majeure de ce rapport concerne la manière dont Omdia a traité l'IA agentique. L'évaluation 2026 a pondéré les capacités agentiques comme une dimension d'évaluation actuelle, et non comme une considération future. Cela inclut la capacité d'une plateforme à coordonner plusieurs tâches de manière autonome, à orchestrer les transferts entre agents spécialisés et à accompagner les équipes à différents stades d'adoption de l'IA agentique.

Les scores de GitLab

GitLab a obtenu les meilleurs scores de sa catégorie dans trois domaines :

Étendue de la solution : 100 %. Couverture de l'ensemble du SDLC au sein d'une seule plateforme, de la planification et des exigences jusqu'au déploiement et à la gestion des tickets. Cela inclut des phases du cycle de vie que la plupart des outils d'IA pour le codage ne couvrent pas. Par exemple, des agents préconfigurés tels que l'agent Planner et l'agent Security Analyst étendent l'assistance d'IA à la planification de sprint, au classement des vulnérabilités et aux recommandations de remédiation : autant d'étapes du cycle de vie où la livraison se retrouve réellement bloquée.

Stratégie et innovation : 88 %. Différenciation grâce à une orchestration de bout en bout, une architecture axée sur la confidentialité sans entraînement sur les données privées, et une prise en charge multi-modèles via des partenariats avec Anthropic, Google et AWS. Les équipes peuvent sélectionner les modèles adaptés à leurs charges de travail et à leurs exigences en matière de données. L'approche de la plateforme en matière de contexte unifié, où les agents collaborent entre les tickets, les merge requests, les pipelines et les résultats de sécurité sans perdre l'état, illustre l'innovation architecturale reconnue par Omdia dans cette catégorie.

Fonctionnalités principales : 82 %. Ce score reflète une couverture approfondie des étapes du cycle de vie où les équipes d'ingénierie passent la majeure partie de leur temps. Le code est généré à partir du contexte en temps réel de l'IDE et du code source, testé selon les dimensions unitaire, d'intégration et de sécurité, et revu avec une priorisation intégrée. L'automatisation DevOps prend en charge le CI/CD, GitOps et l'analyse des causes profondes pour les échecs de pipeline. Le tableau de bord d'impact de l'IA offre aux équipes une visibilité mesurable sur les délais de cycle, la fréquence de déploiement et les domaines où l'IA fait réellement progresser la productivité des équipes.

GitLab a également obtenu une reconnaissance de premier plan pour ses Fonctionnalités avancées (80 %) et l'Exécution fournisseur (88 %).

L'évolution du rôle des développeurs et des agents d'IA

L'une des conclusions les plus significatives du rapport d'Omdia porte sur l'évolution du rôle du développeur logiciel aux côtés de ces outils. Les équipes de développement sont de plus en plus composées d'ingénieurs en IA et de leurs agents d'IA, les ingénieurs assurant la supervision et la direction de l'IA agentique. Étant donné que l'IA génère la majeure partie du code, le rôle des équipes se déplace désormais vers la vérification du respect des exigences technologiques, le contrôle de la qualité, la mise en place de garde-fous appropriés, la conception de pipelines de production autonomes et la médiation entre les objectifs métier et l'utilisation de l'IA agentique tout au long du cycle de développement logiciel.

Cette évolution a des implications sur la façon dont les organisations évaluent leurs investissements en matière d'IA. Une équipe qui a automatisé la génération de code mais qui gère encore manuellement la revue, les tests et le déploiement n'a pas encore véritablement accéléré son innovation logicielle. Le gain de productivité lié à un codage plus rapide s'amplifie lorsque le reste du cycle de vie peut suivre le rythme. Il se réduit dans le cas contraire, et les goulots d'étranglement se déplacent en aval.

La conformité aux exigences des entreprises comme prérequis

Un point notable dans la manière dont Omdia a structuré son évaluation cette année : les contrôles et les garde-fous d'entreprise ne constituent plus une catégorie bonus. Les certifications de conformité, la flexibilité de déploiement et l'architecture axée sur la confidentialité sont désormais des attentes de base pour les plateformes classées Leader, et non des caractéristiques distinctives. Les organisations des secteurs réglementés et celles soumises à des exigences de souveraineté des données considèrent désormais ces facteurs comme des critères d'entrée.

La position de GitLab sur ces aspects met en évidence sa différenciation unique sur le marché : une plateforme certifiée SOC 2 et ISO 27001, une conception axée sur la confidentialité sans entraînement sur les données privées des clients pour ses capacités d'IA agentique, une prise en charge du déploiement auto-géré dans le cloud et sur site (y compris les environnements air-gapped), ainsi qu'une prise en charge des modèles d'IA auto-hébergés. Sa mise à disposition sous forme d'application SaaS monolocataire via GitLab Dedicated, avec l'autorisation FedRAMP Moderate via GitLab Dedicated for Government, renforce son leadership en matière de flexibilité de déploiement.

Le rapport d'Omdia a reconnu ces éléments non pas comme une liste de fonctionnalités, mais comme la preuve de la maturité de la plateforme pour les organisations où le niveau d'exigence en matière de conformité est le plus élevé : services financiers, secteur public, santé et autres secteurs réglementés qui ne peuvent faire aucun compromis sur la résidence des données ou l'auditabilité.

Évaluez votre niveau de maturité en matière de développement logiciel

Pour les équipes qui évaluent activement leur stratégie de développement avec l'IA, la recommandation d'Omdia est claire : GitLab doit figurer en tête de liste.

Pour la plupart des responsables techniques, la vraie question n'est pas de savoir quel outil d'IA génère le meilleur code, mais si le code généré peut être mis en production avec le plus haut niveau de qualité, de sécurité et de performance. Ce code doit être compris, gouverné et maintenu par les équipes logicielles qui en sont responsables. Avec GitLab, la vitesse de codage se traduit par une accélération de l'innovation.

Si vous souhaitez évaluer la maturité de votre organisation en matière de bonnes pratiques et d'évolution du développement logiciel, passez notre test et obtenez votre score personnalisé sur les thématiques suivantes : IA, DevOps et Sécurité.

Téléchargez le rapport complet Omdia Universe.

Dans ce guide, nous explorons les différents types d'analyse de conteneurs proposés par GitLab, vous expliquons comment les activer et vous partageons les configurations les plus courantes pour bien démarrer.

Qu'est-ce que l'analyse des conteneurs ?

Les vulnérabilités de sécurité présentes dans les images de conteneurs constituent un risque tout au long du cycle de vie applicatif. Les images de base, les paquets de systèmes d'exploitation et les dépendances applicatives peuvent tous receler des vulnérabilités activement exploitées par des attaquants. L'analyse des conteneurs permet de détecter ces risques en amont, avant qu'ils n'atteignent l'environnement de production, et propose des pistes de remédiation le cas échéant.

L'analyse des conteneurs est un élément essentiel de l'analyse de la composition logicielle (SCA), qui vous aide à comprendre et à sécuriser les dépendances externes dont vos applications conteneurisées dépendent.

5 types d'analyses de conteneurs dans GitLab

GitLab propose cinq approches distinctes d'analyse de conteneurs, chacune répondant à un objectif précis dans votre stratégie de sécurité.

1. Analyse des conteneurs dans le pipeline

• Fonctionnement : analyse les images de conteneurs lors de l'exécution du pipeline CI/CD afin de détecter les vulnérabilités avant le déploiement
• Cas d'utilisation idéal : contrôles de sécurité en amont (shift-left) pour bloquer les images vulnérables avant qu'elles n'atteignent la production
• Disponibilité : version gratuite de GitLab, GitLab Premium et GitLab Ultimate (avec des fonctionnalités supplémentaires dans GitLab Ultimate)
• Documentation

GitLab utilise le scanner de sécurité Trivy pour analyser les images de conteneurs et rechercher de vulnérabilités connues. Lors de l'exécution du pipeline, le scanner examine vos images et génère un rapport détaillé.

Activer l'analyse des conteneurs dans le pipeline

Option A : merge request préconfigurée

• Accédez à Sécurisation > Configuration de la sécurité dans votre projet.
• Repérez la ligne « Analyse de conteneurs ».
• Sélectionnez Configurer avec une merge request.
• Une merge request intégrant la configuration nécessaire est automatiquement créée.

Option B : configuration manuelle

• Ajoutez le contenu suivant à votre fichier .gitlab-ci.yml :

include:
  - template: Jobs/Container-Scanning.gitlab-ci.yml

Configurations courantes

Analyser une image spécifique :

Pour analyser une image spécifique, remplacez la variable CS_IMAGE dans le job container_scanning.

include:
  - template: Jobs/Container-Scanning.gitlab-ci.yml

container_scanning:
  variables:
    CS_IMAGE: myregistry.com/myapp:latest

Filtrer par seuil de gravité :

Pour n'afficher que les vulnérabilités dépassant un certain niveau de gravité, remplacez la variable CS_SEVERITY_THRESHOLD dans le job container_scanning. Dans l'exemple ci-dessous, seules les vulnérabilités d'un niveau de gravité Élevé ou supérieur seront affichées.

include:
  - template: Jobs/Container-Scanning.gitlab-ci.yml

container_scanning:
  variables:
    CS_SEVERITY_THRESHOLD: "HIGH"

Consulter les vulnérabilités dans une merge request

L'affichage direct des vulnérabilités détectées par l'analyse des conteneurs au sein des merge requests rend les revues de sécurité plus fluides et plus efficaces. Une fois l'analyse des conteneurs configurée dans votre pipeline CI/CD, GitLab affiche automatiquement les vulnérabilités détectées dans le widget Sécurité de la merge request.

• Accédez à n'importe quelle merge request et faites défiler jusqu'à la section « Analyse de sécurité » pour obtenir un résumé des vulnérabilités nouvellement introduites et existantes détectées dans vos images de conteneurs.
• Cliquez sur une vulnérabilité pour accéder à des informations détaillées, notamment le niveau de gravité, les paquets affectés et les recommandations de remédiation disponibles.

Cette visibilité permet aux équipes de développement et de sécurité de détecter et de traiter les vulnérabilités des conteneurs avant qu'elles n'atteignent la production : la sécurité devient une composante à part entière du processus de revue de code plutôt qu'un contrôle distinct.

Consulter les vulnérabilités dans le rapport de vulnérabilités

Au-delà des revues dans les merge requests, GitLab met à disposition un rapport de vulnérabilités centralisé, qui offre aux équipes de sécurité une visibilité complète sur l'ensemble des résultats de l'analyse des conteneurs dans votre projet.

• Accédez à ce rapport via Sécurité et conformité > Rapport de vulnérabilités dans la barre latérale de votre projet.
• Vous y trouverez une vue agrégée de toutes les vulnérabilités de conteneurs détectées dans vos branches, avec des options de filtrage permettant de trier les vulnérabilités par gravité, statut, type de scanner ou image de conteneur spécifique.
• Cliquez sur une vulnérabilité pour accéder à sa page dédiée.

Les détails de la vulnérabilité indiquent précisément les images et couches de conteneurs concernées pour faciliter la traçabilité jusqu'à la source du problème. Vous pouvez assigner des vulnérabilités à des membres de l'équipe, modifier leur statut (détectée, confirmée, résolue, rejetée), ajouter des commentaires pour faciliter la collaboration et associer des tickets connexes pour suivre la remédiation.

Ce workflow transforme la gestion des vulnérabilités, autrefois cantonnée à des tableurs, en une composante intégrée de votre processus de développement, garantissant que les résultats de sécurité des conteneurs sont suivis, priorisés et résolus de manière systématique.

Consulter la liste des dépendances

La liste des dépendances de GitLab fournit une nomenclature logicielle complète (SBOM) qui répertorie chaque composant de vos images de conteneurs afin d'offrir une transparence totale sur votre chaîne d'approvisionnement logicielle.

• Accédez à Sécurité et conformité > Liste des dépendances pour consulter l'inventaire de tous les paquets, bibliothèques et dépendances détectés par l'analyse des conteneurs dans votre projet.
• Cet affichage répertorie les éléments qui s'exécutent réellement dans vos conteneurs, des paquets du système d'exploitation de base aux dépendances applicatives.

Vous pouvez filtrer la liste par gestionnaire de paquets, type de licence ou statut de vulnérabilité afin d'identifier rapidement les composants qui présentent des risques de sécurité ou des problèmes de conformité. Chaque entrée de dépendance affiche les vulnérabilités associées pour traiter les problèmes de sécurité dans le contexte des composants logiciels réels, plutôt que comme des résultats isolés.

2. Analyse des conteneurs pour le registre

• Fonctionnement : analyse automatiquement les images envoyées vers le registre de conteneurs de GitLab (GitLab Container Registry) avec le tag latest
• Cas d'utilisation idéal : surveillance continue des images du registre, sans déclenchement manuel du pipeline
• Disponibilité : GitLab Ultimate uniquement
• Documentation

Lorsque vous effectuez un push d'une image de conteneur avec le tag latest, le bot de politique de sécurité de GitLab déclenche automatiquement une analyse sur la branche par défaut. Contrairement à l'analyse dans le pipeline, cette approche fonctionne conjointement avec l'analyse continue des vulnérabilités pour surveiller les nouveaux avis de sécurité publiés.

Activer l'analyse des conteneurs pour le registre

1. Accédez à Sécurisation > Configuration de la sécurité.
2. Faites défiler jusqu'à la section Analyse des conteneurs pour le registre.
3. Activez la fonctionnalité.

Prérequis

• Rôle de Chargé de maintenance ou supérieur dans le projet
• Le projet ne doit pas être vide (au moins un commit sur la branche par défaut est requis)
• Les notifications du registre de conteneurs doivent être configurées
• La base de données de métadonnées des paquets doit être configurée (activée par défaut sur GitLab.com)

Les vulnérabilités apparaissent sous l'onglet Vulnérabilités du registre de conteneurs dans votre rapport de vulnérabilités.

3. Analyse multi-conteneurs

• Fonctionnement : analyse plusieurs images de conteneurs en parallèle au sein d'un même pipeline
• Cas d'utilisation idéal : architectures de microservices et projets avec plusieurs images de conteneurs
• Disponibilité : version gratuite de GitLab, GitLab Premium et GitLab Ultimate (actuellement en version bêta)
• Documentation

L'analyse multi-conteneurs utilise des pipelines enfants dynamiques pour exécuter des analyses simultanées afin de réduire considérablement le temps d'exécution global du pipeline lorsque plusieurs images doivent être analysées.

Activer l'analyse multi-conteneurs

1. Créez un fichier .gitlab-multi-image.yml à la racine de votre dépôt :

scanTargets:
  - name: alpine
    tag: "3.19"
  - name: python
    tag: "3.9-slim"
  - name: nginx
    tag: "1.25"

2. Incluez le template dans votre fichier .gitlab-ci.yml :

include:
  - template: Jobs/Multi-Container-Scanning.latest.gitlab-ci.yml

Configuration avancée

Analyser des images depuis des registres privés :

auths:
  registry.gitlab.com:
    username: ${CI_REGISTRY_USER}
    password: ${CI_REGISTRY_PASSWORD}

scanTargets:
  - name: registry.gitlab.com/private/image
    tag: latest

Inclure les informations de licence :

includeLicenses: true

scanTargets:
  - name: postgres
    tag: "15-alpine"

4. Analyse continue des vulnérabilités

• Fonctionnement : crée automatiquement des vulnérabilités lors de la publication de nouveaux avis de sécurité, sans nécessiter l'exécution de pipeline
• Cas d'utilisation idéal : surveillance proactive de la sécurité entre les déploiements
• Disponibilité : GitLab Ultimate uniquement
• Documentation

L'analyse traditionnelle ne détecte les vulnérabilités qu'au moment où elle est effectuée. Mais que se passe-t-il lorsqu'une nouvelle vulnérabilité et exposition commune (CVE) est publiée le lendemain pour un paquet analysé la veille ? L'analyse continue des vulnérabilités résout ce problème en surveillant la base de données d'avis de GitLab et en enregistrant automatiquement les vulnérabilités lorsque de nouveaux avis affectent vos composants.

Fonctionnement

1. Votre job d'analyse des conteneurs ou d'analyse des dépendances génère une SBOM CycloneDX.
2. GitLab enregistre les composants de votre projet à partir de cette SBOM.
3. Lors de la publication de nouveaux avis, GitLab vérifie si vos composants sont concernés.
4. Les vulnérabilités sont automatiquement créées dans votre rapport de vulnérabilités.

Points importants

• Les analyses s'exécutent via des jobs en arrière-plan (Sidekiq), et non via des pipelines CI.
• Seules les alertes publiées au cours des 14 derniers jours sont prises en compte pour la détection de nouveaux composants.
• Les vulnérabilités utilisent « GitLab SBoM Vulnerability Scanner » comme nom de scanner.
• Pour marquer des vulnérabilités comme résolues, vous devez toujours exécuter une analyse basée sur un pipeline.

5. Analyse opérationnelle des conteneurs

• Fonctionnement : analyse les conteneurs en cours d'exécution dans votre cluster Kubernetes selon une cadence planifiée
• Cas d'utilisation idéal : surveillance de la sécurité après déploiement et détection des vulnérabilités au moment de l'exécution
• Disponibilité : GitLab Ultimate uniquement
• Documentation

L'analyse opérationnelle des conteneurs comble l'écart entre la sécurité au moment du build et la sécurité à l'exécution. Grâce à l'agent GitLab pour Kubernetes, cette approche analyse les conteneurs réellement en cours d'exécution dans vos clusters pour détecter les vulnérabilités qui apparaissent après le déploiement.

Activer l'analyse opérationnelle des conteneurs

Si vous utilisez l'agent GitLab pour Kubernetes, vous pouvez ajouter le contenu suivant à votre fichier de configuration de l'agent :

container_scanning:
  cadence: '0 0 * * *'  # Daily at midnight
  vulnerability_report:
    namespaces:
      include:
        - production
        - staging

Vous pouvez également créer une politique d'exécution des analyses qui impose une analyse selon un planning défini par l'agent GitLab pour Kubernetes.

Consulter les résultats

• Accédez à Opération > Clusters Kubernetes.
• Sélectionnez l'onglet Agent et choisissez votre agent.
• Sélectionnez ensuite l'onglet Sécurité pour consulter les vulnérabilités du cluster.
• Les résultats apparaissent également sous l'onglet Vulnérabilités opérationnelles dans le rapport de vulnérabilités.

Renforcer la posture de sécurité avec les politiques de sécurité de GitLab

Les politiques de sécurité de GitLab vous permettent d'appliquer des normes de sécurité cohérentes dans l'ensemble de vos workflows de conteneurs, grâce à des contrôles automatisés pilotés par des politiques. Ces politiques intègrent la sécurité en amont en intégrant les exigences directement dans votre pipeline de développement afin de garantir que les vulnérabilités sont détectées et traitées avant que le code n'atteigne l'environnement de production.

Politiques d'exécution des scans et des pipelines

Les politiques d'exécution des scans automatisent le moment et la manière dont l'analyse des conteneurs s'exécute dans vos projets. Définissez des politiques qui déclenchent des analyses de conteneurs sur chaque merge request, planifiez des analyses récurrentes de votre branche principale, et plus encore. Ces politiques assurent une couverture complète sans que les équipes de développement aient à configurer manuellement l'analyse dans le pipeline CI/CD de chaque projet.

Vous pouvez préciser les versions de scanner à utiliser et configurer les paramètres de scan de manière centralisée pour garantir la cohérence dans toute votre organisation tout en vous adaptant aux nouvelles menaces qui pèsent sur la sécurité des conteneurs.

Les politiques d'exécution des pipelines offrent des contrôles flexibles pour injecter (ou remplacer) des jobs personnalisés dans un pipeline en fonction de vos besoins en matière de conformité.

Ces politiques permettent d'injecter automatiquement des jobs d'analyse des conteneurs dans votre pipeline, de faire échouer les builds lorsque les vulnérabilités de conteneurs dépassent votre seuil de tolérance au risque, de déclencher des contrôles de sécurité supplémentaires pour des branches ou des tags spécifiques, ou encore d'imposer des exigences de conformité pour les images de conteneurs destinées aux environnements de production. Les politiques d'exécution des pipelines agissent comme des garde-fous automatisés pour appliquer vos normes de sécurité de manière cohérente dans l'ensemble de vos déploiements de conteneurs, sans intervention manuelle.

Politiques d'approbation des merge requests

Les politiques d'approbation des merge requests imposent des contrôles de sécurité : les approbateurs désignés examinent et valident les merge requests contenant des vulnérabilités de conteneurs.

Configurez des politiques qui bloquent le merge lorsque des vulnérabilités de gravité critique ou élevée sont détectées, ou qui exigent l'approbation de l'équipe de sécurité pour toute merge request introduisant de nouveaux résultats liés aux conteneurs. Ces politiques empêchent les images de conteneurs vulnérables de progresser dans votre pipeline tout en préservant la vélocité de développement pour les changements à faible risque.

Choisir la bonne approche

Pour une approche complète en matière de sécurité, combinez plusieurs approches : l'analyse dans le pipeline pour détecter les problèmes pendant le développement, l'analyse des conteneurs pour le registre afin d'assurer une surveillance continue et l'analyse opérationnelle pour la visibilité en production.

Lancez-vous dès aujourd'hui

Activez l'analyse dans le pipeline pour commencer à appliquer des mesures de sécurité dans les conteneurs :

1. Accédez à Sécurisation > Configuration de la sécurité dans votre projet.
2. Cliquez sur Configurer avec une merge request pour lancer l'analyse des conteneurs.
3. Fusionnez la merge request.
4. Votre prochain pipeline inclura l'analyse des vulnérabilités.

Ajoutez ensuite des analyses supplémentaires en fonction de vos exigences de sécurité et de votre abonnement GitLab.

La sécurité des conteneurs n'est pas une tâche ponctuelle, mais un processus continu. Grâce aux capacités complètes d'analyse des conteneurs de GitLab, vous pouvez détecter les vulnérabilités à chaque étape du cycle de vie de vos conteneurs, du build à l'exécution.

Pour en savoir plus sur la façon dont GitLab peut contribuer à renforcer votre posture de sécurité, consultez la page sur les solutions de sécurité et de gouvernance de GitLab.

En l'espace de 12 jours, quatre attaques distinctes de la chaîne d'approvisionnement ont démontré que les pipelines d'intégration et de déploiement continus (CI/CD) sont devenus une cible de choix pour les acteurs malveillants les plus sophistiqués.

Entre le 19 et le 31 mars 2026, des acteurs malveillants ont compromis :

• Un scanner de sécurité open source (Trivy)
• Un scanner de sécurité d'Infrastructure as Code (IaC) (Checkmarx KICS)
• Une passerelle de modèles d'IA (LiteLLM)
• Un client HTTP JavaScript (axios)

Chaque attaque ciblait la même surface : le pipeline de build. Cet article décrit les faits, pourquoi les pipelines peuvent être particulièrement vulnérables, et comment l'application centralisée de politiques avec GitLab, grâce aux politiques décrites ci-dessous, peut bloquer, détecter et contenir ces catégories d'attaques avant qu'elles n'atteignent l'environnement de production.

Des outils adoptés par des millions d'utilisateurs, compromis en quelques minutes

Voici la chronologie des attaques de la chaîne d'approvisionnement :

19 mars : le scanner de sécurité Trivy devient un vecteur d'attaque

Trivy est l'un des scanners de vulnérabilités open source les plus utilisés au monde. C'est l'outil que les équipes exécutent à l'intérieur de leurs pipelines pour détecter les vulnérabilités.

Le 19 mars, un groupe d'acteurs malveillants connu sous le nom de TeamPCP a utilisé des identifiants compromis pour forcer le push de code malveillant dans 76 des 77 tags de version de l'action GitHub aquasecurity/trivy-action et dans les 7 tags de aquasecurity/setup-trivy. Simultanément, le groupe a publié un binaire Trivy trojanisé (v0.69.4) sur les canaux de distribution officiels. La charge utile était un logiciel malveillant destiné au vol d'identifiants qui collectait les variables d'environnement, les jetons cloud, les clés SSH et les secrets CI/CD de chaque pipeline exécutant un scan Trivy.

L'incident a été référencé sous le CVE-2026-33634 avec un score Common Vulnerability Scoring System (CVSS) de 9,4. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) l'a ajouté au catalogue des vulnérabilités exploitées connues en l'espace de quelques jours.

23 mars : Checkmarx KICS tombe à son tour

À l'aide d'identifiants volés, le groupe TeamPCP s'est tourné vers le projet open source KICS (Keeping Infrastructure as Code Secure) de Checkmarx. Il a compromis les actions GitHub ast-github-action et kics-github-action, en injectant le même logiciel malveillant de vol d'identifiants. Le 23 mars, entre 12 h 58 et 16 h 50 UTC, tout pipeline CI/CD référençant ces actions exfiltrait silencieusement des données sensibles telles que des clés API, des mots de passe de bases de données, des jetons d'accès cloud, des clés SSH et des identifiants de comptes de service.

24 mars : LiteLLM compromis via des identifiants Trivy volés

LiteLLM, un proxy d'API LLM totalisant 95 millions de téléchargements mensuels, a été la cible suivante. Le groupe TeamPCP a publié des versions avec des portes dérobées (1.82.7 et 1.82.8) sur PyPI à l'aide d'identifiants collectés depuis le propre pipeline CI/CD de LiteLLM, qui utilisait Trivy pour le scan.

Le logiciel malveillant ciblant la version 1.82.7 utilisait une charge utile encodée en base64, injectée directement dans litellm/proxy/proxy_server.py, qui s'exécutait au moment de l'importation. Celui ciblant la version 1.82.8 utilisait un fichier .pth, un mécanisme Python qui s'exécute automatiquement au démarrage de l'interpréteur. La simple installation de LiteLLM suffisait à déclencher la charge utile. Les attaquants chiffraient les données volées (clés SSH, jetons cloud, fichiers .env, portefeuilles de cryptomonnaie) et les exfiltraient vers models.litellm.cloud, un domaine à l'apparence légitime.

31 mars : le code source d'un assistant de codage d'IA divulgué par une simple erreur d'empaquetage

Alors que l'attaque du groupe TeamPCP était encore en cours, un éditeur de logiciels a publié un paquet npm contenant un fichier de cartes de source de 59,8 Mo, qui référençait le code source TypeScript complet et non minifié de son assistant de codage d'IA, hébergé dans son propre compartiment Cloudflare R2.

La fuite a exposé 1 900 fichiers TypeScript, plus de 512 000 lignes de code, 44 feature flags cachés, des noms de code de modèles non publiés, ainsi que le prompt système complet, à la vue de tous ceux qui savaient où chercher. Comme l'a expliqué l'ingénieur Gabriel Anhaia : « Un seul fichier .npmignore ou champ files mal configuré dans package.json peut tout exposer. »

31 mars : axios et un autre cheval de Troie dans la chaîne d'approvisionnement

Le même jour, une attaque sophistiquée a ciblé le paquet npm axios, un client HTTP JavaScript qui totalise plus de 100 millions de téléchargements hebdomadaires.

Un compte de chargé de maintenance compromis a publié des versions avec des portes dérobées (1.14.1 et 0.30.4). Elles injectaient une dépendance malveillante (plain-crypto-js@4.2.1) qui déployait un cheval de Troie d'accès à distance (RAT) capable de fonctionner sur macOS, Windows et Linux. Les deux branches de release ont été touchées en 39 minutes, et le logiciel malveillant était conçu pour s'autodétruire après exécution.

Les schémas derrière ces attaques

À travers ces cinq incidents, trois schémas d'attaque distincts se dégagent, et tous exploitent la confiance implicite que les pipelines CI/CD accordent à leurs données d'entrée.

Schéma 1 : outils et actions compromis

La série d'attaques du groupe TeamPCP a exploité une hypothèse fondamentale : celle selon laquelle les outils de sécurité exécutés à l'intérieur de votre pipeline sont eux-mêmes dignes de confiance. Lorsqu'un tag d'action GitHub ou une version de paquet PyPI recèle du code malveillant, le pipeline l'exécute avec un accès complet aux secrets de l'environnement, aux identifiants cloud et aux jetons de déploiement. Il n'y a aucune étape de vérification, car le pipeline fait confiance au tag.

Contrôle recommandé au niveau du pipeline : épinglez les outils et actions sur des références immuables (SHA de commit ou empreintes d'image) plutôt que sur des tags de version mutables. Lorsque l'épinglage n'est pas envisageable, vérifiez l'intégrité des outils et des dépendances par rapport à des sommes de contrôle ou des signatures. Bloquez l'exécution en cas d'échec de la vérification.

Schéma 2 : erreurs de configuration de l'empaquetage qui exposent la propriété intellectuelle

Un pipeline de build mal configuré a inclus des artefacts de débogage directement dans le paquet de production. Un fichier .npmignore ou un champ files mal configuré dans package.json suffit. Une étape de validation pré-publication devrait systématiquement détecter ce type d'erreur.

Contrôle recommandé au niveau du pipeline : avant toute publication de paquet, exécutez des vérifications automatisées qui valident le contenu du paquet par rapport à une liste d'autorisation, signalent les fichiers inattendus (cartes de source, configurations internes, fichiers .env) et bloquent l'étape de publication en cas d'échec.

Schéma 3 : vulnérabilités dans les dépendances transitives

L'attaque axios ne ciblait pas uniquement les utilisateurs directs d'axios, mais toute personne dont l'arbre de dépendances utilisait la version compromise. Une seule dépendance compromise dans un fichier de verrouillage (« lockfile ») peut ainsi se propager à travers l'ensemble de l'infrastructure de build d'une organisation.

Contrôle recommandé au niveau du pipeline : comparez les sommes de contrôle des dépendances avec l'état connu du fichier de verrouillage. Détectez les nouvelles dépendances inattendues ou les changements de version. Bloquez les builds qui introduisent des paquets non vérifiés.

Comment les politiques d'exécution des pipelines de GitLab répondent à chaque modèle d'attaque

Les politiques d'exécution des pipelines de GitLab (PEP) permettent aux équipes de sécurité et de plateforme d'injecter des jobs CI/CD obligatoires dans chaque pipeline à l'échelle d'une organisation, quel que soit le contenu défini par un développeur dans son fichier .gitlab-ci.yml. Les jobs définis dans les PEP ne peuvent pas être ignorés, même avec les directives [skip ci] ou [no_pipeline]. Les jobs peuvent être exécutés dans des étapes réservées (.pipeline-policy-pre et .pipeline-policy-post) qui encadrent le pipeline du développeur.

Nous avons publié des politiques d'exécution des pipelines prêtes à l'emploi pour les trois modèles sous forme de projet open source : politiques des chaînes d'approvisionnement. Ces politiques sont déployables de manière indépendante, et chacune est livrée avec des exemples de violations que vous pouvez utiliser pour les tester. Voici comment chacune fonctionne.

Cas d'utilisation 1 : prévenir les expositions accidentelles lors de la publication de paquets

Problème : un fichier de cartes de source s'est retrouvé dans le paquet npm d'un outil de codage alimenté par l'IA parce que le pipeline de build n'avait pas exécuté de validation au moment de la publication.

Approche PEP : nous avons créé une politique d'exécution des pipelines open source spécialement conçue pour cette catégorie d'erreurs : maintien de la qualité de l'artefact.

La politique injecte des jobs .pipeline-policy-pre qui détectent automatiquement le type d'artefact (paquet npm, image Docker ou chart Helm) et inspectent le contenu avant l'exécution de toute étape de publication. Pour les paquets npm, elle effectue trois vérifications :

1. Liste de blocage des motifs de fichiers. Analyse les données de sortie du paquet npm à la recherche de cartes de source (.map), répertoires de tests, fichiers de configuration de build, paramètres IDE et répertoires src/.
2. Contrôle de la taille du paquet. Bloque les paquets dépassant 50 Mo, comme le paquet de 59,8 Mo qui a provoqué la fuite de l'outil d'IA.
3. Analyse sourceMappingURL. Détecte les URL externes (le schéma du bucket R2 qui a exposé le code source d'un éditeur majeur d'IA) et les données inline : URI et références à des fichiers locaux intégrés dans les paquets JavaScript.

Lorsque des violations sont détectées, le pipeline échoue avec un rapport clair dans les logs du job CI en échec :

=============================================
FAILED: 3 violation(s) found
=============================================
BLOCKED: dist/index.js.map (matched: \.map$)
BLOCKED: dist/index.js contains external sourceMappingURL
BLOCKED: dist/utils.js contains inline sourceMappingURL

This check is enforced by a Pipeline Execution Policy. If this is a false positive, contact the security team to update the policy project or exclude this project.

La politique ne comporte aucune variable CI configurable par l'utilisateur. Les développeurs ne peuvent ni la désactiver ni la contourner. Les exceptions sont gérées par l'équipe de sécurité au niveau de la politique afin de garantir un processus délibéré et une piste d'audit complète.

Le dépôt inclut un projet de test avec des violations intentionnelles (examples/leaky-npm-package/) pour que vous puissiez voir la politique en action avant de la déployer dans votre organisation. Le fichier README comprend un guide de démarrage rapide complet pour la mise en place et le déploiement.

Ce que cette politique détecte : n'importe lequel de ces contrôles aurait probablement empêché la fuite du code source de l'éditeur d'IA :

• Le fichier de cartes de source déclenche la liste de blocage des motifs de fichiers.
• Sa taille de 59,8 Mo déclenche le contrôle de taille.
• Le sourceMappingURL pointant vers un bucket R2 externe déclenche l'analyse d'URL.

Cas d'utilisation 2 : détecter la falsification de dépendances et la manipulation de fichiers de verrouillage

Problème : l'attaque axios a introduit une dépendance transitive malveillante (plain-crypto-js) qui exécutait un RAT à l'installation. Toute personne ayant exécuté un script npm install pendant la fenêtre de compromission a récupéré le cheval de Troie.

Approche PEP : la politique d'intégrité des dépendances injecte des jobs .pipeline-policy-pre qui détectent automatiquement l'écosystème de paquets (npm ou Python) et effectuent trois vérifications :

Pour les projets npm (déclenchés par package-lock.json, yarn.lock ou pnpm-lock.yaml) :

1. Intégrité du fichier de verrouillage. Exécute npm ci --ignore-scripts, qui échoue si node_modules diffère de ce que spécifie le fichier de verrouillage. Cette vérification permet de détecter les cas où package.json a été mis à jour sans régénérer le fichier de verrouillage, et vérifie également les hashes d'intégrité SRI.
2. Analyse des paquets bloqués. Croise l'arbre complet de dépendances du fichier de verrouillage avec blocked-packages.yml, une liste maintenue par GitLab des versions de paquets connues comme compromises. La liste de blocage fournie inclut axios@1.14.1, axios@0.30.4 et plain-crypto-js@4.2.1.
3. Détection des dépendances non déclarées. Après l'installation, compare le contenu de node_modules avec le fichier de verrouillage. Tout paquet présent sur le disque mais absent du fichier de verrouillage indique une falsification (par exemple, un script postinstall compromis qui récupère des paquets supplémentaires).

Pour les projets Python (déclenchés par requirements.txt, Pipfile.lock, poetry.lock ou uv.lock) :

1. Intégrité du fichier de verrouillage. Installe dans un environnement virtuel isolé et vérifie que l'installation réussit à partir du fichier de verrouillage.
2. Analyse des paquets bloqués. Même approche de liste de blocage. La liste fournie inclut litellm==1.82.7 et litellm==1.82.8.
3. Détection des fichiers .pth. Analyse les site-packages à la recherche de fichiers .pth contenant des motifs de code exécutable (import os, exec(, eval(, __import__, subprocess, socket). C'est exactement le mécanisme qu'utilisait la porte dérobée de LiteLLM.

Lorsqu'une violation est détectée :

=============================================
FAILED: 1 violation(s) found
=============================================
BLOCKED: axios@1.14.1 is a known-compromised package

This check is enforced by a Pipeline Execution Policy.

La politique fonctionne en mode strict : toute dépendance absente du fichier de verrouillage validé bloque le pipeline. Si un développeur doit ajouter une dépendance, il effectue un commit du fichier de verrouillage mis à jour. La politique vérifie que la version installée correspond à la version validée. Si un élément apparaît sans avoir été validé (par exemple, une dépendance transitive injectée via un paquet amont compromis), le pipeline est bloqué.

Ce que cette politique détecte : l'introduction de plain-crypto-js en tant que nouvelle dépendance inédite serait signalée par la vérification des dépendances non déclarées. La version axios@1.14.1 serait interceptée par l'analyse des paquets bloqués. Le fichier .pth de LiteLLM serait détecté par la vérification des fichiers .pth. Chaque attaque présente au moins un, et souvent deux, signaux de détection indépendants.

Cas d'utilisation 3 : détecter et bloquer les outils compromis avant leur exécution

Problème : le groupe TeamPCP a remplacé les tags des actions GitHub Trivy et Checkmarx de confiance par des versions malveillantes. Tout pipeline référençant ces tags exécutait un logiciel malveillant de vol d'identifiants.

Approche PEP : la politique d'intégrité des outils injecte un job .pipeline-policy-pre qui interroge l'API CI Lint de GitLab (ou se rabat sur l'évaluation de .gitlab-ci.yml), extrait les références d'images de conteneurs et les compare à une liste d'images approuvées maintenue par l'équipe de sécurité.

La liste d'autorisation (approved-images.yml) prend en charge trois contrôles par image :

Dépôts approuvés : seules les images provenant de dépôts figurant sur la liste sont autorisées. Un dépôt inconnu bloque le pipeline.

Tags autorisés : seuls des tags spécifiques sont autorisés au sein d'un dépôt approuvé. Cela empêche la dérive vers des versions non testées.

Tags bloqués : les versions connues comme compromises peuvent être explicitement bloquées, même si le dépôt est approuvé. La liste d'autorisation fournie bloque les versions aquasec/trivy:0.69.4 à 0.69.6, les versions exactes trojanisées par TeamPCP.

Lorsqu'une violation est détectée, le pipeline échoue avant l'exécution de tout autre job :

=============================================
FAILED: 1 violation(s) found
=============================================
BLOCKED: aquasec/trivy:0.69.4 (job: trivy-scan)

 - tag '0.69.4' is known-compromised

This check is enforced by a Pipeline Execution Policy.

La liste d'autorisation est maintenue via des merge requests sur le projet de politique. Pour ajouter une nouvelle image approuvée, l'équipe de sécurité ouvre une merge request. Pour réagir à une nouvelle compromission, elle ajoute un tag bloqué. Aucune modification de code n'est nécessaire : uniquement du YAML.

Ce que cette politique détecte : lorsque des images avec des tags non approuvés sont détectées, la politique compare les noms de dépôts et les tags des images à la liste d'autorisation. Un échec de correspondance bloque le pipeline avant l'exécution de tout scanner, empêchant ainsi l'exfiltration d'identifiants.

Remarque : en étendant l'exemple ci-dessus, les PEP peuvent être utilisées pour imposer l'épinglage sur des empreintes (digests) plutôt que sur des tags, ce qui protège contre les pushs forcés. Cet exemple illustre un schéma d'application plus élémentaire basé sur les tags.

Au-delà des PEP : les défenses de GitLab concernant la chaîne d'approvisionnement

Les politiques d'exécution des pipelines constituent la couche d'application, mais elles fonctionnent au mieux dans le cadre d'une stratégie de défense en profondeur plus large. GitLab offre plusieurs fonctionnalités qui complètent ces politiques pour la protection de la chaîne d'approvisionnement :

Détection des secrets

La détection des secrets de GitLab empêche les identifiants d'atterrir dans le dépôt et réduit considérablement ce qu'un outil de pipeline compromis peut collecter. Dans le contexte des attaques de mars 2026 :

• Les identifiants stockés dans les dépôts sont à la fois plus faciles à découvrir pour les attaquants et plus longs à renouveler. L'incident Trivy a montré que même le processus de rotation peut être exploité : la rotation des identifiants d'Aqua Security n'était pas atomique, et l'attaquant a capturé les jetons qui venaient d'être émis avant que les anciens ne soient entièrement révoqués. La détection des secrets de GitLab inclut la révocation automatique des jetons GitLab divulgués et une API partenaire qui notifie les fournisseurs tiers pour qu'ils révoquent leurs identifiants afin d'accélérer la réponse en cas de violation.
• La détection des secrets, combinée à une gestion appropriée des secrets (jetons à durée de vie limitée, identifiants gérés par un coffre-fort, exposition minimale des secrets dans les pipelines), limite ce qu'un attaquant peut atteindre même lorsqu'un outil de confiance se retourne contre vous.

Analyse des dépendances via l'analyse de la composition logicielle (SCA)

L'analyse des dépendances de GitLab identifie les vulnérabilités connues dans les dépendances des projets en analysant les fichiers de verrouillage et les manifestes. Dans le contexte des attaques de mars 2026 :

• Pour LiteLLM, les versions compromises (1.82.7, 1.82.8) sont répertoriées dans la base de données d'avis de sécurité de GitLab, qui signale automatiquement les projets Python concernés.
• Pour axios, l'analyse des dépendances identifie les versions compromises (1.14.1, 0.30.4) dans tous les projets de l'organisation et offre aux équipes de sécurité une vue unifiée pour évaluer le rayon d'impact et prioriser le renouvellement des identifiants.
• Tous les paquets npm compromis par la propagation CanisterWorm de TeamPCP sont également signalés lorsqu'ils sont utilisés.

L'analyse des conteneurs de GitLab détecte les images de conteneurs vulnérables utilisées dans vos déploiements. Pour la compromission de Trivy, l'analyse des conteneurs signale les images Docker Trivy trojanisées (0.69.4 à 0.69.6) lorsqu'elles apparaissent dans votre registre de conteneurs ou vos manifestes de déploiement.

Politiques d'approbation des merge requests

Les politiques d'approbation des merge requests peuvent exiger l'approbation de l'équipe de sécurité avant que des modifications apportées aux fichiers de verrouillage de dépendances ou aux configurations CI/CD ne soient fusionnées. Cette approche garantit un point de contrôle humain pour les types de modifications que les attaques de la chaîne d'approvisionnement introduisent habituellement.

À venir : fonctionnalité Dependency Firewall, registre des artefacts et attestation et vérification SLSA de niveau 3

Les futures fonctionnalités de sécurité de la chaîne d'approvisionnement de GitLab renforcent l'application des politiques sur deux points de contrôle critiques : le registre et le pipeline. La fonctionnalité Dependency Firewall et le registre des artefacts bloqueront les paquets non conformes, tandis que l'attestation Supply chain Levels for Software Artifacts (SLSA) de niveau 3 fournira une preuve cryptographique que les artefacts ont été produits par des pipelines approuvés et n'ont pas été modifiés. Ensemble, ils offriront aux équipes de sécurité un contrôle vérifiable sur ce qui entre dans la chaîne d'approvisionnement logicielle et ce qui en sort.

Ce que cela signifie pour votre organisation

Face à la montée des menaces assistées par l'IA, les attaques contre les pipelines CI/CD deviennent monnaie courante. La série d'attaques du groupe TeamPCP démontre comment un seul identifiant compromis peut se propager en cascade à travers tout un écosystème d'outils de confiance.

Si votre organisation a utilisé l'un des composants affectés, partez du principe que tous vos secrets de pipeline ont été exposés : renouvelez-les immédiatement et auditez vos systèmes à la recherche de portes dérobées persistantes. Dans tous les cas, le renouvellement régulier des identifiants et l'utilisation de jetons à durée de vie limitée réduisent le rayon d'impact de toute compromission future.

Voici nos recommandations :

1. Épinglez les dépendances sur des sommes de contrôle, dans la mesure du possible. Les tags de version mutables (comme ceux détournés par TeamPCP) ne constituent pas une frontière de sécurité. Utilisez des références épinglées par SHA pour tous les composants CI/CD, actions et images de conteneurs.
2. Exécutez des vérifications d'intégrité avant l'exécution. Utilisez les politiques d'exécution des pipelines pour vérifier l'intégrité des outils et des dépendances avant l'exécution de tout job de pipeline. C'est l'étape .pipeline-policy-pre.
3. Auditez ce que vous publiez. Chaque étape de publication de paquet devrait inclure une validation automatisée du contenu de l'artefact. Les cartes de source, les fichiers d'environnement et les configurations internes ne devraient jamais quitter votre environnement de build. Le projet politiques des chaînes d'approvisionnement fournit un point de départ prêt à déployer pour les artefacts npm, Docker et Helm.
4. Détectez la dérive des dépendances. Comparez les résolutions de dépendances avec les fichiers de verrouillage validés à chaque exécution de pipeline. Surveillez l'apparition de nouvelles dépendances inattendues.
5. Centralisez la gestion des politiques. Ne comptez pas sur le fait que les développeurs se souviennent d'inclure les vérifications de sécurité. Appliquez-les au niveau du groupe ou de l'instance via des politiques que les développeurs ne peuvent ni supprimer ni contourner.
6. Considérez vos outils de sécurité comme des cibles. Si votre scanner de vulnérabilités, votre outil de test statique de sécurité des applications (SAST) ou votre passerelle d'IA peut être compromis, il le sera. Limitez chaque outil au strict minimum de privilèges nécessaires et vérifiez qu'il ne peut accéder à rien d'autre.

Protégez vos pipelines avec GitLab

En deux semaines, des attaquants ont compromis les pipelines de production d'organisations utilisant certains des outils les plus largement adoptés de l'écosystème de développement logiciel.

La leçon est claire : les pipelines de build nécessitent le même niveau de protection centralisée et pilotée par des politiques que celui que nous appliquons aux réseaux et à l'infrastructure cloud.

Les politiques d'exécution des pipelines de GitLab fournissent cette couche d'application. Elles garantissent que les vérifications de sécurité s'exécutent dans chaque pipeline, dans chaque projet, indépendamment des configurations individuelles des projets. Combinées à l'analyse des dépendances, à la détection des secrets et aux politiques d'approbation des merge requests, elles peuvent bloquer, détecter et contenir la catégorie d'attaques observée en mars 2026.

Le projet politiques des chaînes d'approvisionnement fournit une politique d'exécution des pipelines opérationnelle qui détecte exactement la catégorie d'erreurs à l'origine de la fuite du code source d'un éditeur majeur d'IA, avec une couverture pour les paquets npm, les images Docker et les charts Helm. Clonez-le, déployez-le dans votre groupe et assurez-vous que tous vos pipelines sont prêts à affronter les attaques de la chaîne d'approvisionnement à venir.

Pour tester les politiques de pipeline centralisées, inscrivez-vous pour un essai gratuit de GitLab Ultimate.

Cet article de blog contient des « déclarations prospectives » au sens de la section 27A du Securities Act de 1933, tel que modifié, et de la section 21E du Securities Exchange Act de 1934. Bien que nous croyions que les attentes exprimées dans ces déclarations soient raisonnables, elles sont soumises à des risques, incertitudes, hypothèses et autres facteurs connus et inconnus susceptibles d'entraîner des résultats réels sensiblement différents. De plus amples informations sur ces risques et autres facteurs figurent sous la rubrique « Facteurs de risque » dans nos dépôts auprès de la SEC. Nous ne nous engageons pas à mettre à jour ou à réviser ces déclarations après la date de cet article de blog, sauf si la loi l'exige.

Bien que les assistants IA pour le code aient accéléré la productivité individuelle des équipes, ils fonctionnent souvent en marge du workflow de développement global. Ce manque d'intégration oblige les développeurs à basculer constamment entre différents outils, à traduire manuellement les suggestions de l'IA en code exploitable et à consacrer un temps précieux à des tâches répétitives qui pourraient être automatisées.

GitLab Duo Agent Platform résout ce problème en offrant une intégration transparente avec des modèles d'IA externes comme Claude d'Anthropic, Codex d'OpenAI et bien d'autres encore.

En créant des agents externes au sein de GitLab Duo Agent Platform, les organisations peuvent personnaliser les capacités de l'IA selon leurs besoins, workflows et normes spécifiques, directement dans l'environnement GitLab qu'elles connaissent. Les agents comprennent le contexte de votre projet, respectent vos normes de code et peuvent accomplir de manière autonome des tâches complexes en plusieurs étapes, de l'idée initiale au code prêt pour la production.

Regardez cette démonstration vidéo et suivez les étapes ci-dessous pour vous lancer :

Cas d'utilisation concrets

Voici trois cas d'utilisation qui illustrent comment les agents externes transforment le cycle de vie du développement :

1. De l'idée au code

En partant d'un projet vide et d'une description détaillée du ticket, l'agent externe (dans ce cas, Claude) prend en charge l'intégralité du développement de l'application. Le titre du ticket correspond à l'application souhaitée et la description énumère ses spécifications.

L'agent lit le contexte (informations du projet, ressources associées, etc.), analyse les exigences détaillées dans le ticket, génère une application web Java full stack avec les composants d'interface utilisateur appropriés, implémente la logique métier avec les taux d'intérêt indiqués et crée une merge request comprenant l'ensemble du code prêt à être révisé.

L'application générée inclut des classes Java backend, des fichiers HTML/CSS/JavaScript frontend et la configuration du build en fonction des spécifications du ticket d'origine. Les équipes peuvent ensuite tester l'application localement, vérifier les fonctionnalités et continuer à itérer avec l'agent par le biais d'une conversation en langage naturel.

2. Revue de code

L'assurance qualité ne se limite pas à la génération de code. Dans le deuxième cas d'utilisation, le même agent externe effectue une revue de code complète de l'application qu'il a créée. En mentionnant l'agent dans un commentaire de la merge request, les équipes reçoivent une analyse détaillée comprenant les points forts du code, les problèmes critiques, les préoccupations de priorité moyenne, les améliorations mineures, les évaluations de sécurité, les notes de test, les métriques du code et les recommandations accompagnées d'un statut d'approbation. Ce processus de revue automatisée garantit la cohérence et détecte les problèmes potentiels avant qu'ils n'atteignent la production. Il permet aussi de libérer les développeurs expérimentés pour qu'ils se concentrent sur les décisions architecturales plutôt que sur les inspections routinières du code.

3. Création d'un pipeline pour construire une image de conteneur

Le dernier cas d'utilisation se concentre sur une lacune courante : l'automatisation du déploiement. Lorsque la merge request ne dispose pas de pipeline CI/CD, les équipes peuvent simplement demander à l'agent externe d'en créer un. L'agent génère une configuration de pipeline complète qui construit l'application, crée un Dockerfile au moyen d'images de base adaptées à la version Java du projet, construit une image Docker et la déploie dans le registre de conteneurs intégré de GitLab. Le pipeline s'exécute automatiquement et suit les étapes de build, de création d'image Docker et de déploiement dans le registre sans configuration ni intervention manuelle.

Résumé

Avec ses agents externes, GitLab Duo Agent Platform représente un changement fondamental dans la manière dont les organisations abordent le développement logiciel. En remédiant à l'isolation des outils d'IA et à la fragmentation des workflows, les agents externes offrent une automatisation intelligente directement dans les plateformes que les équipes utilisent déjà. Plutôt que de traiter l'IA comme un assistant de codage séparé, GitLab Duo Agent Platform intègre de manière transparente des modèles externes comme Claude dans votre workflow GitLab, pour que les agents puissent comprendre le contexte complet du projet, respecter les normes de l'organisation et gérer en toute autonomie des tâches complexes à chaque étape du SDLC.

La proposition de valeur est claire : les équipes de développement accélèrent les délais de livraison, maintiennent une qualité de code cohérente, réduisent le travail répétitif et libèrent les ingénieurs expérimentés afin qu'ils se concentrent sur l'innovation plutôt que sur les tâches routinières. De la génération de code prêt pour la production basée sur des descriptions de tickets à la réalisation de revues de code approfondies et à l'automatisation des pipelines de déploiement, les agents externes deviennent des collaborateurs de confiance qui comprennent les besoins et normes spécifiques de votre organisation.

Découvrez comment votre équipe peut livrer plus rapidement et maintenir une qualité de code supérieure sans changer de contexte tout au long du cycle de vie du développement logiciel. Essayez GitLab Duo Agent Platform dès aujourd'hui. Ensuite, consultez notre article « Démarrer avec GitLab Duo Agent Platform : le guide complet ».

Cet article de blog est un résumé de notre démo animée par Chloé Cartron (Senior Solutions Architect) et Benjamin Skierlak (Customer Success Engineer, EMEA) lors du Forum InCyber 2026.

Les équipes sécurité applicative font face à une équation de plus en plus difficile à résoudre avec un volume croissant de code, de failles et de contraintes réglementaires, sans pour autant voir leurs effectifs augmenter. L'intelligence artificielle est souvent présentée comme la solution miracle, mais encore faut-il l'intégrer de façon structurée et maîtrisée dans les processus existants.

Découvrez dans cet article comment l'orchestration d'agents d’IA au sein d'une plateforme DevSecOps unifiée transforme le quotidien des équipes AppSec, de la gestion du backlog de vulnérabilités jusqu'à la génération de rapports de conformité.

🎯 Essayez GitLab Duo Agent Platform dès aujourd'hui !

Le paradoxe de l'IA dans le développement logiciel

L'intelligence artificielle a profondément transformé la façon dont les équipes de développement conçoivent et produisent leurs applications. IDE, CLI, assistants de code ou encore générateurs d'applications : il est désormais possible de produire des milliers de lignes de code par jour. Une vélocité sans précédent, mais qui dissimule un problème structurel majeur.

Car plus le code s'écrit vite, plus la surface d'attaque s'étend, et les équipes sécurité n’augmentent pas proportionnellement, puisqu’en moyenne 4 personne sont dédiées à la sécurité pour 100 développeurs. Résultat, les backlogs de vulnérabilités s'accumulent, les délais de remédiation s'allongent, et la conformité devient un chantier sans fin.

C'est ce que nous appelons le paradoxe de l'IA : la vitesse, seule, n'est pas un avantage si elle engendre une dette de sécurité incontrôlable.

La réponse ne réside donc pas dans un ralentissement du développement, mais dans un changement de paradigme : utiliser l'IA non plus seulement pour écrire du code, mais pour orchestrer la sécurité à chaque étape du cycle de vie logiciel.

Une plateforme unifiée pour mettre fin à la fragmentation des outils

La fragmentation des outils d’IA constitue l'un des problèmes structurels les plus répandus au sein des équipes AppSec. À chaque changement d'outil, le contexte se perd, et des agents d’IA qui ne partagent pas de contexte commun reproduisent la fragmentation des outils.

C'est pourquoi l'approche de GitLab repose sur un modèle de données unifié où le code, les pipelines, les issues, les merge requests et les résultats de scan coexistent dans un seul et même environnement. Les agents disposent ainsi d'une vision complète du cycle de développement, ce qui leur permet de prendre des décisions mieux informées, à chaque étape.

Cette architecture ouvre également la voie à de nouvelles formes de collaboration. En plus des agents d’IA disponibles par défaut sur GitLab, les équipes peuvent également créer et publier des agents dans un catalogue d’IA, ce qui les rend réutilisables d'un projet à l'autre. Ils s'intègrent également avec des agents externes, et peuvent opérer en parallèle au sein de flows multi-agents, traitant plusieurs tâches simultanément. Une flexibilité qui permet à chaque organisation de construire progressivement un écosystème d'automatisation aligné sur ses propres besoins.

Mais qu'est-ce que cela signifie concrètement pour une équipe AppSec au quotidien ? Découvrons ensemble trois cas d’usage applicables pour vous aider à accélérer le traitement et la correction des vulnérabilités et à informer votre organisation sur vos efforts en matière de sécurité et de conformité.

Trois cas d'usage concrets pour les équipes AppSec

1. Trier et prioriser le backlog de vulnérabilités

Toutes les équipes sécurité connaissent ce défi : générer un rapport de vulnérabilités et se retrouver face à des dizaines, voire des centaines d'alertes. La question n'est pas « y a-t-il des risques ? » mais « lesquels traiter en priorité ? »

Prenons l’exemple d’une équipe AppSec chargée d’analyser le backlog de vulnérabilités, d’identifier les risques et de prioriser la résolution à travers l’ensemble des applications de l’organisation.

Pour cela, accédons au rapport de vulnérabilités, un tableau de bord qui offre une vue d'ensemble sur la posture sécurité d'une application. Les vulnérabilités qui y figurent sont identifiées par un ensemble de scanners de sécurité exécutés systématiquement dans les pipelines CI/CD et regroupés en un seul endroit : SAST, DAST, analyse des dépendances, analyse des conteneurs, détection des secrets, etc.

Face à un grand nombre de risques identifiés, l'enjeu est de distinguer rapidement ce qui représente un danger réel et urgent de ce qui peut être traité ultérieurement. C'est ici que l'IA apporte une première valeur ajoutée, puisque certaines vulnérabilités sont automatiquement signalées comme de potentiels faux positifs.

En plus des scanners de sécurité qui analysent la base de code, une analyse intelligente complémentaire à l’aide de l’IA est effectuée sur chaque vulnérabilité dans le contexte global du projet.

Pour en savoir plus sur ces potentiels faux positifs, nous allons interroger l’agent Security Analyst de GitLab Duo en lui demandant « Pourquoi les secrets sont-ils identifiés comme potentiels faux positifs ». L’agent va effectuer une analyse intelligente dans le contexte pour déterminer s’il y a un réel risque ou non et partager ses retours à l'équipe AppSec.

Dans notre cas, il n’existe aucun risque puisque ce sont des secrets d’exemple. Nous allons donc demander à l'agent d'écarter ces vulnérabilités en masse en passant le statut à « dismissed » de toutes les vulnérabilités générées par le scanner de détection des secrets et identifiées comme faux positifs, puis d'ajuster les règles de détection pour affiner les futurs scans.

L'étape suivante consiste à identifier les risques réels prioritaires. En posant la question « Quelles vulnérabilités posent le plus grand risque pour la production ? », l'agent analyse l'ensemble des vulnérabilités, génère des rapports de priorisation avec l'impact estimé et propose un plan d'action recommandé.

Pour chaque vulnérabilité critique, il est possible d'obtenir une explication détaillée : sa localisation, le scanner qui l’a identifié et les recommandations de remédiation.

En cliquant sur le bouton AI vulnerability management > Explain with AI, nous allons demander à l'IA de nous aider à obtenir une meilleure compréhension du risque en nous donnant une explication avec des recommandations et des préconisations.

Une fois les priorités établies, l'agent peut confirmer les vulnérabilités critiques et créer automatiquement une issue pour chacune d'entre elles, permettant de tracer la remédiation. En quelques minutes, le backlog de vulnérabilités critiques et de nombreuses vulnérabilités de sévérité moyenne est réduit à un nombre maîtrisé de risques effectivement triés et assignés.

Une fois les risques identifiés, encore faut-il les corriger, et le faire rapidement. C'est là qu'intervient la génération automatique de merge requests correctives.

Depuis un ticket lié à une vulnérabilité, la fonction « Generate MR with Duo » lance un flow agentique qui récupère le contexte de l’issue, du projet et des informations connexes, puis génère automatiquement une merge request contenant le correctif. Chaque modification suggérée par GitLab Duo suit un processus rigoureux : passage par le pipeline CI/CD et revue de code obligatoire avec approbation par un pair pour valider le changement de code.

Cette création de merge requests correctives peut être également automatisée via des flows agentiques, permettant de passer à l'échelle en générant systématiquement des propositions de correction pour chaque vulnérabilité confirmée.

Note : la fonction « Generate MR with Duo » ne se limite pas aux vulnérabilités, elle s’applique aussi à d'autres cas d'usage comme le développement de fonctionnalités à partir d'une spécification ou la résolution de bugs.

2. Collaborer avec les développeurs pour prévenir l'introduction de nouvelles vulnérabilités

Le deuxième enjeu est d'empêcher l'introduction de nouveaux risques le plus tôt possible dans le cycle de développement logiciel. Lorsqu'un développeur ouvre une merge request pour implémenter une nouvelle fonctionnalité, un ensemble de vérifications automatiques s'exécutent comme la revue de code automatique de GitLab Duo qui permet de fournir des premiers retours sur la qualité des changements apportés.

Cependant, il arrive qu’une merge request se retrouve bloquée par une règle de sécurité définie au niveau de l'organisation. Ces règles déterminent le seuil critique à respecter. Au-delà d'un certain niveau de risque (par exemple, des dépendances critiques), le merge est bloqué et une validation par un expert sécurité est requise.

L'expert AppSec, sollicité pour faire une revue et donner son avis, doit alors se familiariser rapidement avec le changement et comprendre la vulnérabilité dans son contexte. Plutôt que de passer un temps considérable à analyser manuellement le code, les discussions et les tickets associés, ce dernier peut faire appel à GitLab Duo pour obtenir un résumé contextuel sur les aspects liés à la sécurité : modifications du code, discussions, issues associées et failles problématiques.

Sur la base de cette analyse, l’expert AppSec demande à l'agent de publier sa recommandation directement en commentaire sur la merge request, en taguant l'auteur de la merge request. Le développeur dispose ainsi immédiatement des préconisations de remédiation et comprend pourquoi la merge request est en échec.

Ce processus permet une collaboration fluide et rapide entre les équipes chargées de la sécurité et du développement, réduisant considérablement le temps nécessaire pour contextualiser un risque et communiquer les actions correctives.

3. Générer des rapports de conformité et d’audit

Le dernier cas d'usage répond à un besoin récurrent : donner de la visibilité au management et aux auditeurs sur la posture sécurité et la conformité des applications. Dans GitLab, un projet peut être associé à un framework de conformité (par exemple, la norme ISO 27001), indiquant qu'il est soumis à un ensemble de règles spécifiques auquel il doit se conformer.

En demandant à l'agent Security Analyst de générer un résumé de l'état actuel de l'application en matière de sécurité et de conformité, celui-ci produit un rapport complet comprenant : une évaluation globale des risques, une analyse détaillée des vulnérabilités (y compris celles déjà triées et confirmées), des indicateurs de progression, une priorisation des actions restantes et des retours spécifiques par rapport à la norme de conformité applicable.

Ce rapport, généré en quelques minutes, permet de démontrer l'amélioration continue et de partager un état des lieux clair et structuré, là où ce travail aurait traditionnellement nécessité un effort manuel considérable.

À travers ces trois cas d'usage, GitLab Duo permet aux équipes AppSec d'accélérer de façon significative la priorisation des risques, l'assignation et la réalisation des corrections, la collaboration avec les développeurs et la production de rapports de conformité. Des tâches qui prenaient habituellement des heures se réalisent désormais en quelques minutes, tout en maintenant les exigences de qualité, de traçabilité et de validation humaine à chaque étape.

L'équipe AppSec devient chef d'orchestre

Ce changement de paradigme est fondamental. Les équipes sécurité ne sont plus un goulot d'étranglement que l’on vient solliciter en dernier recours. Elles deviennent les architectes des workflows que les agents exécutent, tout en gardant la maîtrise de bout en bout.

Concrètement, cela se traduit par trois responsabilités clés :

• Définir les règles : quelles politiques de sécurité s'appliquent, à quel seuil bloque-t-on une merge request, quels frameworks de conformité sont requis ?
• Choisir les workflows : quels agents activer, pour quels types de vulnérabilités, avec quelles automatisations ?
• Garder le contrôle : toutes les actions des agents restent auditables et les validations humaines sont maintenues aux étapes critiques.

En déléguant l'exécution aux agents, les experts sécurité se concentrent sur la stratégie et peuvent couvrir un périmètre toujours plus large, sans avoir besoin de multiplier les effectifs. C'est la réponse concrète au paradoxe de l'IA : la vitesse du développement augmente, mais la sécurité suit le rythme grâce à une orchestration maîtrisée.

Déployer l'IA en toute souveraineté

Adopter l'IA dans un contexte de sécurité soulève légitimement des questions sur la maîtrise des données. Pour y répondre, GitLab propose plusieurs modèles de déploiement adaptés aux exigences de chaque organisation :

• GitLab Self-Managed : hébergé dans votre propre infrastructure, pour un contrôle total.
• GitLab.com : une offre SaaS entièrement gérée par GitLab.
• GitLab Dedicated : un SaaS dédié, déployé dans la région de votre choix.

Quel que soit le modèle retenu, les organisations conservent la maîtrise de leurs données. Elles peuvent choisir leurs propres grands modèles de langage (LLM) et disposent d'options air-gapped avec des LLM auto-hébergés, garantissant qu'aucune donnée n'est retenue par les fournisseurs d'IA. La souveraineté n'est pas une contrainte à gérer après coup : elle est intégrée dès la conception. Pour en savoir plus, consultez notre documentation.

En résumé

L'orchestration d'agents d’IA au service des équipes sécurité répond à un problème concret : faire plus avec les mêmes équipes, sans sacrifier la qualité ni le contrôle.

Les trois enseignements clés à retenir :

• L’IA sans gouvernance crée autant de risques qu’elle en résout : accélérer le développement sans intégrer la sécurité en amont amplifie l’exposition. La vitesse seule n’est pas un avantage si elle génère une dette de sécurité.
• Le contexte unifié est la clé de l’orchestration agentique : des agents qui ne partagent pas de contexte reproduisent la fragmentation des outils. Avec le modèle de données unifié de GitLab, les agents peuvent agir avec une vision complète du cycle de vie.
• L'équipe AppSec orchestre, les agents exécutent : avec les bons garde-fous et les bons agents, les équipes sécurité couvrent un périmètre qui grandit en permanence. En déléguant l’exécution, elles se concentrent sur la stratégie.

🎯 Prêt à accélérer votre sécurité applicative ? Essayez GitLab Duo Agent Platform dès aujourd'hui !

GitLab Duo CLI intègre l'IA agentique propulsée par GitLab Duo Agent Platform directement dans le terminal, avec une prise en charge complète des workflows automatisés et un mode de chat interactif lorsqu'un contrôle humain est nécessaire. Découvrez les fonctionnalités de GitLab Duo CLI, le fonctionnement de ses deux modes d'utilisation et le modèle de sécurité sur lequel il s'appuie.

Comment installer GitLab Duo CLI

Si vous avez déjà installé Glab (GitLab CLI), saisissez :

glab duo cli

Suivez ensuite les instructions.

Si Glab n'est pas encore installé, vous pouvez l'installer en accédant à cette page ou utiliser GitLab Duo CLI en tant qu'outil autonome.

Pourquoi le terminal, et pourquoi maintenant

La première génération d'assistants d'IA pour le développement logiciel était intégrée à l'IDE et se concentrait exclusivement sur le code. Cette approche était logique lorsque l'objectif se limitait à l'autocomplétion. Mais à mesure que les agents d'IA commencent à agir à chaque étape du cycle de vie logiciel (exécution de tests, déclenchement de pipelines, surveillance des scans de sécurité, etc.), l'IDE n'est plus nécessairement la seule interface adaptée.

Les meilleurs outils de développement sont ceux qui fonctionnent aussi bien pour les équipes que pour les machines. Les CLI bénéficient de plusieurs décennies d'itérations de conception dans cette optique. Elles sont composables : vous pouvez rediriger les données de sortie, enchaîner les commandes et les intégrer dans des scripts. Elles facilitent le débogage : en cas de problème, il suffit d'exécuter la même commande pour voir exactement ce que l'agent a vu. Elles sont aussi transparentes : aucun processus en arrière-plan, aucune procédure d'initialisation complexe, aucun protocole à décoder en cas de dysfonctionnement.

Les interfaces de terminal sont mieux adaptées à l'automatisation, aux scripts et à la portabilité entre environnements. Les interfaces des IDE sont plus adaptées au développement interactif et riche en contexte. GitLab Duo CLI est conçu pour le premier cas de figure, tandis que GitLab Duo Agentic Chat dans l'IDE et l'interface couvre le second.

Ce que GitLab Duo CLI permet de faire

Avec GitLab Duo CLI, les équipes de développement peuvent créer, modifier, refactoriser et moderniser du code, à l'instar d'autres assistants de codage basés sur l'IA et conçus pour le terminal. Mais les possibilités ne s'arrêtent pas là. Tout agent et tout flow défini dans GitLab Duo Agent Platform est accessible via GitLab Duo CLI, qu'il s'agisse d'automatiser la configuration CI/CD et d'optimiser les pipelines ou d'effectuer des tâches de développement en plusieurs étapes de manière autonome sur l'ensemble du cycle de développement logiciel (SDLC).

GitLab Duo CLI fonctionne selon deux modes :

• Mode interactif : une expérience de chat dans le terminal, indépendante d'un éditeur, avec supervision humaine avant toute action. Utilisez-le pour comprendre la structure d'un code source, créer du code, corriger des erreurs ou résoudre des problèmes de pipelines.
• Mode headless : non interactif, conçu pour les runners, les scripts et les workflows automatisés. Intégrez-le dans vos pipelines CI/CD et laissez-le opérer en toute autonomie.

L'IA avec des garde-fous

L'IA agentique capable d'exécuter des actions crée une exposition réelle en matière de sécurité. GitLab Duo CLI traite cette problématique au niveau de la plateforme, et non comme un ajout après coup :

• Supervision humaine par défaut en mode interactif : aucune action n'est exécutée sans approbation préalable.
• Détection d'injections de prompts intégrée nativement à GitLab Duo Agent Platform.
• Identité composite qui limite les accès de l'agent et rend chaque action pilotée par l'IA auditable.

GitLab Duo CLI prend également en charge les fichiers d'instructions personnalisées, tels que chat-rules.md, AGENTS.md et SKILL.md, qui définissent les tâches, ressources, contextes, connaissances et actions autorisés pour vos agents. Il s'agit du principe du moindre privilège appliqué à l'IA : votre agent fait exactement ce que vous avez autorisé, et rien de plus.

Découvrez GitLab Duo CLI en action :

Utilisez GitLab Duo CLI dès aujourd'hui

Découvrez les avantages de GitLab Duo CLI en démarrant un essai gratuit de GitLab Duo Agent Platform.

Si vous utilisez déjà GitLab dans l'offre gratuite, vous pouvez vous inscrire à GitLab Duo Agent Platform en suivant quelques étapes simples.

Et si vous utilisez déjà GitLab Premium ou GitLab Ultimate, vous pouvez profiter de GitLab Duo CLI en activant simplement GitLab Duo Agent Platform et en commençant à utiliser les crédits GitLab inclus dans votre abonnement.

Comment passer d'une IA expérimentale et fragmentée à une IA véritablement industrialisée, gouvernée et intégrée à l'ensemble du cycle de développement logiciel ? C'est la question centrale à laquelle GitLab répond avec GitLab Duo Agent Platform, en offrant à ses clients toute la flexibilité dont ils ont besoin en termes d’hébergement des modèles, pour répondre à leurs contraintes opérationnelles.

Découvrez dans cet article comment l'orchestration intelligente des agents d'IA peut transformer l’ensemble du cycle de développement logiciel, à travers deux cas d’usage concrets avec AWS Bedrock comme backend LLM.

🎯 Essayez GitLab Duo Agent Platform dès aujourd'hui !

L'IA en entreprise : de l'expérimentation à la gouvernance à grande échelle

En 2025, près de 88 % des organisations utilisaient déjà l'IA dans au moins une fonction métier, selon une enquête de McKinsey. Un chiffre qui illustre un basculement majeur : l'IA n'est plus un sujet d'expérimentation isolée. Elle est devenue un enjeu de production, de gouvernance et de gestion des risques à l'échelle de l'entreprise.

Sur les deux dernières années, l'utilisation de l'IA générative s’est intensifiée, entraînant dans son sillage une multiplication d'outils, de modèles et de preuves de concept. Une complexité croissante qui soulève une question de fond : qui utilise quel modèle, avec quelles données, et sous quel niveau de sécurité et de conformité ? Face à ce manque de visibilité, les entreprises réclament désormais davantage de traçabilité, de contrôle et de gouvernance sur leur utilisation de l’IA.

Le paradoxe de l'IA dans le développement logiciel

Dans la chaîne de développement logiciel, un paradoxe s'est installé : l'IA a certes accéléré la phase de codage, mais toutes les autres étapes du cycle de développement logiciel restent des goulots d'étranglement. Spécifications, revues de code, tests, sécurité, déploiements, surveillance… autant d'étapes qui n'ont pas encore pleinement profité des avantages de l’intelligence artificielle.

C’est dans ce contexte que s'inscrit la stratégie de GitLab : passer d’une approche fragmentée de l’IA à une plateforme unifiée où le code, la sécurité et la conformité ainsi que l’IA coexistent au même endroit.

GitLab : de l’approche DevSecOps à l’orchestration intelligente

GitLab a transformé sa plateforme, d’une simple plateforme CI/CD pour gérer étape par étape le cycle de vie logiciel à une plateforme d'orchestration intelligente qui unifie à la fois le DevSecOps et l'IA.

L'objectif n'est plus seulement d'automatiser chaque étape individuellement, mais de permettre aux équipes d'orchestrer leurs agents d’IA pour livrer des logiciels plus vite, de manière plus sécurisée, et avec une gouvernance renforcée depuis une plateforme unique.

Une intégration adaptée à vos besoins

L'approche de GitLab s’adapte à vos contraintes existantes :

• Intégration à vos workflows existants : projets, pipelines, outils.
• Exploitation de votre contexte métier : les agents GitLab s'appuient sur votre code et votre contexte pour être immédiatement opérationnels sur vos applications.
• Respect de vos règles de sécurité et de conformité : politiques d'accès, localisation des données.
• Maîtrise totale de votre infrastructure : avec des modèles auto-gérés ou hébergés sur AWS, vous avez la possibilité d'utiliser les modèles de votre choix, tout en conservant vos données et votre contrôle. Et si vos contraintes l'exigent, vous pouvez également basculer sur AWS European Sovereign Cloud, voire fonctionner en environnement totalement isolé d'Internet.

Pour illustrer concrètement ces capacités, intéressons-nous aux deux cas d'usage suivants.

GitLab Duo Agent Platform et AWS Bedrock en pratique

Les deux cas d'usage présentés ci-dessous s'appuient sur une instance GitLab déployée sur AWS, avec AWS Bedrock comme backend LLM. Les modèles ont été préalablement configurés dans GitLab pour alimenter les différentes fonctionnalités de GitLab Duo Agent Platform : suggestion de code, GitLab Duo Agentic Chat, explication de code, etc.

Cas d'usage 1 : utilisation de l’agent Security Analyst

Les scans SAST et SCA sont essentiels, mais ils génèrent souvent un volume important de vulnérabilités, difficiles à classer, prioriser et traiter efficacement. C'est là qu'intervient l'agent Security Analyst de GitLab. Cet agent d’IA spécialisé joue le rôle d'un analyste sécurité augmenté :

• Il se connecte aux résultats des scans de sécurité.
• Il analyse les vulnérabilités et estime leurs niveaux de risque.
• Il priorise les éléments critiques et propose des plans de remédiation.

Les bénéfices sont mesurables : moins de bruit pour les développeurs, un gain de temps pour les équipes AppSec, et une réduction observable du volume de vulnérabilités en production.

La sécurité n'est pas le seul domaine où les agents d’IA font la différence. Le cas d'usage suivant montre comment cette même logique d'orchestration peut transformer le quotidien des équipes de développement avec l’aide de plusieurs agents spécialisés.

Cas d'usage 2 : de la user story à la merge request avec des agents d’IA

Transformer une user story en code fonctionnel, accompagné de tests et d’une documentation, est un processus long et variable d'un développeur à l'autre.

Pour faciliter le travail des équipes, GitLab propose un flow “Développeur” qui orchestre simultanément plusieurs agents d’IA à partir d’un simple ticket :

1. Un agent propose le plan de développement et génère le code.
2. Un agent effectue les tests.
3. Un agent rédige et met à jour la documentation.

Ce flow de bout en bout permet de gagner un temps précieux entre l’idée et le développement, tout en standardisant les pratiques et en garantissant la conformité avec les contraintes de l'entreprise.

L'IA comme levier industriel

L'enjeu n'est pas d'avoir plus d'IA, mais de faire en sorte que les équipes et les agents d’IA collaborent ensemble à l'échelle de l'entreprise. Avec GitLab et son approche d’orchestration intelligente, les équipes DevSecOps alignent leurs workflows, leurs règles de sécurité et leurs modèles pour faire de l’IA un véritable avantage compétitif.

🎯 Prêt à accélérer votre développement logiciel ? Essayez GitLab Duo Agent Platform dès aujourd'hui !

Ressources complémentaires

• GitLab Duo Agent Platform : le guide complet
• Démarrer avec GitLab Duo Agent Platform
• Démarrer avec GitLab Duo Agentic Chat
• GitLab Duo Agent Platform : comprendre les agents
• Comprendre les flows : workflows multi-agents
• Découvrir le catalogue d'IA : créer et partager des agents et des flows
• Surveiller, gérer et automatiser les workflows d'IA
• Intégrer le Model Context Protocol
• Personnaliser GitLab Duo Agent Platform : règles, prompts et workflows

Cette approche fonctionne, mais devient vite fastidieuse. Si vous avez déjà souhaité que le navigateur de dépôt ressemble davantage à votre IDE qu'à une série de fils d'Ariane, l'arborescence de fichiers de GitLab 18.9 est faite pour vous.

Fonctionnement de l'arborescence de fichiers

L'arborescence de fichiers ajoute un panneau repliable et redimensionnable à côté de vos vues de fichiers et de répertoires, de sorte que la structure de votre projet reste visible pendant que vous lisez et naviguez dans le code. Ainsi, vous n'avez plus besoin de cliquer sur retour pour savoir où vous vous trouvez.

Cette fonctionnalité affiche les fichiers et répertoires de votre projet dans une arborescence à côté de la liste des fichiers et du contenu des fichiers, ce qui vous permet de voir la structure et le code en même temps.

Si vous avez déjà utilisé une arborescence de fichiers dans un IDE ou une plateforme Git, elle devrait vous sembler familière :

Navigation avec une vue structurée

Développez et repliez les répertoires et basculez entre les fichiers tout en gardant une vue claire de votre position dans la hiérarchie du dépôt. Lorsque vous accédez directement à un fichier imbriqué, l'arborescence développe les répertoires parents et met en surbrillance le fichier actuel afin que vous ne perdiez pas le contexte. L'arborescence se synchronise également avec votre position actuelle : lorsque vous sélectionnez un fichier dans la zone de contenu principale, l'arborescence se met à jour en conséquence.

Filtrage par nom de fichier

Après avoir ouvert l'arborescence, appuyez sur F pour ouvrir la boîte de dialogue de recherche globale. Saisissez une partie d'un nom de fichier pour y accéder directement depuis la liste de résultats, chaque résultat affichant ses répertoires parents afin que vous sachiez où vous vous trouvez.

Navigation axée sur le clavier

L'arborescence implémente le modèle de vue arborescente ARIA du W3C, ce qui vous permet de naviguer parmi les fichiers et répertoires à l'aide du clavier et des touches fléchées, ainsi que des touches Entrée, Espace, Début, Fin et des touches de caractères. Ce type de navigation est plus accessible pour les utilisateurs de lecteurs d'écran et pour toute personne qui préfère utiliser un clavier.

Réactivité sur tous les écrans

Sur un ordinateur, l'arborescence s'affiche côte à côte avec votre liste de fichiers et votre code. Sur les écrans plus petits, elle se transforme en panneau latéral gauche que vous pouvez ouvrir lorsque vous en avez besoin. Sur mobile, l'arborescence est masquée afin que la vue du code puisse occuper tout l'écran.

Conception pour les dépôts volumineux

Pour les dépôts avec de nombreuses entrées, l'arborescence utilise la pagination afin que vous puissiez charger davantage d'éléments selon vos besoins sans surcharger la page. L'expérience reste fluide à mesure que votre projet se développe.

Découvrez l'arborescence de fichiers en action

Michael Friedrich, Principal Developer Advocate chez GitLab, présente la nouvelle arborescence de fichiers dans GitLab. Découvrez comment cette fonctionnalité facilite la navigation dans les dépôts volumineux, comme si vous travailliez dans votre IDE. La démonstration utilise le projet GitLab Tanuki IoT Platform, que vous pouvez explorer vous-même pour tester l'arborescence de fichiers dans un véritable dépôt.

Essayez l'arborescence de fichiers dès aujourd'hui

L'arborescence de fichiers est disponible dès maintenant sur GitLab.com et a été publiée dans la version 18.9 pour GitLab Self-Managed et GitLab Dedicated.

Voici comment y accéder :

1. Ouvrez n'importe quelle vue de fichier ou de répertoire de dépôt dans votre projet (/<project>/-/tree/<branch>).
2. Dans le coin supérieur gauche, sélectionnez l'icône d'arborescence de fichiers ou appuyez sur Shift+F pour activer/désactiver l'arborescence de fichiers.
3. Appuyez sur F pour filtrer les fichiers par nom ou extension, commencez à saisir du texte, puis utilisez les touches fléchées et Entrée pour accéder directement au fichier souhaité.

Perspectives

L'équipe Source Code de GitLab a conçu l'arborescence de fichiers en plaçant l'accessibilité, les performances à grande échelle et la cohérence entre les différents écrans au cœur de ses exigences. Ces principes continueront de guider nos prochains développements, et vos retours nous aideront à façonner les futures itérations.

Aidez-nous à améliorer l'arborescence de fichiers

Partagez vos retours sur l'arborescence de fichiers dans notre ticket.

Vous souhaitez en savoir plus sur l'arborescence de fichiers ? Consultez la documentation.

Si la sécurité se limitait au scan de code, peut-être. Mais la sécurité des entreprises n'a jamais reposé uniquement sur la détection des failles.

Les organisations ne se demandent pas si l'IA peut détecter des vulnérabilités. Elles se posent trois questions bien plus complexes :

• Le produit que nous nous apprêtons à livrer est-il sûr ?
• Notre posture de risque a-t-elle suivi le même rythme d'évolution continue que les environnements, les dépendances, les services tiers, les outils et les infrastructures ?
• Comment pouvons-nous gouverner un code source de plus en plus généré par l'IA et des sources tierces, dont nous restons pourtant responsables ?

Ces questions nécessitent une réponse au niveau de la plateforme : la détection révèle les risques, mais c'est la gouvernance qui détermine la suite des opérations.

GitLab est la couche d'orchestration conçue pour gouverner le cycle de vie logiciel de bout en bout. Elle offre aux équipes l'application, la visibilité et la traçabilité nécessaires pour suivre le rythme du développement assisté par l'IA.

La confiance dans l'IA repose sur une gouvernance solide

L'identification de vulnérabilités et la suggestion de correctifs des systèmes d'IA s'améliorent rapidement. Cette avancée significative est bienvenue, mais l'analyse n'implique pas de responsabilité.

L'IA ne peut pas appliquer les politiques de l'entreprise ni définir seule les risques acceptables. C'est aux équipes d'établir les limites, les politiques et les garde-fous dans lesquels les agents opèrent, en instaurant une séparation des tâches, en garantissant des pistes d'audit et en maintenant des contrôles cohérents dans des milliers de dépôts et d'équipes. La confiance placée dans les agents ne vient pas uniquement de leur caractère autonome, mais d'une gouvernance clairement définie.

Dans un monde agentique, où les logiciels sont de plus en plus écrits et modifiés par des systèmes autonomes, la gouvernance gagne en importance. Plus les organisations accordent d'autonomie à l'IA, plus la gouvernance doit être solide.

La gouvernance n'est pas un frein, mais une base qui rend le développement assisté par l'IA digne de confiance à grande échelle.

Les LLM lisent le code, les plateformes comprennent le contexte

Un grand modèle de langage (LLM) évalue le code de manière isolée. Une plateforme de sécurité des applications comprend le contexte. Cette différence est fondamentale, car les décisions en matière de risque sont prises en contexte :

• Qui est à l'origine de la modification ?
• Quelle est l'importance de l'application pour l'entreprise ?
• Comment l'application interagit-elle avec l'infrastructure et les dépendances ?
• La vulnérabilité existe-t-elle dans du code réellement accessible en production, ou est-elle enfouie dans une dépendance qui ne s'exécute jamais ?
• La vulnérabilité est-elle réellement exploitable en production, compte tenu de la façon dont l'application s'exécute, de ses API et de son environnement ?

Les décisions en matière de sécurité dépendent de ce contexte. Sans lui, la détection génère des alertes parasites qui ralentissent le développement au lieu de réduire les risques. Avec lui, les organisations peuvent classer rapidement les vulnérabilités et gérer les risques en toute efficacité. Le contexte évolue en permanence au même titre que les logiciels, ce qui signifie que la gouvernance ne peut être ponctuelle.

Les scans statiques ne suivent pas le rythme des risques dynamiques

Le risque logiciel est dynamique. Les dépendances changent, les environnements évoluent et les systèmes interagissent d'une façon qu'aucune analyse ne peut à elle seule entièrement prévoir. Un scan sans vulnérabilité à un moment donné ne garantit pas la sécurité au moment de la release.

En entreprise, la sécurité repose sur une assurance continue : des contrôles intégrés directement dans les workflows de développement qui évaluent les risques au fur et à mesure que les logiciels sont créés, testés et déployés.

La détection apporte des informations, la gouvernance instaure la confiance. C'est la gouvernance continue qui permet aux organisations de livrer en toute sécurité à grande échelle.

Gouverner l'avenir agentique

L'IA transforme la façon dont les logiciels sont créés. La question n'est plus de savoir si les équipes utiliseront l'IA, mais avec quelles mesures de sécurité elles pourront la déployer à grande échelle.

Aujourd'hui, les logiciels sont autant assemblés qu'écrits à partir de code généré par l'IA, de bibliothèques open source et de dépendances tierces qui couvrent des milliers de projets. Gérer ce qui est déployé en tenant compte de toutes ces sources représente la partie la plus difficile et la plus importante de la sécurité des applications, et c'est la partie pour laquelle aucun outil destiné aux développeurs n'a été conçu.

En tant que plateforme d'orchestration intelligente, GitLab est conçue pour répondre à ce problème. GitLab Ultimate intègre la gouvernance, l'application des politiques, les scans de sécurité et l'auditabilité directement dans les workflows où les logiciels sont planifiés, développés et livrés, afin que les équipes de sécurité puissent gouverner au rythme de l'IA.

L'IA accélére considérablement le développement. Les organisations qui tireront le meilleur parti de cette technologie ne seront pas seulement celles qui disposent des assistants les plus intelligents, mais celles qui instaureront la confiance grâce à une gouvernance solide.

Pour découvrir comment GitLab aide les organisations à gouverner et livrer du code généré par IA en toute sécurité, contactez notre équipe.

Ressources complémentaires

• Intégration de l'IA dans l'approche DevOps pour une sécurité renforcée
• Sécurité et IA : tout savoir sur le framework de GitLab
• Démarrer avec GitLab Duo Agent Platform : le guide complet

Cet article de blog est un résumé de notre webinaire sur GitLab Duo Agent Platform en action animé par Chloé Liban (Solutions Architect) et Chloé Cartron (Senior Solutions Architect). Pour visionner le replay, cliquez ici.

Les équipes de développement n'ont jamais écrit autant de code aussi vite. Les outils d’IA se multiplient (IDE, CLI, assistants au code, générateurs d’applications), et pourtant, dans la plupart des organisations, le gain de productivité réel reste difficile à mesurer.

La question n'est plus « Faut-il adopter l'IA ? » mais « Comment en tirer un vrai avantage sur l'ensemble de la chaîne de production logicielle ? ».

C'est ce que nous explorons dans cet article, avec des exemples concrets d'utilisation de GitLab Duo Agent Platform : de l'idée à la fonctionnalité déployée, en passant par la revue de code, le débuggage et la sécurisation, étape par étape.

Essayez GitLab Duo Agent Platform dès aujourd'hui !

Le « Paradoxe de l'IA » pour la livraison logicielle

Le développement assisté par l'IA rend les équipes de développement plus rapides que jamais. Mais comment les équipes peuvent-elles égaler cette vitesse dans le reste du cycle de développement logiciel ?

Dans notre rapport sur L'ère du développement intelligent, les professionnels du DevSecOps s’accordent à dire que l’IA leur a permis de gagner en productivité : automatisation des tâches répétitives, tests/assurance qualité, génération de code, etc.

Cependant, si le développement s'avère plus rapide avec l’IA, le manque de qualité, de sécurité et de rapidité dans les 80 % restants du cycle de développement logiciel accompagné d’une fragmentation de la chaîne d'outils freinent l’innovation logicielle.

GitLab nomme ce phénomène le paradoxe de l'IA.

En adoptant une approche d’orchestration intelligente, les équipes de développement passent d'un workflow linéaire où chaque étape attend la précédente, à une exécution parallèle où des agents d’IA spécialisés traitent plusieurs tâches simultanément, tout en conservant la main sur les décisions.

Les trois principes de l’orchestration intelligente

Cette orchestration intelligente repose sur trois principes architecturaux qui vous permettent de garder le contrôle tout au long du cycle du développement logiciel : les workflows, le contexte et les garde-fous.

• Les workflows : ce sont les équipes logicielles qui définissent les règles pour les agents d’IA. Elles décident du contexte d’intervention de l’agent, du flow à suivre et des exigences de conformité à respecter.
• Le contexte : le modèle de données unifié de GitLab maintient un contexte organisationnel complet, contrairement aux outils fragmentés qui le perdent d’un système à l’autre.
• Les garde-fous : des options de déploiement flexibles avec des règles de sécurité et de conformité personnalisées, adaptées à vos contraintes, pour un contrôle total sur vos données et vos workflows.

Ces garde-fous s'appuient sur quatre options de déploiement, selon vos exigences réglementaires et d'infrastructure :

• GitLab Self-Managed : instance hébergée sur site ou dans le cloud,
• GitLab.com : SaaS mutualisé,
• GitLab Dedicated : SaaS dédié dans la région de votre choix,

Découvrons maintenant comment utiliser GitLab Duo Agent Platform tout au long du cycle de développement logiciel.

Comment créer une fonctionnalité avec GitLab Duo Agent Platform ?

Accélérer l'ensemble de la chaîne de production logicielle est un objectif partagé par toutes les organisations. Avec GitLab Duo Agent Platform, vous pouvez planifier les tâches, déléguer la conception et l'implémentation du code à un agent, automatiser la revue de code, valider les pipelines de build et de test, débugger avec l'IA, et garantir la sécurité et la conformité du code.

Pour illustrer cette démarche, construisons ensemble une nouvelle fonctionnalité pas à pas dans une application.

1. Création et planification des tâches

Démarrons avec un projet vide comportant un seul ticket ouvert « Create a web app application for a Certificate of Deposit calculator in Java » pour un projet d’application bancaire web en Java, intégrant un calculateur de dépôt.

Dans ce ticket, la description liste en détail les exigences de cette application.

Nous allons d’abord enrichir ce ticket avec un plan d'implémentation détaillé : une liste de besoins et des tâches structurées, chacune dotée d'un titre et d'une description. Cette action sera réalisée via GitLab Duo Chat.

Une fois ces tâches créées, nous les planifions à l'aide de l’agent Planner. Disponible par défaut dans GitLab, cet agent spécialisé assiste les équipes dans les workflows de gestion de projet et de planification.

Il consulte le ticket et l’ensemble des tâches, puis produit un rapport complet : estimation du temps passé par tâche, facteurs de risque, chaîne de dépendances et recommandations pour démarrer chaque tâche.

📌 Pour découvrir l'ensemble des agents disponibles dans GitLab (par défaut, personnalisables ou externes), accédez au Catalogue d'IA via la section Explorer dans la barre de recherche.

2. Réalisation des tâches de développement

Pour cette étape, nous utilisons le flow agentique « Issue to merge request » conçu pour accélérer le prototypage et le développement de notre fonctionnalité.

Depuis le ticket initial, cliquez sur le bouton Generate MR with Duo. Cette action lance un agent qui analyse le ticket et génère l’application. Vous pouvez suivre sa progression via Automatisation > Sessions dans la barre latérale gauche.

Avec le flow « Issue to merge request », vous simplifiez le processus de conversion des tickets en merge requests actionnables. Ce flow analyse la description et les exigences du ticket, crée une merge request en brouillon liée au ticket d’origine, élabore un plan de développement basé, génère une structure de code ou une implémentation, puis met à jour la merge request avec les modifications correspondantes.

Notre application Java est maintenant créée.

3. Accélération de la revue de code

La revue de code génère souvent des ralentissements dans le cycle de développement, à la fois pour les équipes qui sont en attente d’une revue de leur code et doivent changer de contexte, mais également pour les relecteurs qui doivent s’occuper de cette revue et prendre du temps à analyser l’ensemble des changements apportés.

GitLab Duo Agent Platform permet d'accélérer cette étape de deux façons :

• Assigner GitLab Duo comme relecteur via la barre latérale droite de la merge request.
• Utiliser l'action rapide /request_review en commentaire en taguant @GitLabDuo.

Une fois assigné, l’agent inspecte les modifications apportées dans la merge request, détecte les erreurs, les problèmes de style ou de qualité et partage des suggestions de correction. Le développeur peut ensuite interagir avec la revue effectuée par GitLab Duo, poser des questions et apporter des précisions, comme il le ferait avec un collègue.

Pour les équipes qui souhaitent aller plus loin, il est possible de configurer une revue automatique de GitLab Duo sur chaque merge request, à l'échelle d'un projet ou d'un groupe entier, et de personnaliser les instructions via un fichier de configuration pour respecter les normes de votre organisation.

4. Correction et optimisation des pipelines

Une fois les modifications apportées au code, nous devons nous assurer que le pipeline CI/CD s'exécute avec succès en incluant le build, les tests et le déploiement.

En cas d'échec, sollicitez GitLab Duo dans le chat avec la requête « Peux-tu diagnostiquer et corriger ce pipeline en échec ? ». GitLab Duo examine le contexte, le pipeline, les messages d’erreur et les fichiers du dépôt, puis identifie l’origine du problème, et crée un commit de correction avec les modifications nécessaires pour débloquer le pipeline en échec et le relancer.

Si GitLab Duo Agent Platform permet de corriger un pipeline en échec rapidement en économisant un temps précieux, nous pouvons également le solliciter pour optimiser un pipeline existant.

Pour cela, créez un ticket du type « Recherche d'améliorations de pipeline », ouvrez une nouvelle branche avec une merge request, puis demandez à GitLab Duo : « Peux-tu améliorer le pipeline de ce projet ? ». A partir de cette requête, GitLab Duo examine les fichiers du dépôt, identifie le fichier de pipeline et propose des améliorations à apporter.

5. Sécurisation du code avant la mise en production

Avant de déployer notre application en production, assurons-nous que l’ensemble des changements effectués sont conformes aux attentes en matière de sécurité et de conformité.

Accédons au rapport de vulnérabilités dans Sécurisation > Rapport de vulnérabilités depuis la barre latérale gauche du groupe, dans lequel vous pouvez retrouver l’ensemble des vulnérabilités.

Pour prioriser les vulnérabilités les plus urgentes, posez la question suivante à GitLab Duo : : « Quelles sont les vulnérabilités les plus urgentes à traiter dans le cadre du projet [URL du projet] ? ».

Une fois les priorités identifiées, rendez-vous dans le rapport de vulnérabilités du projet en question et utilisez l'agent Security Analyst avec la requête : « Crée un calendrier pour traiter tous les résultats de sécurité élevée ». L’agent analyse l’ensemble des vulnérabilités du projet et génère un calendrier de résolution structuré semaine par semaine, avec des actions rapides prioritaires à réaliser dans les 24 premières heures et des notes de gestion des risques. Ce plan permet de planifier et de prioriser le travail des équipes, tout en allouant les bonnes ressources.

L’agent peut également intervenir sur une vulnérabilité spécifique. Il fournit des informations détaillées sur la nature de la vulnérabilité, propose des approches de remédiation, détaille les étapes de validation, ainsi qu’une liste de contrôle et de tests des recommandations complémentaires et crée ensuite une merge request avec les corrections nécessaires.

Prêt à accélérer votre cycle de développement ?

Nous avons passé en revue la façon dont vous pouvez tirer parti de l'IA agentique dans votre cycle de vie de développement logiciel. De la planification à la sécurisation, GitLab Duo Agent Platform amplifie le travail de vos équipes en déléguant les étapes intermédiaires à des agents spécialisés, pour que vos équipes se concentrent sur ce qui compte vraiment : la conception, l’orchestration et la validation.

🎯 Vous souhaitez en savoir plus sur GitLab Duo Agent Platform ? Visionnez le replay de notre webinaire et essayez gratuitement la plateforme d'orchestration intelligente de GitLab.

Ces fonctionnalités permettent de gagner du temps et d'économiser des efforts :

• En éliminant la configuration répétitive des filtres pour les workflows courants
• En garantissant la cohérence dans la façon dont les équipes visualisent et évaluent le travail
• En facilitant les rapports standardisés et les vérifications de statut

Que sont les éléments de travail ?

Auparavant, les epics et les tickets se trouvaient sur des pages séparées, ce qui obligeait les utilisateurs à naviguer d'une page à l'autre. La liste des éléments de travail combine désormais les epics, les tickets et d'autres éléments de travail dans une liste unique et unifiée, afin que les équipes n'aient plus à basculer entre les pages selon les éléments de travail.

Cette liste servira également de base pour des fonctionnalités de planification plus approfondies à venir. Le regroupement de tous les types d'éléments de travail en un seul endroit ouvre la voie à des vues hiérarchiques (comme une vue table), qui faciliteront la visualisation des relations et de la structure entre les epics, les tickets et d'autres éléments en un coup d'œil.

Au-delà des vues de liste et d'éléments classés selon une hiérarchie, nous prévoyons également de consolider d'autres workflows courants, comme les tableaux, dans cette expérience unifiée. Toutes vos vues de planification essentielles seront disponibles en un seul endroit et pourront être partagées avec votre équipe via des vues enregistrées, sans besoin de naviguer dans différentes parties du produit.

Vous vous demandez peut-être quels sont ces « éléments de travail », et s'il s'agit de tickets. Le terme « ticket » ne correspond pas à notre vision future. Vous pourrez bientôt entièrement configurer vos types d'éléments de travail, y compris leurs noms, pour qu'ils correspondent à la planification de votre organisation. Limiter l'expérience à une terminologie legacy irait à l'encontre de cette flexibilité. Les «  éléments de travail » constituent la base d'un modèle que vous pouvez personnaliser.

Qu'est-ce qui a conduit à cette évolution vers les éléments de travail ?

En 2024, nous avons partagé notre vision d'une nouvelle expérience de planification Agile dans GitLab, alimentée par le framework des éléments de travail. Cet article décrivait le problème principal : les epics et les tickets sont des expériences séparées et créent des frictions pour les équipes qui s'attendent à une fonctionnalité cohérente entre les objets de planification. Le framework des éléments de travail a permis d'apporter une solution : une architecture unifiée conçue pour offrir plus de cohérence et de nouvelles fonctionnalités au sein des outils de planification de GitLab. La liste des éléments de travail et les vues enregistrées constituent une étape de ce parcours.

Que sont les vues enregistrées ?

Les vues enregistrées permettent aux utilisateurs de sauvegarder et de revenir à des configurations de liste personnalisées, avec filtres, ordre de tri et options d'affichage. L'objectif est de rendre les vérifications quotidiennes plus efficaces et de prendre en charge des affichages cohérents et standardisés du travail au sein d'une équipe.

Perspectives

Pour comprendre pourquoi nous effectuons ces changements, il convient d'abord de rappeler notre objectif.

Nous avons pour objectif non seulement d'offrir une liste d'éléments de travail, mais aussi une expérience de planification qui vous permet de passer facilement entre différents types de vues (liste, tableau, table et plus encore) tout en conservant votre portée de filtre actuelle.

Associez cette fonctionnalité aux vues enregistrées, et vous pouvez créer une vue dédiée pour chacun de vos workflows : planification d'itération, raffinement du backlog, planification au niveau du portefeuille avec des vues de table imbriquées, et plus encore.

Chaque vue est prête à l'emploi et cohérente dans la façon dont elle filtre et affiche le travail, et elle peut être partagée avec votre équipe. Ce framework prépare également le terrain pour des fonctionnalités plus puissantes à l'avenir, notamment la prise en charge complète des swimlanes pour tout attribut d'élément de travail dans les tableaux.

Nous savons que les changements apportés aux outils que vous utilisez quotidiennement peuvent être perturbants. Les workflows que vous avez conçus autour des listes d'epics et de tickets existantes auront désormais un design différent, et nous en sommes conscients.

Cette orientation a été mûrement réfléchie et reflète des années de retours des utilisateurs, un investissement architectural significatif dans le framework des éléments de travail et la conviction profonde qu'une expérience unifiée servira mieux les équipes à long terme. Nous nous attendons à ce que la transition nécessite certains ajustements, et nous continuerons à itérer en fonction de vos retours.

Donnez votre avis

Nous vous encourageons à essayer ces nouvelles fonctionnalités. N'hésitez pas à nous faire part de votre expérience avec la liste des éléments de travail et les vues enregistrées dans ce ticket. Vos retours nous aideront à améliorer davantage ces fonctionnalités.