🦊GitLab Blog•較早收集於 21h
GitLab Agentic SAST 自動修復程式碼正式上線

💡SAST 漏洞自動修復正式上線—立即縮短 AI 程式碼管道修復時間。
⚡ 30-Second TL;DR
有什麼變化
自動生成帶有信心分數的可合併 MR,用於 SAST 漏洞
為什麼重要
將漏洞修復左移,保持開發者流程並防止生產環境漏洞利用。減少 AppSec 分類時間,擴展 AI 生成程式碼的安全性。
下一步行動
在 GitLab 管道中啟用 Agentic SAST Vulnerability Resolution,以在下次掃描時自動修復。
誰應關注:Enterprise & Security Teams
關鍵要點
- •自動生成帶有信心分數的可合併 MR,用於 SAST 漏洞
- •處理虛假陽性偵測和根因修復,含自動測試
- •GitLab 18.11 中的增量 SAST 掃描加速管道
- •使用 CVSS 4.0 分數依業務風險優先排序
🧠 深度解析
AI-generated analysis for this event.
🔑 增強重點摘要
- •GitLab 的 Agentic SAST 整合了 Codeium 或 GitLab Duo 的大型語言模型(LLM)能力,不僅限於模式匹配,還能理解專案的上下文語義以減少誤報。
- •該功能採用了「人機協作」模式,開發者在合併 MR 前需審核 AI 產生的修復程式碼,並可透過 GitLab 的 Policy Management 針對特定專案開啟或關閉自動修復功能。
- •GitLab 18.11 的增量掃描技術利用了基於圖論的依賴分析,僅掃描受變更影響的程式碼路徑,顯著降低了大型單體式架構(Monorepo)的 CI/CD 管道負擔。
📊 競品分析▸ Show
| 特色 | GitLab Agentic SAST | GitHub Advanced Security (Copilot Autofix) | Snyk Code |
|---|---|---|---|
| 自動修復能力 | 原生整合,支援自動測試驗證 | 原生整合,側重於建議修復 | 支援自動修復,側重於開發者工作流整合 |
| 優先排序標準 | CVSS 4.0 | CVSS 3.1/4.0 | 自定義風險評分 |
| 部署模式 | GitLab 平台原生 | GitHub 平台原生 | 多平台整合 (SaaS/CLI) |
🛠️ 技術深入
- •Agentic SAST 採用了多代理(Multi-agent)架構:一個代理負責漏洞偵測與分類,另一個代理負責生成修復程式碼,第三個代理則負責編寫並執行單元測試以驗證修復的有效性。
- •增量掃描機制:透過建立程式碼變更的影響分析圖(Impact Analysis Graph),僅對變更的函數及其直接依賴項進行掃描,而非全量掃描。
- •CVSS 4.0 整合:利用 CVSS 4.0 的環境指標(Environmental Metrics)與補充指標(Supplemental Metrics),結合 GitLab 專案的資產重要性,計算出更精確的業務風險分數。
🔮 前景展望AI analysis grounded in cited sources
軟體開發生命週期(SDLC)將從『偵測導向』轉向『修復導向』。
隨著自動修復技術的成熟,開發團隊將減少處理漏洞報告的時間,轉而專注於審核 AI 產生的修復方案。
SAST 工具的誤報率將在未來 18 個月內下降 40% 以上。
結合 LLM 的上下文理解能力與自動化測試驗證,能有效過濾掉無法編譯或不符合業務邏輯的修復建議。
⏳ 時間線
2023-06
GitLab 推出 GitLab Duo,正式將 AI 功能引入 DevSecOps 平台。
2024-09
GitLab 宣佈將 AI 驅動的漏洞解釋功能整合至 SAST 報告中。
2025-11
GitLab 18.0 版本發佈,強化了 AI 代理在安全工作流中的自主決策能力。
2026-03
GitLab 18.11 版本發佈,正式引入增量 SAST 掃描與 CVSS 4.0 優先排序。
📰
AI 週報
閱讀本週精選 AI 大事摘要 →
👉相關動態
AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: GitLab Blog ↗