🦊GitLab Blog•較早收集於 19h
GitLab 18.10 AI 分類修復漏洞

💡AI 自動過濾 SAST 噪音並建議漏洞修復—開發安全工作流程重大升級(32字元)
⚡ 30-Second TL;DR
有什麼變化
SAST 假陽性偵測正式版:LLM 評分可能性、解釋推理、在 UI 顯示徽章
為什麼重要
加速開發分類假陽性,自動修復減少安全專業需求。提升團隊對掃描信心,專注關鍵風險。
下一步行動
在 GitLab Ultimate 專案的安全設定中啟用 SAST 假陽性偵測。
誰應關注:Developers & AI Engineers
關鍵要點
- •SAST 假陽性偵測正式版:LLM 評分可能性、解釋推理、在 UI 顯示徽章
- •代理 SAST 修復測試版:為驗證漏洞自動建立合併請求與修復
- •祕密假陽性偵測測試版:標記虛擬/測試祕密以減少審核工作
- •整合至漏洞報告,可篩選真實問題
🧠 深度解析
Web-grounded analysis with 9 cited sources.
🔑 增強重點摘要
- •SAST 假陽性偵測於 GitLab 18.7 以 Beta 版首次推出,並在 18.10 升級為正式版,採用率於 2026 年 2 月 17 日成長 33%。[1][4][8]
- •代理 SAST 修復於 GitLab 18.9 引入,使用多步驟推理分析程式碼上下文並自動產生合併請求,包含修復品質評分。[2]
- •所有 AI 功能限 Ultimate 階層加 GitLab Duo 附加套件使用,需在 .gitlab-ci.yml 中啟用 test 階段與 GITLAB_ADVANCED_SAST_ENABLED 變數。[1][6]
- •Advanced SAST 支援多核心掃描、逐步取代 Semgrep 分析器,並計畫引入增量掃描以加速大型儲存庫分析。[1][3]
📊 競品分析▸ Show
| 工具 | AI 假陽性偵測 | 自動修復 | 定價階層 |
|---|---|---|---|
| GitLab SAST | 是 (Ultimate + Duo) | 是 (代理 MR, Ultimate + Duo) | Ultimate |
| GitHub CodeQL | Copilot 輔助 | Copilot 自動修復 | 企業版 |
| SonarQube | 進階污點分析 | 無明確 AI 代理 | 企業整合 |
| Semgrep | 無 | 無 | 付費計劃 |
🛠️ 技術深入
🔮 前景展望AI analysis grounded in cited sources
⏳ 時間線
2026-07
SAST 假陽性偵測 Beta 版於 18.7 推出
2026-02
GitLab 18.9 發布代理 SAST 漏洞解析與自託管 AI 模型
2026-02-17
SAST 假陽性偵測採用率成長 33% 達新高
2026-03
GitLab 18.10 發布 SAST 假陽性正式版與祕密假陽性 Beta
📎 來源 (9)
Factual claims are grounded in the sources below. Forward-looking analysis is AI-generated interpretation.
📰
AI 週報
閱讀本週精選 AI 大事摘要 →
👉相關動態
AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: GitLab Blog ↗
