foto freepik ki

Die Kombination aus plattformnahem Geheimnis-Management, vollständigen Merge-Request-Workflows, Transparenz über wiederverwendete Komponenten, lokal ausführbaren KI-Modellen und SBOM-basiertem Dependency-Scanning adressiert zentrale Schwachstellen in modernen DevSecOps-Prozessen. Sie ermöglicht Teams, Automatisierung, Sicherheit und Governance in einem einheitlichen Umfeld zu bündeln, wodurch die Lücke zwischen Code-Entwicklung und zuverlässiger Bereitstellung geschlossen wird.

Eine aktuelle Plattformversion (siehe Meldung am Ende des Artikels) erweitert die intelligente Orchestrierung und integriert zentrale Funktionen direkt in die Entwicklungsumgebung, um Übergaben zwischen Code-Erstellung und Produktivsetzung zu reduzieren. Zu den Neuerungen gehören ein plattformnahes Geheimnis-Management, erweiterte Merge-Request-Workflows, verbesserte Transparenz der CI/CD-Infrastruktur, Unterstützung zusätzlicher lokal ausführbarer KI-Modelle sowie stärkere Kontrollen entlang der Software-Lieferkette.

Plattformbasiertes Geheimnis-Management in öffentlicher Beta

Das neue Geheimnis-Management befindet sich in einer öffentlichen Betaphase und speichert Zugangsdaten innerhalb derselben Plattform, auf der Quellcode und Pipelines betrieben werden. Jedes Secret wird ausschließlich den Jobs zugänglich gemacht, die dafür autorisiert sind. Die Zugriffskontrolle und das Audit-Logging nutzen die vorhandene Gruppen- und Projektstruktur der Plattform, sodass kein zusätzliches Berechtigungsmodell notwendig ist. Bei einem Sicherheitsvorfall erlaubt der Audit-Trail die Rückverfolgung jedes Jobs, der ein betroffenes Secret verwendet hat, einschließlich der zugehörigen Pipeline. Dadurch entfällt die Notwendigkeit, Logs aus verschiedenen Systemen abzugleichen. Das System arbeitet parallel zu bestehenden Integrationen mit externen Secret-Providern.

Vollständiger Merge-Request-Lebenszyklus durch Developer Flow

Der Entwickler-Workflow erstreckt sich jetzt über den gesamten Merge-Request-Lebenszyklus: vom Einholen und Beantworten von Review-Feedback über die Auflösung von Konflikten bis hin zum Aufteilen übergroßer Merge Requests und der Implementierung neuer Features in allen Phasen. Vor jedem Commit werden projektspezifische Standards geladen, sodass Änderungen den Kontext, die Workflows und Leitplanken des jeweiligen Teams widerspiegeln statt generischer Vorgaben.

Zwei neue, derzeit in der Beta befindliche Funktionen ergänzen diesen Workflow: ein automatisierter Konfliktlösungs-Button, der beide Branches auswertet, einen Lösungsvorschlag committet und einen zusammenfassenden Kommentar für den nachfolgenden Reviewer hinterlässt, sowie eine Ein-Klick-Rebase-und-Merge-Option für Teams, die semi-lineare oder Fast-Forward-Merge-Methoden nutzen. Die Funktionen sind in verschiedenen Support-Stufen der Plattform verfügbar.

Transparenz in gemeinsam genutzter CI-Infrastruktur durch Komponenten-Analytik

Eine Komponenten-Analytik zeigt Plattform-Engineering-Teams, welche Komponenten und Versionen aus einem zentralen CI/CD-Katalog organisationsweit verwendet werden. Die Nutzungsdaten sind direkt in der einheitlichen Plattform zugänglich, sodass Teams Einsicht erhalten, ohne zwischen unterschiedlichen Tools wechseln zu müssen. Detaillierte Aufschlüsselungen können in höheren Service-Stufen verfügbar sein, während grundlegende Nutzungsinformationen breiteren Kundengruppen zugänglich gemacht werden.

Self-Hosted-Agenten unterstützen weitere Open-Source-Modelle

Für Umgebungen mit besonderen Compliance- oder Konnektivitätsanforderungen wurden zusätzliche Open-Source-Modelle für lokal ausführbare Agenten ergänzt. Diese Erweiterung richtet sich an Teams in isolierten oder regulierten Umgebungen, die Quellcode nicht an externe APIs übermitteln dürfen. Die Modelle wurden anhand relevanter Kriterien bewertet, darunter die Fähigkeit zur mehrstufigen Tool-Nutzung, Qualität der Code-Generierung und Schlussfolgerungsfähigkeit über umfangreiche Code-Diffs hinweg. Unterstützt werden On-Premises- und Private-Cloud-Bereitstellungen, inklusive Deployments auf GPU-fähiger Infrastruktur sowie hybride Konfigurationen, die lokal gehostete und verwaltete Modelle kombinieren.

Stärkung der Software-Lieferkette

Erweiterte Sicherheitsfunktionen bieten Teams nachvollziehbare Kontrolle darüber, welche Artefakte tatsächlich bereitgestellt werden und wer Zugriff auf die Plattform hat. Dependency-Scanning in Verbindung mit einer Software Bill of Materials (SBOM) erzeugt eine prüfbare Bestandsliste von Drittanbieter-Komponenten und gleicht diese mit bekannten Sicherheitshinweisen ab. Diese Funktion ermöglicht es, ohne zusätzliche Tools nachzuweisen, welche Komponenten in einem Build enthalten sind. Darüber hinaus erlauben richtlinienbasierte Security-Profile, Mechanismen wie Secret Detection, SAST und Dependency Scanning projektübergreifend zu aktivieren, anstatt die CI-Konfigurationen für jedes Projekt separat anzupassen.

Herausforderungen und Mehrwert

Engineering-Teams liefern heute mehr Code in kürzerer Zeit aus, während gleichzeitig KI-gestützte Entwicklung die Komplexität erhöht. Die begleitenden Sicherheits- und Governance-Workflows konnten mit dieser Beschleunigung oft nicht Schritt halten. Die beschriebenen Erweiterungen legen die betreffenden Sicherheits- und Automatisierungsfunktionen dorthin, wo Entwickler und Betreiber bereits arbeiten, und reduzieren damit Reibungsverluste bei Übergaben. Durch die enge Integration von Zugriffskontrolle, Audit-Logging und policy-basierten Security-Mechanismen lassen sich Risiken besser managen, ohne das Entwicklungstempo zu beeinträchtigen.

GitLab 19.0 erweitert die intelligente Orchestrierung, um die Lücke zwischen Code-Entwicklung und Bereitstellung zu schließen

GitLab Secrets Manager, jetzt in der öffentlichen Beta, beschränkt Zugangsdaten auf einzelne Jobs und steuert den Zugriff über dieselben Kontrollmechanismen, die auch für den Code gelten.
Developer Flow deckt nun den gesamten Merge-Request-Lebenszyklus ab, vom Reviewer-Feedback und der Konfliktauflösung bis zum Rebase-and-Merge per Klick.
Components Analytics zeigt Platform-Engineering-Teams, welche Komponenten und Versionen aus dem CI/CD-Catalog organisationsweit zum Einsatz kommen.
GitLab Duo Agent Platform Self-Hosted unterstützt vier weitere Open-Source-Modelle für Teams in Air-Gapped- und regulierten Umgebungen.
Dependency-Scanning per SBOM sowie Security-Configurations-Profile geben Teams eine nachvollziehbare Kontrolle darüber, was tatsächlich bereitgestellt wird.

GitLab Inc., die intelligente Orchestrierungsplattform für DevSecOps, hat GitLab 19.0 veröffentlicht. Die neue Version erweitert plattformweit das native Secrets-Management, die agentischen Merge-Request-Workflows, die Transparenz der CI-Pipeline, die Unterstützung selbstgehosteter Open-Source-Modelle sowie die Transparenz in der Software-Lieferkette.

Engineering-Teams, die mehr Code als je zuvor in Produktion bringen, sehen sich unmittelbar mit dem KI-Paradoxon konfrontiert: Die begleitenden Workflows für die Absicherung von Zugangsdaten, die Überprüfung und das Mergen von Änderungen, die Durchsetzung von Pipeline-Standards und den Einsatz von KI in regulierten Umgebungen haben damit nicht Schritt gehalten. GitLab 19.0 baut den agentischen Kern der Plattform aus, indem diese Funktionen dort eingebettet werden, wo Teams bereits arbeiten. Das reduziert die Übergaben zwischen Code-Entwicklung und Bereitstellung.

GitLab Secrets Manager startet in die öffentliche Beta

GitLab Secrets Manager, jetzt in der öffentlichen Beta für Nutzer von GitLab Premium und Ultimate, speichert Zugangsdaten innerhalb derselben Plattform, auf der auch Code und Pipelines laufen. Jedes Secret wird dabei ausschließlich den Jobs zugänglich gemacht, die für seine Nutzung autorisiert sind. Zugriffssteuerung und Audit-Logging greifen auf die bestehende Gruppen- und Projektstruktur in GitLab zurück; ein separates Berechtigungsmodell entfällt. Im Falle einer Kompromittierung lässt sich über den GitLab Audit-Trail jeder Job zurückverfolgen, der das betroffene Secret genutzt hat, einschließlich der zugehörigen Pipeline. Ein Abgleich von Logs aus separaten Systemen ist dabei nicht erforderlich. Der neue Secrets Manager arbeitet parallel zu bestehenden Integrationen mit HashiCorp Vault, AWS Secrets Manager, Azure Key Vault und Google Cloud Secret Manager.

Developer Flow deckt jetzt den gesamten Merge-Request-Lebenszyklus ab

GitLab 19.0 erweitert Developer Flow auf den gesamten MR-Lebenszyklus: Reviewer-Feedback adressieren, Konflikte auflösen, übergroße MRs aufteilen und Features in jeder Phase implementieren. Da Developer Flow vor jedem Commit projektspezifische Standards aus AGENTS.md einliest, spiegelt das Ergebnis den Kontext, die Workflows und die Leitplanken des jeweiligen Teams wider, anstatt auf generische Standardeinstellungen zurückzugreifen.

Zwei neue Funktionen, jetzt in der Beta, ergänzen den Workflow: ein Resolve-with-Duo-Button, der beide Branches auswertet, einen Lösungsvorschlag committet und einen zusammenfassenden Kommentar für den nächsten Reviewer hinterlässt, sowie Rebase-and-Merge per Klick für Teams, die semi-lineare oder Fast-Forward-Merge-Methoden nutzen. Developer Flow ist für Kunden der Tiers Free, Premium und Ultimate verfügbar.

Components Analytics schließt die Transparenzlücke in gemeinsam genutzter CI-Infrastruktur

Components Analytics zeigt Platform-Engineering-Teams, welche Komponenten aus dem CI/CD-Catalog organisationsweit zum Einsatz kommen und in welchen Versionen sie laufen. Die Daten liegen direkt in der einheitlichen GitLab-Plattform, sodass Teams sie einsehen und nutzen können, ohne zwischen Tools zu wechseln. Die Nutzungsdaten sind für Kunden der Tiers Free, Premium und Ultimate verfügbar; die detaillierte Aufschlüsselung pro Komponente steht Ultimate-Kunden zur Verfügung.

GitLab Duo Agent Platform Self-Hosted erhält neue Open-Source-Modelle

GitLab Duo Agent Platform Self-Hosted lässt seine Agenten jetzt auf vier weiteren Open-Source-Modellen laufen: Mistral Devstral 2 123B, GLM-5.1, Kimi-K2.6 und MiniMax-M2.7. Die Erweiterung kommt Teams in Air-Gapped- oder regulierten Umgebungen zugute, die Quellcode nicht an externe APIs übertragen dürfen. Jedes Modell wurde anhand der Anforderungen der GitLab Duo Agent Platform bewertet, darunter mehrstufige Tool-Nutzung, Qualität der Code-Generierung sowie Schlussfolgerungsfähigkeit über umfangreiche Code-Diffs hinweg. Unterstützt werden sowohl On-Premises- als auch Private-Cloud-Bereitstellungen, einschließlich Deployments via vLLM auf GPU-fähiger Infrastruktur sowie hybrider Konfigurationen, die selbstgehostete und von GitLab verwaltete Modelle kombinieren.

Stärkung der Softwarelieferkette

GitLab 19.0 ergänzt Sicherheitsfunktionen, die Teams mehr Kontrolle darüber geben, was bereitgestellt wird und wer auf die Plattform zugreift. Dependency-Scanning mit einer Software Bill of Materials (SBOM) erzeugt eine prüfbare Bestandsliste von Drittanbieter-Komponenten, abgeglichen mit den GitLab-Sicherheitshinweisen, und liefert Ultimate-Kunden ohne zusätzliches Tool den Nachweis darüber, was in jeden Build eingeflossen ist. Mit Security-Configuratio-Profilen lassen sich Secret Detection, SAST und Dependency Scanning projektübergreifend per Richtlinie aktivieren, anstatt CI-Konfigurationen pro Projekt anzupassen.

»KI hat die Code-Generierung beschleunigt, aber dadurch wurde es nicht einfacher, dem Code im großen Maßstab zu vertrauen oder ihn abzusichern«, erklärt Manav Khurana, Chief Product and Marketing Officer bei GitLab. »Wenn Security, Automatisierung und Governance auf derselben Plattform laufen wie der Code, können Teams das Tempo bei KI halten, ohne die Kontrolle darüber zu verlieren, was tatsächlich bereitgestellt wird. Genau hier setzt GitLab 19.0 an.«

Weitere Informationen zu GitLab 19.0 finden Sie auf der Seite »Neues bei GitLab«. https://about.gitlab.com/de-de/whats-new/

695 Artikel zu „DevSecOps“

News | Business | Effizienz | Favoriten der Redaktion | Kommunikation | Künstliche Intelligenz | New Work | Services | Strategien

Die neue Ära von DevSecOps: Solo-Teams, aber Manager von vielen

15. Februar 2026

Die Softwareentwicklung geht in Richtung KI-gestützter Autonomie einzelner Fachkräfte. Doch wie entsteht die Fähigkeit, eigenständig mit KI-Systemen zu arbeiten? Die Antwort liegt in einem scheinbaren Widerspruch: DevSecOps-Kollaboration. Viele Jahre funktionsübergreifender Zusammenarbeit vermitteln jenes breite Wissen über Sicherheit, Infrastruktur und Geschäftslogik, das Ingenieure befähigt, KI-Outputs zu bewerten und Verantwortung zu übernehmen. Einzelne Teammitglieder können heute…