GitLab 19.0推出SBOM相依性掃描鎖定間接相依套件的漏洞風險

概要

GitLab 19.0 推出以 SBOM(Software Bill of Materials) 為基礎的相依性掃描功能,取代 Gemnasium 分析器,輸出格式為 CycloneDX,可追蹤直接與間接相依套件的漏洞路徑,並支援 Merge Request 即時顯示。

核心技術

  • SBOM 格式: CycloneDX(機器可讀,適用法規遵循)
  • 漏洞資料庫: GitLab Advisory Database
  • 支援語言: Java、JavaScript/TypeScript、Python
  • 取代: Gemnasium 分析器

間接相依追蹤

library-a → library-b → library-c(有漏洞),系統會顯示完整依賴路徑,協助開發團隊決定從哪一層介入,並區分「程式碼可觸及」vs「僅間接帶入但未被引用」。

持續風險檢查

  • 新安全公告發布時自動重新掃描
  • 每次 MR 或 pipeline 執行時重新檢查
  • 特別適用:開發活動放緩但仍在生產環境運行的專案

授權與部署

  • 僅限 GitLab Ultimate 訂閱
  • GitLab.com 已上線;Dedicated / 自行管理依標準時程提供

背景脈絡

  • 軟體供應鏈攻擊增加,單一套件漏洞可波及所有相依方
  • AI 生成程式碼大量引入新相依套件,加深風險難度

來源文章

相關頁面