GitLab 19.0推出SBOM相依性掃描鎖定間接相依套件的漏洞風險
概要
GitLab 19.0 推出以 SBOM(Software Bill of Materials) 為基礎的相依性掃描功能,取代 Gemnasium 分析器,輸出格式為 CycloneDX,可追蹤直接與間接相依套件的漏洞路徑,並支援 Merge Request 即時顯示。
核心技術
- SBOM 格式: CycloneDX(機器可讀,適用法規遵循)
- 漏洞資料庫: GitLab Advisory Database
- 支援語言: Java、JavaScript/TypeScript、Python
- 取代: Gemnasium 分析器
間接相依追蹤
若 library-a → library-b → library-c(有漏洞),系統會顯示完整依賴路徑,協助開發團隊決定從哪一層介入,並區分「程式碼可觸及」vs「僅間接帶入但未被引用」。
持續風險檢查
- 新安全公告發布時自動重新掃描
- 每次 MR 或 pipeline 執行時重新檢查
- 特別適用:開發活動放緩但仍在生產環境運行的專案
授權與部署
- 僅限 GitLab Ultimate 訂閱
- GitLab.com 已上線;Dedicated / 自行管理依標準時程提供
背景脈絡
- 軟體供應鏈攻擊增加,單一套件漏洞可波及所有相依方
- AI 生成程式碼大量引入新相依套件,加深風險難度
來源文章
相關頁面
- gitlab — GitLab DevOps 平台實體
- 歐盟網路韌性法案CRA施行與SBOM法遵要求2026 — SBOM 法遵背景
- software-supply-chain-attack — 軟體供應鏈攻擊