GitLab 19.0推出SBOM相依性掃描,鎖定間接相依套件的漏洞風險

來源: iThome|日期: 2026-05-29|URL: https://www.ithome.com.tw/news/176203

核心功能

GitLab 19.0 正式推出以 SBOM(Software Bill of Materials)為基礎的相依性掃描,取代既有的 Gemnasium 分析器,協助企業追蹤直接與間接相依套件的漏洞風險。

技術細節

  • 輸出格式: CycloneDX(機器可讀,適用法規遵循與供應鏈安全工具)
  • 漏洞資料庫: GitLab Advisory Database
  • 顯示位置: Merge Request、漏洞儀表板與報告

主要特色

間接相依追蹤

若 library-a 依賴 library-b,而 library-b 又依賴有漏洞的 library-c,分析器會呈現這條相依路徑,協助團隊判斷應從哪一層套件介入。

實際使用情況分析

  • 針對 Java、JavaScript/TypeScript、Python 專案
  • 區分「程式碼可觸及」vs「僅間接帶入但未被引用」的漏洞套件
  • 優先修補實際被使用的套件

持續風險檢查

  • 新安全公告發布時自動重新掃描已回報的 SBOM 元件
  • 每次 MR 或 pipeline 執行時重新檢查
  • 特別適用:開發活動已放緩但仍在正式環境運行的專案

集中管理設定

  • 提供安全組態設定檔(security configuration profile)
  • 可標準化設定並一次套用至多個專案

適用對象

  • 授權層級:GitLab Ultimate 客戶
  • GitLab.com 已上線

背景動機

  • 軟體供應鏈攻擊事件增加
  • AI 產生程式碼大量進入企業,使相依套件風險更難掌握
  • 傳統工具(如 Gemnasium)僅檢查直接宣告套件,無法追蹤深層相依鏈

衍生頁面