GitLab 19.0推出SBOM相依性掃描,鎖定間接相依套件的漏洞風險
來源: iThome|日期: 2026-05-29|URL: https://www.ithome.com.tw/news/176203
核心功能
GitLab 19.0 正式推出以 SBOM(Software Bill of Materials)為基礎的相依性掃描,取代既有的 Gemnasium 分析器,協助企業追蹤直接與間接相依套件的漏洞風險。
技術細節
- 輸出格式: CycloneDX(機器可讀,適用法規遵循與供應鏈安全工具)
- 漏洞資料庫: GitLab Advisory Database
- 顯示位置: Merge Request、漏洞儀表板與報告
主要特色
間接相依追蹤
若 library-a 依賴 library-b,而 library-b 又依賴有漏洞的 library-c,分析器會呈現這條相依路徑,協助團隊判斷應從哪一層套件介入。
實際使用情況分析
- 針對 Java、JavaScript/TypeScript、Python 專案
- 區分「程式碼可觸及」vs「僅間接帶入但未被引用」的漏洞套件
- 優先修補實際被使用的套件
持續風險檢查
- 新安全公告發布時自動重新掃描已回報的 SBOM 元件
- 每次 MR 或 pipeline 執行時重新檢查
- 特別適用:開發活動已放緩但仍在正式環境運行的專案
集中管理設定
- 提供安全組態設定檔(security configuration profile)
- 可標準化設定並一次套用至多個專案
適用對象
- 授權層級:GitLab Ultimate 客戶
- GitLab.com 已上線
背景動機
- 軟體供應鏈攻擊事件增加
- AI 產生程式碼大量進入企業,使相依套件風險更難掌握
- 傳統工具(如 Gemnasium)僅檢查直接宣告套件,無法追蹤深層相依鏈
衍生頁面
- GitLab 19.0推出SBOM相依性掃描鎖定間接相依套件的漏洞風險 — 主要事件概念頁面
- gitlab — GitLab 公司實體頁面(已存在,更新)