<center><i>Degré de complexité de l'intégration de plusieurs outils dans un processus DevSecOps</i></center>

<br></br>

Bonne nouvelle, une solution existe : une plateforme DevSecOps complète offrant une approche unifiée du développement logiciel.

Cette plateforme est conçue pour les entreprises opérant dans des environnements cloud et DevSecOps : tous les aspects du développement logiciel (gestion du code, processus CI/CD, gestion des tâches, sécurité, automatisation pilotée par l'IA) s'effectuent depuis une seule interface. Ainsi, tous les workflows sont centralisés, offrant aux équipes de développement et des opérations une collaboration optimisée, une communication rationalisée et une réduction significative des complexités et des perturbations opérationnelles.

En outre, l'expérience développeur s'améliore considérablement : les équipes d’ingénierie sont beaucoup plus heureuses de travailler avec un produit conçu spécifiquement pour les besoins du développement moderne.

Découvrez comment GitLab simplifie la gestion de projet, renforce la sécurité et la conformité, et intègre l’IA pour transformer le développement logiciel et aider les équipes à surmonter les défis courants.

Gestion de projet Agile intégrée

GitLab fournit une solution holistique qui rassemble toutes les fonctionnalités nécessaires pour la gestion des projets et des tâches. Cette intégration couvre toutes les étapes du développement logiciel, y compris les pipelines CI/CD. Les équipes peuvent ainsi suivre en temps réel la progression du projet. Les tickets et les epics sont directement liés aux processus d'automatisation. De la planification au déploiement en production, toutes les étapes s'effectuent sans accroc. La transparence entre les équipes est ainsi renforcée, les retards sont réduits et toutes les parties prenantes ont une vision claire de l'état du développement en temps réel.

Sécurité intégrée

La sécurité est au cœur de GitLab avec l'intégration de fonctionnalités de sécurité complètes. La plateforme intègre un large éventail de scanners de sécurité automatisés, notamment :

• L'analyse des dépendances
• Les tests statiques de sécurité des applications (SAST)
• Les tests dynamiques de sécurité des applications (DAST)
• La détection des secrets
• L'analyse des conteneurs

<center><i>Fonctionnalités de scanning de sécurité intégrées dans le processus CI/CD à différentes étapes du développement</i></center>

<br></br>

Ces contrôles de sécurité sont intégrés à chaque étape du cycle de développement logiciel, y compris dans les pipelines CI/CD, et offrent aux équipes de développement des retours immédiats sur les failles de sécurité potentielles, et ce dès le début du cycle de développement.

Conformité et exigences réglementaires

Au-delà de la productivité et de l'expérience utilisateur, de nombreuses entreprises, en particulier celles opérant dans les secteurs réglementés tels que les institutions financières ou les grands groupes, doivent s'assurer que leurs processus respectent des normes de sécurité et de conformité strictes. Elles doivent pouvoir appliquer des stratégies pour différents projets, par exemple en rendant obligatoire l'utilisation d'un scanner de sécurité chaque fois qu'un pipeline CI/CD s'exécute sur des branches de code spécifiques (par exemple, les branches principales ou protégées) ou en exigeant des approbations spécifiques avant de fusionner le code dans la branche principale.

Tout devient plus facile avec les frameworks de conformité de GitLab : cette fonctionnalité permet aux entreprises de définir et d'appliquer des stratégies structurées aux projets sélectionnés. Cette approche garantit la conformité en appliquant sans intervention manuelle des exigences réglementaires et de sécurité, tout en maintenant un workflow de développement fluide et efficace.

Développement alimenté par l'IA

GitLab Duo offre une assistance pilotée par l'IA à chaque étape du développement logiciel. Par conséquent, aucun outil externe n'est nécessaire. Chaque requête alimentée par l'IA est traitée dans le contexte complet du projet et du code base, ce qui permet de travailler de façon plus intelligente et plus efficace.

L'IA peut effectuer de nombreuses tâches, notamment :

• Générer automatiquement des descriptions de tâches
• Synthétiser les discussions des tickets pour gagner un temps précieux
• Enrichir la revue de code
• Suggérer des améliorations pour optimiser le code
• Automatiser la génération de tests
• Détecter et corriger les failles de sécurité
• Réaliser une analyse des causes profondes en cas d'échec des pipelines CI
• Garantir le respect de la confidentialité et la sécurité des données

Grâce à sa compréhension des besoins des entreprises opérant dans les secteurs fortement réglementés, en particulier dans le secteur public et le secteur financier, GitLab offre une plateforme unique qui permet d'exécuter des modèles d'IA dans un environnement sécurisé.

GitLab Duo Self-Hosted permet de garder un contrôle total sur la confidentialité des données, la sécurité et le déploiement de grands modèles de langage (LLM) dans leur propre infrastructure et garantit ainsi :

• La protection de la confidentialité des données
• La conformité aux exigences réglementaires
• Une sécurité maximale
• Tous les avantages de l’IA, sans dépendre d’un réseau externe ni exposer vos systèmes à des risques

GitLab, une plateforme moderne et complète

Les entreprises ont besoin d'une plateforme DevSecOps complète pour rationaliser leurs processus, renforcer la sécurité et accélérer l'innovation. C'est précisément ce qu'offre GitLab : une application unique, qui regroupe tous les outils essentiels aux équipes de développement, de sécurité et des opérations, avec une sécurité intégrée et une automatisation alimentée par l'IA.

Pour en savoir plus sur GitLab, découvrez nos démonstrations interactives :

• GitLab Premium et Ultimate avec GitLab Duo : l'assistance au développement alimentée par l'IA
• La sécurité dans les pipelines CI/CD : l'analyse de sécurité intégrée qui protège vos logiciels
• Frameworks de conformité : des stratégies appliquées à l'ensemble des projets pour une meilleure gouvernance

Participez à notre événement virtuel à l'occasion du lancement de GitLab 18 et découvrez ce que vous réserve notre plateforme DevSecOps, notamment le rôle de l'IA agentique. Inscrivez-vous dès aujourd'hui !

« GitLab est la solution tout-en-un la plus complète. Elle s'adresse aux entreprises qui cherchent à standardiser leurs processus avec un seul achat. » - Rapport The Forrester Wave™ dédié aux plateformes DevOps, T2 2025

Cette reconnaissance vient renforcer notre conviction : les équipes de développement logiciel doivent livrer des logiciels sécurisés, plus rapidement, sans sacrifier ni la rapidité, ni la sécurité, ni la simplicité, alors que d'autres plateformes imposent ce compromis. GitLab unifie les enjeux de rapidité, de fiabilité et de gouvernance. Avec la version 18.0 de GitLab sortie en mai, nous franchissons une nouvelle étape en intégrant les fonctionnalités basées sur l'IA native de GitLab Duo, sans frais supplémentaires. Avec GitLab Duo, nos clients bénéficient de fonctionnalités avancées, telles que la génération de tests, les suggestions de code et la refactorisation du code, directement dans GitLab Premium et GitLab Ultimate.

Consultez le rapport Forrester dès aujourd'hui !

Une IA de pointe, sans compromis sur la sécurité

Les principes de l'approche DevSecOps évoluent rapidement, et l'IA est au cœur de cette transformation. Malheureusement, de nombreux outils alimentés par l'IA imposent de choisir entre des fonctionnalités de pointe et la sécurité à l'échelle de l'entreprise.

Forrester a attribué à GitLab la note maximale de 5 pour 2 critères clés : l'injection d'IA et l'atténuation des risques liés à l'IA. Nous sommes fiers que notre engagement à créer des fonctionnalités d'IA innovantes qui renforcent la sécurité soit remarqué non seulement par nos clients, mais également par d'autres parties prenantes.

Ces deux critères se reflètent dans nos offres d'IA GitLab Duo, notamment :

• Duo Workflow (bêta privée) : des agents d'IA autonomes capables de gérer des tâches DevSecOps complexes, avec l'implémentation de garde-fous adaptés au secteur d'activité concerné et de pistes d'audit.
• Agentic Chat : une IA contextuelle et conversationnelle adaptée à toutes les étapes du cycle de développement, des explications de code à la création de tests, avec une protection de la propriété intellectuelle et des contrôles de confidentialité intégrés.
• Suggestions de code : génération prédictive de blocs de code, définition d'une logique fonctionnelle, génération de tests et suggestion d'un code commun comme des motifs regex.
• Résolution de vulnérabilités intégrant l'IA native : détection, explication et correction automatiques des vulnérabilités, avec des merge requests générées automatiquement, qui simplifient le processus de développement.

En finir avec la multiplication des outils

Les équipes DevSecOps ne veulent plus jongler entre plusieurs outils disparates et des intégrations qui les aident seulement pour une partie de leur cycle de développement logiciel. Elles ont besoin d'une expérience de développement fluide, intégrée et cohérente de bout en bout.

Les scores de GitLab dans les critères suivants valident notre stratégie centrée sur le client :

• Expérience zero-day : Forrester a cité notre « forte expérience zero-day », en notant que « la plateforme est opérationnelle immédiatement », grâce notamment aux nombreux outils de migration et tutoriels complets mis à disposition.
• Outils de développement : Forrester a cité GitLab Duo combiné à Amazon Q, notre offre d'IA agentique destinée aux clients AWS, ainsi que notre environnement de développement cloud, notre plateforme de développement intégrée et nos wikis de documentation.
• Planification et alignement des projets : Forrester a noté la « robustesse de notre centre de conformité » et le fait que nous disposons d'outils pour favoriser une approche à la fois descendante et ascendante.
• Sécurité des pipelines : Forrester nous a attribué la note maximale pour ce critère.
• Automatisation des compilations et intégration continue (CI) : Forrester a cité notre automatisation des compilations et nos fonctionnalités d'intégration continue avec des pipelines de compilation en plusieurs étapes et une solide prise en charge des modèles auto-hébergés.

Téléchargez notre rapport

Le fait que GitLab soit nommée Leader dans le rapport The Forrester Wave™: DevOps Platforms (T2 2025) témoigne de l'étendue et de la profondeur des fonctionnalités de notre plateforme, qui fournit une source unique de vérité pour l'ensemble du cycle de développement logiciel. Plus besoin de jongler avec plusieurs outils et multiples intégrations : GitLab offre une expérience fluide et intégrée qui augmente la productivité et réduit les points de friction. Cette distinction reflète le travail assidu de nos équipes, les nombreuses contributions de notre communauté open source, les précieux retours de nos clients et notre engagement constant à façonner l'avenir du développement logiciel.

Téléchargez le rapport dès aujourd'hui !

Forrester ne cautionne aucune entreprise, aucun produit, aucune marque ou aucun service inclus dans ses publications de recherche et ne conseille à quiconque de sélectionner les produits ou services d'une entreprise ou d'une marque en fonction des notes attribuées. Les informations se fondent sur les meilleures ressources disponibles. Les opinions reflètent notre jugement du moment et peuvent évoluer. Pour en savoir plus, découvrez les critères d'objectivité de Forrester.

Mais imaginez un assistant qui ne se limite plus au code : capable de comprendre tous les artefacts de votre processus de développement, de gérer vos tickets, de documenter vos projets, et d’accéder à vos pipelines CI/CD et vos merge requests pour vous aider à mener à bien vos tâches de développement.

Découvrez GitLab Duo Agentic Chat, l'assistant d'IA nouvelle génération, qui succède à GitLab Duo Chat. Dernier-né de la plateforme GitLab, GitLab Duo Agentic Chat marque une avancée majeure dans l'assistance au développement basée sur l'IA native. Disponible dès aujourd'hui en version expérimentale, il est accessible à tous les utilisateurs de GitLab.com via l'extension GitLab Workflow pour VS Code.

Contrairement aux assistants de chat traditionnels basés sur une IA conversationnelle, Agentic Chat effectue des actions en votre nom. Il décompose les problèmes complexes en tâches distinctes qu'il peut accomplir. Au lieu de répondre simplement aux questions en se basant sur le contexte que vous fournissez, il offre les capacités suivantes :

• Il détermine de manière autonome les informations dont il a besoin pour répondre à vos questions.
• Il exécute une séquence d'opérations afin de collecter ces informations à partir de plusieurs sources.
• Il formule des réponses complètes en combinant les données provenant de l'ensemble de votre projet.
• Il crée et modifie des fichiers pour vous aider à mettre en œuvre des solutions.

Mais bien évidemment, en tant que développeur, vous avez toujours votre mot à dire.

Agentic Chat repose sur l'architecture GitLab Duo Workflow, actuellement disponible en version bêta privée qui intègre des agents et des outils dédiés pour des tâches spécifiques : recherche contextuelle, modification de fichiers, et bien plus encore.

Cas d'utilisation de GitLab Duo Agentic Chat

Avec Agentic Chat, vous pouvez :

• Prendre en main les nouveaux projets plus rapidement en demandant à l'IA de vous guider à travers le nouveau code base.

• Commencer à effectuer immédiatement les tâches qui vous sont attribuées, même lorsque les descriptions des tickets ne sont pas claires : Agentic Chat vous aide à faire le lien entre les exigences et les implémentations.

• Gérer l’implémentation : lorsqu'il est temps d'apporter des modifications, Agentic Chat peut gérer le travail d'implémentation en créant et en modifiant plusieurs fichiers dans votre projet.

• Vérifier votre solution : au moment de la mise en production, Agentic Chat peut vous aider à vérifier que votre solution répond réellement aux exigences initiales en analysant vos merge requests et en les comparant au ticket ou à la tâche d'origine.

<center><i>Agentic Chat apporte des modifications au code</i></center>

De l'apprentissage à la livraison : un workflow en quatre étapes

Pour mieux saisir l'impact d'Agentic Chat, explorons un scénario réel vécu par notre équipe d’ingénierie. Prenons l'exemple suivant : vous intégrez une nouvelle équipe, un ticket vous est attribué, mais vous ne maîtrisez pas encore le code base.

Pour mieux visualiser ce scénario, n'hésitez pas à regarder la vidéo de démonstration ci-dessous :

<!-- blank line --> <figure class="video_container"> <iframe src="https://www.youtube.com/embed/uG9-QLAJrrg?si=kaOhYylMIaWkIuG8j" frameborder="0" allowfullscreen="true"> </iframe> </figure> <!-- blank line -->

Étape 1 : comprendre le projet

Au lieu d'explorer manuellement les fichiers et la documentation, vous pouvez soumettre le prompt suivant à Agentic Chat :

I am new to this project. Could you read the project structure and explain it to me?

Agentic Chat fournit une vue d'ensemble complète du projet en :

• explorant la structure des répertoires
• lisant les fichiers README et la documentation
• identifiant les composants et les applications clés

Étape 2 : comprendre la tâche qui vous a été attribuée

Ensuite, vous devez comprendre la tâche à effectuer. Vous pouvez donc saisir le prompt suivant :

I have been assigned Issue 1119. Could you help me understand this task, specifically where do I need to apply the refactoring?

Agentic Chat explique la tâche et propose une approche de refactorisation :

• en récupérant et en analysant les détails du ticket à partir du serveur GitLab distant
• en examinant les fichiers associés au projet
• en identifiant les emplacements spécifiques nécessitant des modifications

Étape 3 : mettre en œuvre la solution

Plutôt que d'effectuer le travail manuellement, vous pouvez saisir le prompt suivant :

Could you make the edits for me? Please start with steps one, two, three.

Agentic Chat :

• crée des répertoires et fichiers si nécessaire
• extrait et refactorise le code à plusieurs emplacements
• assure la cohérence de tous les fichiers modifiés
• fournit un résumé de toutes les modifications apportées

Étape 4 : vérifier que le travail effectué est correct

Enfin, après avoir créé votre merge request, vous pouvez vérifier votre travail avec le prompt suivant :

Does my MR fully address Issue 1119?  

Agentic Chat confirme alors si toutes les exigences ont été prises en compte en analysant à la fois votre merge request et le ticket d'origine.

Essayez Agentic Chat dès aujourd'hui !

GitLab Duo Agentic Chat est actuellement disponible en tant que fonctionnalité expérimentale dans VS Code pour les utilisateurs de GitLab Duo Pro et GitLab Duo Enterprise. Découvrez les prérequis et les étapes de configuration dans notre documentation officielle.

Cette version expérimentale d'Agentic Chat présente encore quelques limitations connues que nous nous efforçons de résoudre, y compris des temps de réponse parfois lents en raison de multiples appels API, une recherche basée sur des mots-clés plutôt que sur une recherche sémantique, ainsi qu'une prise en charge limitée des nouveaux dossiers locaux ou des projets autres que GitLab. Vos retours sont précieux pour nous aider à hiérarchiser les prochaines améliorations et à proposer Agentic Chat en disponibilité générale. C'est pourquoi nous vous invitons à partager votre expérience dans ce ticket.

Quelles perspectives pour Agentic Chat ?

Nous concentrons tous nos efforts sur l'amélioration d'Agentic Chat en vue de sa future disponibilité générale. À court terme, notre objectif est de réduire les temps de réponse et d'y intégrer les capacités dont GitLab Duo Chat dispose actuellement, telles que la compatibilité avec les modèles de GitLab Duo Self-Hosted, ainsi que la prise en charge des environnements JetBrains et Visual Studio, en plus de VS Code. Une fois cette nouvelle architecture pleinement implémentée dans GitLab Duo Chat, nous prévoyons également d'intégrer Agentic Chat directement au chat intégré à l'application web de GitLab. D'autres améliorations sont déjà en cours de développement, notamment : la modification directe des artefacts GitLab, la prise en charge du contexte à partir de serveurs personnalisés via MCP (Model Context Protocol) et la possibilité d'exécuter des commandes directement dans le terminal.

Vous souhaitez découvrir l'assistance au développement autonome, mais vous n'utilisez pas encore GitLab ? Profitez dès aujourd'hui d'un essai gratuit de 60 jours de GitLab Ultimate avec Duo Enterprise pour tester Agentic Chat et contribuez à façonner l'avenir du développement alimenté par l'IA. Pour commencer, suivez simplement ces étapes de configuration pour VS Code.

Avertissement : cet article de blog contient des informations relatives aux produits, fonctionnalités et caractéristiques à venir. Il est important de noter qu'elles ne sont fournies qu'à titre informatif. Veuillez ne pas vous fier à ces informations à des fins d'achat ou de planification. Comme pour tout projet, les éléments mentionnés dans cet article sont susceptibles de changer ou d’être retardés. Le développement, la sortie et le calendrier de tout produit ou fonctionnalité restent à la seule discrétion de GitLab.

En savoir plus

• GitLab Duo Workflow : une IA agentique offrant visibilité et contrôle à l'échelle de l'entreprise
• Qu'est-ce que l'IA agentique ?
• Agentic Chat : guides et ressources

Dans cet article, découvrez comment fonctionnent les grands modèles de langage, leurs applications concrètes et les principaux enjeux à surmonter pour exploiter pleinement leur potentiel.

Sommaire

• Qu’est-ce qu’un LLM ?
• Comment fonctionnent les grands modèles de langage ?
• Applications des grands modèles de langage dans une approche DevSecOps
• Quels sont les avantages des grands modèles de langage ?
• Quels sont les défis liés à l’utilisation des LLM ?
• Comment GitLab utilise les LLM pour ses fonctionnalités GitLab Duo ?

Qu’est-ce qu’un LLM ?

Les grands modèles de langage (LLM) sont des systèmes d’intelligence artificielle capables de traiter et de générer du texte de manière autonome. Leur apprentissage repose sur l’analyse de vastes ensembles de données issues de sources variées, afin qu’ils puissent maîtriser les structures linguistiques, les relations contextuelles et les nuances du langage.

Les LLM représentent une avancée majeure dans le domaine de l’IA. Leur capacité à traiter, générer et interpréter du texte repose sur des techniques sophistiquées d’apprentissage automatique et de traitement automatique du langage naturel (NLP). Ces systèmes ne se contentent pas de traiter des mots isolés : ils analysent des séquences complexes pour saisir le sens global, les contextes subtils et les nuances linguistiques.

Comment fonctionnent les grands modèles de langage ?

Pour mieux comprendre leur fonctionnement, explorons certaines des caractéristiques clés des grands modèles de langages.

Apprentissage supervisé et non supervisé

Les grands modèles de langage sont entraînés selon deux approches complémentaires : l’apprentissage supervisé et l’apprentissage non supervisé. Ces deux approches du machine learning permettent de maximiser leurs capacités à analyser et à générer du texte.

• L’apprentissage supervisé repose sur des données étiquetées, où chaque entrée est associée à un résultat attendu. Le modèle apprend à associer ces entrées aux sorties correctes en ajustant ses paramètres internes pour réduire les erreurs de prédiction. Grâce à cette approche, le modèle acquiert des connaissances précises sur des tâches spécifiques, telles que la classification de textes ou la reconnaissance d’entités nommées.

• L’apprentissage non supervisé (ou apprentissage automatique), quant à lui, ne nécessite pas de données étiquetées. Le modèle explore de vastes volumes de texte pour découvrir des structures cachées et identifier des relations sémantiques. Ainsi, le modèle est en capacité d‘apprendre des schémas récurrents, des règles grammaticales implicites dans le texte ou encore de contextualisation des phrases et des concepts. Cette méthode permet d’entraîner les LLM sur de vastes corpus de données, accélérant considérablement leur progression sans intervention humaine directe.

En combinant ces deux approches, les grands modèles de langage bénéficient autant d'un apprentissage précis guidé par des humains que d’une exploration autonome illimitée. Cette complémentarité leur permet de se développer rapidement, tout en améliorant continuellement leur capacité à comprendre et à générer du texte de manière cohérente et contextuelle.

Apprentissage reposant sur un large volume de données

Les grands modèles de langage sont entraînés à partir de milliards de phrases issues de sources variées, telles que des articles de presse, des forums en ligne, des documentations techniques, des études scientifiques et bien plus encore. Cette variété de sources leur permet d’acquérir une compréhension étendue et nuancée du langage naturel, allant des expressions courantes aux terminologies spécialisées.

La richesse des données utilisées est un facteur clé de la performance des LLM. Chaque source apporte des styles d’écriture, des contextes culturels et des niveaux de technicité différents.

Par exemple :

• Des articles de presse : pour maîtriser un langage informatif et factuel.
• Des forums en ligne : pour comprendre les conversations informelles et les langages techniques des communautés spécialisées.
• Des documentations techniques et études scientifiques : pour assimiler des concepts complexes et des terminologies spécifiques, notamment dans des domaines comme le DevOps et le DevSecOps.

Cette diversité de contenu permet aux LLM de reconnaître des structures linguistiques complexes, d’interpréter des phrases dans différents contextes et de s’adapter à des domaines très techniques. Dans le DevSecOps, cela signifie comprendre des commandes, des configurations, des protocoles de sécurité et même des concepts liés au développement et à la maintenance de systèmes informatiques.

Grâce à cette formation à grande échelle, les grands modèles de langage peuvent répondre avec précision à des questions complexes, rédiger des documentations techniques ou identifier des vulnérabilités dans des systèmes informatiques.

Architecture de réseaux neuronaux et « deep learning »

Les grands modèles de langage reposent sur des architectures de réseaux neuronaux avancées. Ces réseaux sont spécialement conçus pour traiter de grandes séquences de texte tout en maintenant une compréhension précise du contexte. Cet apprentissage en « deep learning » constitue un atout majeur dans le domaine du traitement automatique du langage naturel (NLP).

La plus connue de ces structures est l’architecture des modèles séquence à séquence (transformers). Cette architecture a révolutionné le NLP grâce à sa capacité à analyser simultanément toutes les parties d’un texte, contrairement aux approches séquentielles qui traitent les mots un par un.

Les modèles séquence à séquence excellent dans le traitement des textes longs. Par exemple, dans une conversation ou un document technique détaillé, ils sont capables de relier des informations distantes dans le texte pour produire des réponses précises et bien argumentées. Cette gestion du contexte est essentielle dans une approche DevSecOps, où les instructions peuvent être complexes et réparties sur plusieurs lignes de code ou étapes de configuration.

Génération de texte prédictive

Lorsque l'utilisateur soumet un texte, une requête ou une question, un grand modèle de langage utilise sa capacité de prédiction pour générer la suite la plus probable, fondée sur le contexte fourni.

Le modèle analyse chaque mot, étudie les relations grammaticales et sémantiques, puis sélectionne les termes les plus adaptés pour produire un texte cohérent et informatif. Cette approche permet de générer des réponses précises, détaillées et adaptées au ton attendu.

Dans les environnements DevSecOps, cette capacité devient particulièrement utile pour :

• l’assistance au codage : génération de blocs de code ou de scripts adaptés à des configurations spécifiques.
• la résolution de problèmes techniques : propositions de solutions basées sur des descriptions de bogues ou d’erreurs.
• la rédaction de documentations techniques : création automatique de guides, de manuels ou d'instructions.

La génération de texte prédictive permet ainsi d’automatiser de nombreuses tâches répétitives et d’accélérer le travail des équipes techniques.

Applications des grands modèles de langage dans une approche DevSecOps

Avec la montée en puissance de l’automatisation, les grands modèles de langage sont devenus des alliés incontournables pour les équipes techniques. Leur capacité à comprendre et à générer du texte de manière contextuelle leur permet d’intervenir efficacement dans des environnements complexes tels que le DevSecOps.

Grâce à leur puissance d’analyse et leur capacité à s’adapter aux besoins spécifiques, ces modèles offrent des solutions sur mesure pour rationaliser les processus et alléger la charge de travail des équipes techniques.

Génération de code automatisée

Les équipes de développement peuvent exploiter les grands modèles de langage pour transformer des spécifications fonctionnelles en code source de manière automatisée.

Grâce à cette capacité, elles peuvent :

• générer des scripts d'automatisation complexes,
• créer des pipelines CI/CD adaptés aux processus spécifiques de l'entreprise,
• produire des correctifs de sécurité sur mesure.
• générer des explications de code et créer une documentation,
• refactoriser le code en améliorant sa structure et sa lisibilité sans modifier les fonctionnalités,
• générer des tests.

En s'appuyant sur les LLM, les équipes parviennent à accélérer le développement de leurs logiciels tout en réduisant les risques d'erreurs humaines.

Documentation et partage des connaissances améliorés

Ces puissants outils facilitent la création de manuels d'utilisation, de descriptions d'API et de tutoriels sur mesure, parfaitement adaptés au niveau d'expertise de chaque utilisateur. En s’appuyant sur des bases de connaissances existantes, les grands modèles de langages créent des réponses contextuelles aux questions fréquentes. Cela améliore la transmission des savoirs au sein des équipes, accélère l'intégration des nouveaux membres et permet de centraliser les bonnes pratiques.

Gestion des incidents et dépannage

Lors d’un incident, les LLM jouent un rôle crucial en analysant en temps réel les logs et les fichiers de trace. Grâce à leur capacité à croiser des informations provenant de multiples sources, ils identifient les anomalies et proposent des solutions fondées sur des incidents similaires passés. Cette approche réduit significativement le temps de diagnostic. De plus, les LLM peuvent automatiser la création de rapports d'incidents détaillés et recommander des actions correctives précises.

Création et amélioration des pipelines CI/CD

Les grands modèles de langage révolutionnent la configuration des pipelines CI/CD. Ils peuvent non seulement aider à créer des pipelines, mais aussi à automatiser ce processus et proposer des configurations optimales basées sur des standards de l'industrie. En adaptant les workflows selon vos besoins spécifiques, ils assurent une cohérence parfaite entre les différents environnements de développement. Les tests automatisés sont renforcés par des suggestions pertinentes, limitant ainsi les risques de défaillance. Les LLM surveillent également en continu l’efficacité des pipelines et ajustent les processus pour garantir un déploiement fluide et sans interruption.

Sécurité et conformité

Dans un environnement DevSecOps, les grands modèles de langage deviennent des alliés précieux pour la sécurité et la conformité. Ils analysent le code source à la recherche de vulnérabilités potentielles et génèrent des recommandations correctives détaillées. Les LLM peuvent également surveiller l'application des normes de sécurité en temps réel, produire des rapports de conformité complets et automatiser l'application de correctifs de sécurité dès qu'une faille est identifiée. Cette automatisation renforce la sécurité globale et garantit un respect constant des exigences légales et industrielles.

Quels sont les avantages des grands modèles de langage ?

Les grands modèles de langage transforment en profondeur les approches DevOps et DevSecOps, apportant des améliorations substantielles en matière de productivité, de sécurité et de qualité logicielle. En s’intégrant aux workflows existants, les LLM bouleversent les approches traditionnelles en automatisant des tâches complexes et en fournissant des solutions innovantes.

Amélioration de la productivité et de l’efficacité

Les grands modèles de langage jouent un rôle central dans l’amélioration de la productivité et de l’efficacité des équipes techniques. En automatisant un large éventail de tâches répétitives, ils libèrent les équipes de développement des opérations routinières. Ces dernières peuvent ainsi se concentrer sur des activités stratégiques à plus forte valeur ajoutée.

En outre, les LLM agissent comme des assistants techniques intelligents capables de fournir instantanément des extraits de code pertinents, adaptés au contexte spécifique de chaque projet. De cette manière, ils réduisent considérablement le temps de recherche en proposant des solutions prêtes à l’emploi pour assister les équipes dans leur travail. Cette assistance ciblée accélère la résolution des problèmes et diminue les interruptions dans les workflows.

Ainsi, la productivité augmente et les projets avancent plus rapidement. Les équipes techniques peuvent prendre en charge un plus grand nombre de tâches sans compromettre la qualité des livrables.

Amélioration de la qualité du code et de la sécurité

L’utilisation des grands modèles de langage dans le développement logiciel constitue un levier majeur pour améliorer autant la qualité du code que la sécurité des applications. Grâce à leurs capacités d’analyse avancées, les LLM peuvent examiner le code source ligne par ligne et détecter instantanément les erreurs syntaxiques, incohérences logiques et vulnérabilités potentielles. Leur aptitude à reconnaître le code défectueux permet de recommander des corrections adaptées et conformes aux meilleures pratiques du secteur.

Les LLM jouent aussi un rôle préventif essentiel. Ils excellent dans l'identification des failles de sécurité complexes, souvent difficiles à repérer par les humains. En analysant les dépendances, ils peuvent signaler des bibliothèques obsolètes ou vulnérables, et recommander des versions mises à jour plus sûres. Cette approche contribue au maintien d’un environnement sécurisé et conforme aux normes de sécurité en vigueur.

Au-delà de la correction des erreurs existantes, les LLM proposent des améliorations en suggérant des pratiques de codage et des structures de projet optimisées. Ils peuvent générer du code respectant les normes de sécurité les plus avancées, et ce, dès les premières étapes du développement.

Accélération des cycles de développement

Les grands modèles de langage jouent un rôle déterminant dans l’accélération des cycles de développement logiciel en automatisant des tâches clés qui, autrement, mobiliseraient de précieuses ressources humaines.

Les tâches complexes et répétitives, comme l’écriture de fonctions, la création de tests unitaires ou l’implémentation de composants standards, sont automatisées en quelques instants.

Les LLM accélèrent également la phase de validation grâce à leur capacité à suggérer des scénarios de test complets et adaptés. Ils garantissent une couverture de test plus étendue en un minimum de temps, réduisant les risques d’erreurs et facilitant la détection précoce des anomalies. Cette approche préventive raccourcit le cycle de corrections et limite les retards liés aux problèmes de qualité du code.

En simplifiant les tâches techniques et en fournissant des solutions rapides et adaptées, les grands modèles de langage favorisent une réponse plus agile des entreprises aux exigences du marché. Cette accélération du cycle de développement se traduit par des mises à jour plus fréquentes, des itérations plus rapides et une meilleure capacité à adapter les produits aux besoins changeants des utilisateurs.

Les cycles de développement deviennent ainsi plus courts, offrant un avantage stratégique essentiel dans un environnement technologique toujours plus exigeant.

Quels sont les défis liés à l’utilisation des LLM ?

Malgré leurs nombreux avantages, les grands modèles de langage présentent certaines limites qui nécessitent une gestion attentive. Leur efficacité dépend fortement de la qualité des données utilisées lors de leur entraînement et de la mise à jour régulière de leurs bases de connaissances. De plus, des problèmes liés aux biais algorithmiques, à la sécurité des données et à la confidentialité peuvent survenir, exposant les entreprises à des risques opérationnels et juridiques. Une supervision humaine rigoureuse demeure indispensable pour garantir la fiabilité des résultats, assurer la conformité réglementaire et éviter les erreurs critiques.

Confidentialité et sécurité des données

L’entraînement des LLM repose sur de vastes volumes de données, souvent issues de sources diverses, ce qui soulève des questions quant à la protection des informations confidentielles. Les données sensibles partagées avec des plateformes cloud peuvent donc être exposées à des violations potentielles. Cela inquiète particulièrement les entreprises opérant dans des secteurs réglementés.

En Europe, où des réglementations strictes comme le RGPD régissent la gestion des données, de nombreuses entreprises hésitent à transférer leurs informations vers des services externes. Les exigences réglementaires, associées à la crainte d'une exploitation non autorisée des données sensibles, incitent certaines entreprises à privilégier des solutions auto-hébergées pour conserver un contrôle total sur leurs systèmes.

Des fournisseurs comme GitLab ont mis en place des garanties de sécurité robustes, telles que la non-rétention intentionnelle des données à caractère personnel et le chiffrement de bout en bout. Toutefois, cela peut ne pas suffire pour les clients les plus exigeants, qui préfèrent une maîtrise complète de leurs environnements. La mise en œuvre de solutions hybrides ou sur site devient alors une nécessité stratégique pour répondre aux exigences de sécurité de certaines entreprises.

Pour en savoir plus sur GitLab Duo Self-Hosted, cliquez sur l'image ci-dessous pour accéder à la visite guidée.

<a href="https://gitlab.navattic.com/gitlab-duo-self-hosted"><img src="//images.ctfassets.net/r9o86ar0p03f/2pwIuKnYugpw309BVVMjou/84dd883d0332876b731faaed6d649140/gitlab-duo-self-hosted-product-tour.png" alt="GitLab Duo Self-Hosted Product Tour"></a>

Précision et fiabilité

Bien que les grands modèles de langage soient capables de générer des résultats impressionnants, leur performance n’est pas infaillible. Ils peuvent produire des réponses incorrectes, incomplètes ou incohérentes. Cette imprécision devient particulièrement problématique dans le cadre de tâches critiques comme la génération de code de sécurité ou l'analyse de données sensibles.

De plus, les LLM fonctionnent sur la base de modèles probabilistes, ce qui signifie qu’ils ne « comprennent » pas véritablement le contenu qu'ils traitent, mais produisent des prédictions basées sur des probabilités statistiques. Cela peut entraîner des recommandations techniquement incorrectes, voire dangereuses, lorsqu'elles sont utilisées sans validation humaine.

Pour éviter ces pièges, il est essentiel de maintenir une supervision constante et d’établir des processus de validation rigoureux. Les résultats fournis par les LLM doivent alors toujours être examinés par des humains avant leur intégration dans des systèmes critiques.

Une stratégie de mise à jour régulière des modèles, associée à une surveillance humaine proactive, permet de réduire les erreurs et d'améliorer progressivement la fiabilité des résultats.

Comment GitLab utilise les LLM pour ses fonctionnalités GitLab Duo ?

GitLab Duo exploite la puissance des grands modèles de langage pour transformer les processus DevSecOps en intégrant des fonctionnalités alimentées par l’IA, et ce, tout au long du cycle de vie du développement logiciel. Cette approche vise à améliorer la productivité, renforcer la sécurité et automatiser des tâches complexes afin de permettre aux équipes de développement de se concentrer sur des tâches à forte valeur ajoutée.

Une assistance IA pour le développement logiciel

GitLab Duo propose un soutien continu tout au long du cycle de développement logiciel grâce à des recommandations en temps réel. Les équipes de développement peuvent automatiquement générer des tests unitaires, obtenir des explications détaillées sur des segments de code complexes et bénéficier de suggestions pour améliorer la qualité de leur code.

Analyse proactive des défaillances CI/CD

L’une des fonctionnalités clés de GitLab Duo est son assistance à l'analyse des échecs des jobs CI/CD. Grâce au LLM et l’IA, les équipes parviennent à identifier rapidement les sources d'erreurs dans leurs pipelines d’intégration et de déploiement continus.

Sécurité du code renforcée

GitLab Duo intègre des fonctionnalités de sécurité basées sur l’IA. Le système détecte les vulnérabilités dans le code source et propose des correctifs détaillés pour en réduire les risques. Les équipes reçoivent des explications claires sur la nature des failles identifiées et peuvent appliquer des correctifs automatisés via des merge requests générées directement par GitLab Duo. Cette fonctionnalité permet de sécuriser le développement sans pour autant ralentir les cycles de développement.

Pour en savoir plus sur cette fonctionnalité, cliquez sur l'image ci-dessous pour accéder à notre visite guidée.

<a href="https://gitlab.navattic.com/ve-vr-short"><img src="//images.ctfassets.net/r9o86ar0p03f/R6uuYPxQoSwo56kWygRkJ/9972ec8e5371cfc30391c6f656ed35fb/gitlab-duo-enterprise-product-tour.png" alt="GitLab Vulnerability Report Product Tour"></a>

Fonctionnalités clés de GitLab Duo

• GitLab Duo Chat : cette fonctionnalité conversationnelle traite et génère du texte et du code de manière intuitive. Elle permet aux utilisateurs de rechercher rapidement des informations pertinentes dans des volumes importants de texte, notamment dans les tickets, les epics, le code source et la documentation GitLab.

• GitLab Duo Self-Hosted : GitLab Duo Self-Hosted permet aux entreprises ayant des exigences strictes en matière de confidentialité de leurs données de bénéficier des fonctionnalités d’IA de GitLab Duo avec une flexibilité dans le choix du déploiement et des LLM parmi une liste d’options supportées.

• Suggestions de code : les équipes de développement bénéficient de suggestions de code automatisées, ce qui leur permet d'écrire du code sécurisé plus rapidement. Les tâches de codage répétitives et routinières sont ainsi automatisées, accélérant considérablement les cycles de développement logiciel.

GitLab Duo ne se limite pas à ces fonctionnalités. Il offre une gamme étendue de fonctionnalités destinées à simplifier et à optimiser le développement logiciel. Que ce soit pour automatiser des tests, améliorer la collaboration entre les équipes ou renforcer la sécurité des projets, GitLab Duo constitue une solution complète pour des processus DevSecOps intelligents et efficaces.

Pour en savoir plus sur GitLab Duo Enterprise, cliquez sur l'image ci-dessous pour accéder à notre visite guidée.

<a href="https://gitlab.navattic.com/duo-enterprise"><img src="//images.ctfassets.net/r9o86ar0p03f/4nclgZ2JUeQ0hR4wjOS30P/ba948ae1a0dce0cff4469ca06490efb1/Screenshot_2024-08-27_at_9.24.32_AM.png" alt="GitLab Duo Enterprise Product Tour"></a>

Après avoir exploré les bases de l'approche CI/CD de GitLab dans notre précédent article, concentrons-nous à présent sur les variables CI/CD afin de tirer pleinement parti de leur potentiel.

Qu’est-ce qu’une variable CI/CD ?

Les variables CI/CD sont des paires clé-valeur dynamiques que vous pouvez définir à différents niveaux (projet, groupe ou instance par exemple) au sein de votre environnement GitLab. Elles permettent de personnaliser les pipelines CI/CD, de centraliser les configurations et de gérer en toute sécurité des données sensibles. Intégrées directement dans le fichier .gitlab-ci.yml comme des espaces réservés pour les valeurs correspondantes, elles facilitent la maintenance, renforcent la sécurité et améliorent la flexibilité des workflows CI/CD.

Quel est le rôle des variables CI/CD ?

Les variables CI/CD offrent de nombreux avantages :

• Flexibilité : adaptez facilement vos pipelines à différents environnements, configurations ou cibles de déploiement sans modifier votre script CI/CD principal.
• Sécurité : stockez en toute sécurité des informations sensibles telles que des clés API, des mots de passe et des tokens sans les exposer dans votre code.
• Maintenabilité : en centralisant les valeurs, elles simplifient la gestion et les mises à jour de votre configuration CI/CD pour qu'elle reste structurée correctement.
• Réutilisation : définies une seule fois, elles peuvent être réutilisées dans plusieurs projets, ce qui favorise la cohérence et réduit les doublons.

Portées des variables CI/CD : projet, groupe et instance

GitLab permet de définir des variables CI/CD à différentes niveaux hiérarchiques du projet, avec un contrôle précis sur leur visibilité, leur portée et leur accessibilité :

• Variables au niveau du projet : elles sont propres à un seul projet et idéales pour stocker des paramètres spécifiques, notamment :

  • L'URL de déploiement : définissez des URL distinctes pour les environnements de préproduction et de production.
  • Les identifiants de connexion à la base de données : stockez les données de connexion à la base de données afin de pouvoir les utiliser lors d'un test ou d'un déploiement.
  • Les feature flags : activez ou désactivez les fonctionnalités à différentes étapes de votre pipeline.
  • Exemple : dans le cadre de votre projet MyWebApp, vous souhaitez stocker l'URL de déploiement de production. Vous pouvez définir une variable au niveau du projet, nommée DPROD_DEPLOY_URL, avec la valeur https://mywebapp.com d'URL de production.

• Variables au niveau du groupe : elles sont partagées par tous les projets d'un groupe GitLab. Elles sont utiles pour centraliser des paramètres communs à plusieurs projets, notamment :

  • Les clés API de services partagés : stockez-les pour des services tels qu'AWS, Google Cloud ou Docker Hub qui sont utilisés par plusieurs projets au sein du groupe.
  • Les paramètres de configuration généraux : définissez des paramètres de configuration communs qui s'appliquent à tous les projets du groupe.
  • Exemple : dans votre groupe Web Apps, vous souhaitez stocker une clé API pour Docker Hub. Vous pouvez définir une variable au niveau du groupe, nommée DOCKER_HUB_API_KEY, avec la valeur de clé API correspondante.

• Variables au niveau de l'instance : elles sont disponibles pour tous les projets d'une instance GitLab et couramment utilisées pour les paramètres généraux qui s'appliquent à l'ensemble de l'entreprise, notamment :

  • Le token d'enregistrement de runner par défaut : fournissez un token par défaut pour l'enregistrement de nouveaux runners.
  • Les informations sur la licence : stockez les clés de licence des fonctionnalités GitLab ou des outils tiers.
  • Les paramètres d'environnement généraux : définissez des variables d'environnement qui doivent être disponibles pour tous les projets.
  • Exemple : vous souhaitez définir une image Docker par défaut pour tous les projets de votre instance GitLab. Vous pouvez définir une variable au niveau de l'instance, nommée DEFAULT_DOCKER_IMAGE, avec la valeur ubuntu:latest.

Comment définir des variables CI/CD ?

Pour définir une variable CI/CD, voici comment procéder :

1. Cliquez sur les boutons Paramètres > CI/CD de votre projet, groupe ou instance.
2. Accédez à la section Variables.
3. Cliquez sur Ajouter une variable.
4. Saisissez la clé (par exemple, API_KEY) et la valeur correspondante.
5. Facultatif : cochez l'option Protéger la variable si elle contient des données sensibles afin de restreindre son utilisation aux pipelines qui s'exécutent sur des branches ou des tags protégés.
6. Facultatif : cochez la case Masquer la variable pour masquer sa valeur dans les job logs, afin d'éviter toute exposition accidentelle.
7. Cliquez sur Enregistrer la variable.

Comment utiliser des variables CI/CD ?

Pour utiliser une variable CI/CD dans votre fichier .gitlab-ci.yml, faites simplement précéder le nom de la variable du symbole $ :

deploy_job:
  script:
    - echo "Deploying to production..."
    - curl -H "Authorization: Bearer $API_KEY" https://api.example.com/deploy

Comment utiliser les variables CI/CD prédéfinies dans GitLab ?

GitLab met à disposition un ensemble de variables CI/CD prédéfinies que vous pouvez utiliser dans vos pipelines CI/CD. Celles-ci fournissent des informations contextuelles sur le pipeline, le job, le projet en cours, et bien plus encore.

Voici les variables plus couramment utilisées :

• $CI_COMMIT_SHA : SHA de validation qui déclenche le pipeline
• $CI_PROJECT_DIR : répertoire dans lequel le projet est cloné
• $CI_PIPELINE_ID : ID du pipeline en cours
• $CI_ENVIRONMENT_NAME : nom de l'environnement de déploiement cible (le cas échéant)

Bonnes pratiques pour l'utilisation des variables CI/CD

• Gérez en toute sécurité les variables sensibles : utilisez des variables protégées et masquées pour stocker les clés API, les mots de passe et tout autre secret.
• Évitez de coder en dur les valeurs : stockez les valeurs de configuration dans des variables afin de renforcer la flexibilité et la maintenance de vos pipelines.
• Organisez vos variables : utilisez des noms explicites et regroupez les variables par usage pour faciliter leur gestion.
• Choisissez la portée appropriée : définissez vos variables au niveau du projet, groupe ou instance en fonction de leur utilisation prévue et de leur visibilité.

Tirez parti de la puissance des variables CI/CD

Les variables CI/CD sont un outil puissant pour personnaliser et sécuriser vos pipelines GitLab. En maîtrisant leur fonctionnement et en comprenant leurs différentes portées, vous pouvez créer des workflows plus flexibles, plus faciles à maintenir et plus efficaces.

Prêt à passer à l’action ? Commencez à utiliser les variables CI/CD dès aujourd'hui et profitez d'un essai gratuit de 60 jours de GitLab Ultimate avec Duo Enterprise.

Articles de la série « Premiers pas avec GitLab »

Découvrez les autres articles de notre série « Premiers pas avec GitLab » :

• Comment gérer les utilisateurs
• Comment importer vos projets dans GitLab
• Comment maîtriser la gestion de projet
• La gemme gitlab-triage : votre alliée pour des workflows Agile automatisés
• Comprendre l'approche CI/CD

L'IA au service des équipes de développement

L'intelligence artificielle occupe désormais une place centrale dans le quotidien des équipes de développement. Elle optimise l'écriture de code en analysant le code base en temps réel, en proposant des suggestions au fil de la saisie, en générant des fonctions et méthodes adaptées au contexte du projet, en automatisant les tâches répétitives et en simplifiant les revues de code.

Depuis plusieurs années, nous développons GitLab Duo pour intégrer ces capacités d'IA générative et agentique à notre plateforme, car l'écriture du code ne représente qu'une partie du cycle de développement logiciel : notre Rapport Global DevSecOps révèle en effet que les développeurs consacrent 79 % de leur temps à des tâches autres que la création de code. Nous avons donc fait le choix d'intégrer l'IA à chaque étape du cycle de développement logiciel.

Nous franchissons aujourd'hui un nouveau cap en incluant les fonctionnalités clés de GitLab Duo dans nos éditions GitLab Premium et GitLab Ultimate, afin que chaque développeur et développeuse puisse bénéficier des avantages de l'IA, sans frais supplémentaires.

En effet, en intégrant les fonctionnalités de chat et de suggestions de code de GitLab Duo aux éditions GitLab Premium et Ultimate, les ingénieurs logiciels peuvent accélérer leur workflow au sein même de l'IDE, sans devoir installer d'autres outils, gérer des licences distinctes ou se soucier de la gouvernance. Il suffit aux clients Premium et Ultimate existants de passer à GitLab 18.0 pour bénéficier d'un accès instantané à ces fonctionnalités. Elles seront également disponibles pour tous les nouveaux clients.

« GitLab a déjà joué un rôle déterminant en nous aidant à nous affranchir d'une chaîne d'outils fragmentée, ce qui a permis de réduire les coûts liés à des solutions disparates et de rationaliser notre workflow. L'ajout de GitLab Duo à GitLab Premium nous permettra d'optimiser notre productivité et de réaliser encore plus d'économies, car nos développeurs consacreront moins de temps aux tâches de codage répétitives et plus de temps à la résolution de défis complexes qui génèrent une valeur métier réelle. »

• Andrei Nita, Chief Technology Officer chez McKenzie Intelligence Services

<div style="padding:56.25% 0 0 0;position:relative;"><iframe src="https://player.vimeo.com/video/1083723619?badge=0&autopause=0&player_id=0&app_id=58479" frameborder="0" allow="autoplay; fullscreen; picture-in-picture; clipboard-write; encrypted-media" style="position:absolute;top:0;left:0;width:100%;height:100%;" title="GitLab Premium with Duo Core"></iframe></div><script src="https://player.vimeo.com/api/player.js"></script>

<br></br> Les clients Premium et Ultimate bénéficient désormais des capacités d'IA natives suivantes :

Suggestions de code de GitLab Duo

• Génération de fonctions complètes et de blocs de code à partir de commentaires
• Complétion de code intelligente au fil de la saisie
• Prise en charge de plus de 20 langages de programmation
• Intégration aux IDE les plus populaires

Découvrez la fonctionnalité de suggestions de code de GitLab Duo dans cette présentation interactive (cliquez sur l'image pour démarrer la présentation).

<a href="https://gitlab.navattic.com/code-suggestions"><img src="//images.ctfassets.net/r9o86ar0p03f/4nclgZ2JUeQ0hR4wjOS30P/ba948ae1a0dce0cff4469ca06490efb1/Screenshot_2024-08-27_at_9.24.32_AM.png" alt="GitLab Duo Code Suggestions cover image"></a>

Consultez notre documentation sur les suggestions de code de GitLab Duo pour en savoir plus.

GitLab Duo Chat

• Explication de code pour faciliter la compréhension des fonctions complexes
• Refactorisation du code existant pour améliorer sa qualité et sa maintenabilité
• Génération de scénarios de test complets pour vous aider à détecter les bugs dès les premières étapes du développement
• Correction des anomalies directement dans votre workflow

Pour en savoir plus, consultez notre documentation sur GitLab Duo Chat.

« Pour nous, en tant qu'utilisateurs de GitLab, les suggestions de code intelligentes de GitLab Duo sont devenues un atout quotidien pour nos développeurs. Combinées à la fonctionnalité de chat, elles permettent d'effectuer des itérations rapides, avec un retour immédiat, pour des cycles de développement plus fluides et un code plus sécurisé. Elles constituent une intégration à la fois fluide et puissante à nos workflows. »

• Felix Kortmann, Chief Technology Officer, Ignite by FORVIA HELLA

GitLab Duo Enterprise disponible pour les clients GitLab Premium

Face à une forte demande, nous avons le plaisir d'annoncer que les clients GitLab Premium peuvent désormais acheter une licence GitLab Duo Enterprise, notre suite complète de solutions d'IA, sans avoir à passer à GitLab Ultimate. Ils bénéficient ainsi d'une expérience d'IA exceptionnelle, avec des fonctionnalités avancées parfaitement intégrées à chaque étape du développement logiciel :

• L'analyse des causes profondes pour diagnostiquer et résoudre rapidement les échecs de pipelines CI/CD et veiller à leur bon fonctionnement.

• La revue de code qui utilise GitLab Duo comme relecteur pour accélérer la révision des modifications proposées dans une merge request.

• Le chat avancé pour résumer les conversations. Il aide à comprendre les modifications apportées au code et fournit une assistance avancée pour la configuration.

• GitLab Duo Self-Hosted pour déployer GitLab Duo dans des environnements air-gapped et hors ligne en hébergeant des modèles d'IA approuvés.

Au-delà de la disponibilité de GitLab Duo Enterprise, nous renforçons en continu notre engagement auprès des clients GitLab Premium. Depuis le lancement de GitLab 17, nous avons déployé plus d'une centaine de nouvelles fonctionnalités et d'améliorations, dont voici quelques exemples notables :

• Le catalogue CI/CD permet aux équipes de développement de partager, découvrir et réutiliser
  des configurations et des composants CI/CD préexistants.
• Le registre des artefacts offre aux équipes de développement un accès sécurisé aux artefacts et une intégration homogène aux pipelines CI/CD.
• Le développement à distance permet aux équipes de développement de travailler dans des environnements de développement à la demande, hébergés dans le cloud.

Découvrez les fonctionnalités de GitLab Premium.

GitLab Duo : une IA qui s'adapte aux besoins des entreprises

GitLab propose une gamme complète de fonctionnalités GitLab Duo dans ses offres Pro et Enterprise, pour accompagner ses clients à chaque étape de leur cycle d'adoption de l'IA. Plus vos équipes progressent dans ce cycle, et plus vous pouvez utiliser de fonctionnalités pour créer, tester et déployer plus rapidement des logiciels sécurisés.

Comment les clients GitLab Ultimate et Premium peuvent-ils activer GitLab Duo ?

À partir de GitLab 18.0, pour les clients Ultimate et Premium existants, les fonctionnalités de suggestions de code et de chat de GitLab Duo sont désactivées par défaut, mais peuvent facilement être activées.

Vous trouverez la procédure à suivre ci-dessous :

1. Vérifiez avant tout que vous disposez de GitLab Premium ou Ultimate. Dans le cas contraire, vous pouvez démarrer un essai gratuit de 60 jours.

2. Activez GitLab Duo dans vos paramètres.

3. Si vous utilisez un IDE local, installez l'extension d'éditeur de code GitLab de votre choix.

4. Commencez à utiliser les suggestions de code et le chat dans l'IDE local de votre choix, s'il est pris en charge, ou dans le Web IDE de GitLab.

Remarque : les fonctionnalités d'IA de GitLab seront activées automatiquement pour les nouveaux clients et les versions d'essai.

Le développement IA native avec une plateforme DevSecOps

L'IA redéfinit l'expérience de développement. Les entreprises ne vont pas seulement recruter davantage de talents pour créer leurs logiciels. Elles vont également disposer de davantage de code généré par l'IA et prêt à être déployé en production, ce qui rend GitLab plus essentiel que jamais.

Nous avons conçu GitLab Premium et Ultimate avec GitLab Duo spécifiquement dans cet état d'esprit, afin d'offrir aux équipes une base sécurisée pour l'ensemble de leur code. À mesure que l'IA génère du code à l'échelle de votre entreprise, GitLab devient votre plateforme de contrôle, éliminant ainsi le recours à des outils distincts pour le scanning de sécurité, les contrôles de conformité ou la gestion des pipelines. Vous pouvez entièrement vous appuyer sur notre plateforme unique et unifiée, qui évolue avec votre entreprise. Elle vous garantit la qualité, la sécurité et la conformité de votre code jusqu’à sa mise en production.

Pour en savoir plus sur GitLab Duo et tous ses avantages pour votre équipe, consultez notre page GitLab Premium ou, si vous êtes un client GitLab, contactez votre représentant GitLab pour organiser une démonstration. Enfin, nous vous invitons à participer au lancement virtuel de GitLab 18 le 24 juin 2025, afin de découvrir l'avenir du développement logiciel basé sur l'IA native.

L'IA agentique désigne une forme avancée d'intelligence artificielle capable d'agir de manière autonome en s'appuyant sur des modèles de langage sophistiqués et le traitement du langage naturel.

Contrairement à l'IA générative traditionnelle, qui nécessite une intervention humaine constante, l'IA agentique comprend les instructions, prend des décisions éclairées et exécute plusieurs séquences d'action pour atteindre un objectif défini. Elle décompose les tâches complexes en étapes plus simples et adapte sa stratégie en temps réel grâce à sa capacité d'apprentissage adaptatif lorsqu'elle rencontre des obstacles.

Informations clés sur l'IA agentique

• Vers une nouvelle ère du développement logiciel grâce à l’IA agentique : découvrez comment l'IA agentique transforme le développement logiciel en remplaçant le codage isolé par des workflows intelligents qui améliorent la productivité et garantissent la sécurité.
• IA agentique : libérez le plein potentiel des développeurs à grande échelle : découvrez comment l'IA agentique révolutionne le développement logiciel en dépassant la simple complétion de code pour donner naissance à de véritables partenaires d'IA capables de gérer des tâches complexes de manière proactive.
• Tendances de l'IA en 2025 : IA agentique, modèles auto-hébergés et bien plus encore : découvrez les principales tendances du développement logiciel alimenté par l'IA, des déploiements de modèles sur site aux agents d'IA intelligents et adaptatifs.
• L'IA agentique au service des équipes d'ingénierie de plateforme : découvrez comment l'IA agentique révolutionne l'ingénierie de plateforme en automatisant les workflows complexes et en intensifiant les efforts de standardisation.

Bonnes pratiques pour intégrer l'IA agentique

• Agents d’IA : sécurisez leur autonomie avec des garde-fous efficaces : découvrez les garde-fous de sécurité indispensables à l'approche DevSecOps pour encadrer les agents d'IA, tels que les contrôles de conformité, la sécurisation de l'infrastructure et la gestion des accès utilisateurs.

Les offres de GitLab en matière d'IA agentique

GitLab Duo combiné à Amazon Q

• GitLab Duo combiné à Amazon Q : l'IA agentique optimisée pour AWS est désormais disponible à tous les utilisateurs : la plateforme DevSecOps complète alimentée par l'IA de GitLab, combinée aux fonctionnalités de cloud computing les plus avancées, accélère les cycles de développement, augmente l'automatisation et améliore la qualité du code.
• DevSecOps + IA agentique : maintenant disponibles avec GitLab Self-Managed Ultimate sur AWS : utilisez des agents d'IA optimisés pour l'approche DevSecOps dans votre instance GitLab Self-Managed Ultimate sur AWS et tirez pleinement parti des fonctionnalités de GitLab Duo combiné à Amazon Q au sein de votre entreprise.

Pour en savoir plus, consultez notre page GitLab et AWS et visionnez une démonstration de GitLab Duo combiné à Amazon Q :

<div style="padding:56.25% 0 0 0;position:relative;"><iframe src="https://player.vimeo.com/video/1075753390?badge=0&autopause=0&player_id=0&app_id=58479" frameborder="0" allow="autoplay; fullscreen; picture-in-picture; clipboard-write; encrypted-media" style="position:absolute;top:0;left:0;width:100%;height:100%;" title="Technical Demo: GitLab Duo with Amazon Q"></iframe></div><script src="https://player.vimeo.com/api/player.js"></script>

Visite guidée

Cliquez sur l'image pour une visite guidée de GitLab Duo combiné à Amazon Q :

Tutoriel GitLab Duo combiné à Amazon Q

• GitLab Duo combiné à Amazon Q : créez de nouvelles fonctionnalités en quelques minutes : GitLab Duo combiné à Amazon Q analyse les descriptions de vos tickets et génère automatiquement des solutions de code complètes et opérationnelles, pour des workflows de développement plus rapides.

GitLab Duo Workflow

• GitLab Duo Workflow : l'avenir du développement logiciel basé sur une IA agentique sécurisée
• GitLab Duo Workflow : une IA agentique offrant visibilité et contrôle à l'échelle de l'entreprise : nos agents d'IA sécurisés et autonomes comprennent le contexte et prennent en charge les tâches complexes. Les équipes de développement sont ainsi en mesure de livrer des logiciels innovants plus rapidement. La liste d'attente pour l'accès à la version bêta privée de GitLab Duo Workflow est ouverte.
• Documentation GitLab Duo Workflow

Regardez cette présentation de GitLab Duo Workflow :

<!-- blank line -->

<figure class="video_container"> <iframe src="https://www.youtube.com/embed/eN2Sd5UNc0g?si=C9HibBJ3QDDHADq2" frameborder="0" allowfullscreen="true"> </iframe> </figure> <!-- blank line -->

Visite guidée

Cliquez sur l'image pour démarrer une visite de GitLab Duo Workflow :

Tutoriels et cas d'utilisation de GitLab Duo Workflow

• Refactorisation de JavaScript en TypeScript avec GitLab Duo Workflow
• Automatisation des tâches de codage fastidieuses avec GitLab Duo Workflow : découvrez comment l'IA agentique peut réduire le temps que vous consacrez aux tâches répétitives afin de vous aider à vous concentrer sur le développement et la livraison de solutions innovantes.
• GitLab Duo Workflow : améliorez l'assurance qualité de vos applications : découvrez étape par étape comment ajouter des tests unitaires à une application Java à l'aide de l'IA agentique.
• Résolution de défis complexes avec GitLab Duo Workflow : découvrez comment l'équipe Customer Success de GitLab utilise l'IA agentique pour résoudre des problèmes concrets comme les limites des charts Helm dans le registre de paquets.

Autres ressources sur l'IA

• Rapport Global DevSecOps 2024 : la maturité de l'IA dans l'approche DevSecOps
• Le rôle de l'IA dans l'approche DevOps
• Les articles récents de GitLab sur l'IA et le ML

Découvrez dans cet article tout ce que vous devez savoir sur les frameworks de conformité personnalisés de GitLab et comment les utiliser de façon optimale.

Qu’est-ce qu’un framework de conformité personnalisé ?

Les frameworks de conformité personnalisés de GitLab vous permettent de définir, d'appliquer et de faire respecter vos propres normes de conformité directement dans votre instance GitLab. GitLab propose déjà des fonctionnalités de conformité « prêtes à l’emploi », mais chaque entreprise a ses propres obligations. Avec les frameworks personnalisés, vous pouvez donc définir vos propres stratégies de conformité en fonction de réglementations spécifiques, de vos politiques internes ou des normes de votre secteur.

Ces frameworks offrent les principaux avantages suivants :

• Réduction significative du suivi manuel
• Accélération de la préparation aux audits
• Intégration native des contrôles de conformité

GitLab propose à ce jour plus de 50 contrôles préconfigurés, modifiables, que vous pouvez activer selon vos besoins. Ils couvrent un large éventail de réglementations, comme la loi HIPAA dans le domaine de la santé, le RGPD pour la protection des données, la norme SOC 2 relative aux prestataires de services et bien d'autres réglementations propres à des secteurs d'activité spécifiques. En voici quelques exemples :

• Séparation des tâches : au moins deux approbateurs requis, y compris l'auteur de la merge request
• Scanners de sécurité : scans SAST et analyse des dépendances exécutés automatiquement
• Authentification/autorisation : visibilité du projet définie sur privé et authentification unique (SSO) activée
• Configuration de l'application : vérification obligatoire des statuts de conformité et utilisation de fichiers de configuration Terraform exigée

En outre, vous pouvez étendre les capacités de conformité de GitLab en configurant vos propres contrôles sur des environnements externes à l'aide de l'API GitLab.

Comment créer un framework de conformité personnalisé dans GitLab ?

Maintenant que nous avons clarifié l’importance des frameworks de conformité personnalisés, voyons comment les mettre en œuvre dans votre environnement GitLab, en utilisant l'application de démonstration reprise dans la vidéo ci-dessous.

Remarque : un abonnement GitLab Ultimate est requis.

<!-- TODO: EMBED_YT_VIDEO -->

<!-- blank line -->

<figure class="video_container"> <iframe src="https://www.youtube.com/embed/bSwwv5XeMdQ?si=unDwCltF4vTHT4mB" title="Adhering to compliance requirements with built-in compliance controls " frameborder="0" allowfullscreen="true"> </iframe> </figure> <!-- blank line -->

Étape 1 : définissez vos exigences de conformité

Avant de créer votre framework de conformité personnalisé, vous devez définir clairement vos exigences en la matière :

1. Identifiez les réglementations applicables : déterminez les obligations légales et normes qui s'appliquent à votre entreprise (par exemple, le RGPD, la norme PCI DSS ou la loi HIPAA).
2. Associez les exigences à des contrôles : décomposez chaque exigence réglementaire identifiée en contrôles spécifiques et exploitables.
3. Hiérarchisez les exigences : concentrez vos efforts sur les domaines à haut risque et les exigences à fort impact.

Étape 2 : créez votre framework de conformité personnalisé dans GitLab

Voici comment procéder :

1. Accédez à la section Sécurisation > Centre de conformité de votre groupe GitLab.
2. Cliquez sur le bouton Nouveau framework.
3. Sélectionnez Créer un framework vide.

4. Renseignez son nom, sa description et choisissez sa couleur.

5. Ajoutez des exigences :
   a. Accédez à l'onglet Exigences.

   b. Cliquez sur le bouton Nouvelle exigence.

   c. Fournissez un nom et une description.
   d. Dans la section Contrôles, sélectionnez Choisir un contrôle GitLab.
   e. Sélectionnez un contrôle dans la liste (par exemple, au moins deux approbations, l'exécution de scans SAST).
   f. Cliquez ensuite sur le bouton Créer une exigence.

6. Cliquez sur le bouton Créer un framework.

Une fois créé, ce framework pourra être appliqué à vos projets selon les paramètres définis. Par ailleurs, GitLab permet également d'importer des frameworks de conformité au format JSON, selon le schéma prévu.

Étape 3 : appliquez le framework à vos projets

Une fois votre framework de conformité créé, suivez les étapes ci-dessous pour l’appliquer à un ou plusieurs projets :

1. Accédez au Centre de conformité de GitLab, puis sélectionnez l'onglet Projets.
2. Utilisez la barre de recherche pour Rechercher ou Filtrer les projets concernés.
3. Sélectionnez le ou les projets dans la liste.
4. Cliquez sur le bouton Choisir une action groupée.
5. Sélectionnez Appliquer les frameworks aux projets sélectionnés.
6. Cliquez sur le bouton Sélectionner des frameworks.
7. Sélectionnez le ou les frameworks de votre choix dans la liste.
8. Cliquez sur le bouton Appliquer.

Une fois cette opération effectuée, le framework sélectionné est associé aux projets choisis. Les exigences définies sont alors visibles et peuvent être vérifiées directement dans l'interface GitLab.

Étape 4 : surveillez et générez des rapports de conformité

Une fois votre framework de conformité en place, GitLab vous offre un suivi continu et centralisé dans le Centre de conformité :

1. Suivez le statut de conformité de vos projets, y compris les détails sur les contrôles appliqués, ainsi que des correctifs suggérés pour les contrôles ayant échoué.
2. Générez des rapports de conformité pour les audits et l'examen par les parties prenantes.
3. Configurez des alertes de conformité pour informer les parties prenantes des problèmes de conformité potentiels.
4. Consultez les événements d'audit pour une vue d'ensemble des mesures prises concernant les paramètres de conformité.

Exemple : mise en œuvre d'un framework de conformité SOC 2

Le SOC 2 (System and Organization Controls 2), développée par l'American Institute of Certified Public Accountants, est une norme d'audit rigoureuse qui évalue les contrôles mis en œuvre par les prestataires de services en matière de sécurité, de disponibilité, d'intégrité du traitement des données, de confidentialité et de protection des données personnelles. Pour en savoir plus, consultez le guide sur le respect des exigences de sécurité SOC 2 avec GitLab.

Voici un exemple concret d'implémentation d'un framework de conformité personnalisé GitLab dont l'objectif est de vérifier la conformité à la norme de sécurité SOC 2 à l’aide des contrôles GitLab préconfigurés suivants :

• Contrôles contre les accès non autorisés
• Procédures d'identification et d'atténuation des risques
• Systèmes de détection et de gestion des incidents de sécurité

Avertissement : il ne s'agit là que d'un exemple qui illustre certains des contrôles possibles pour vérifier l'adhésion à la norme SOC 2. Avant toute mise en production, validez votre configuration avec votre équipe sécurité ou conformité.

Ce framework se présentera comme suit :

• Nom : Exigences de sécurité SOC 2

• Description : Ajout des exigences de sécurité pour la conformité au framework SOC 2

• Exigences :

  • Contrôles contre les accès non autorisés

    • Authentification SSO activée
    • Portée des tokens pour les jobs CI/CD activée
    • Authentification multifacteur requise au niveau de l'entreprise

• Procédures d'identification et d'atténuation des risques

  • Au moins deux approbations requises avant tout merge
  • Merge request approuvée par l'auteur
  • Merge request approuvée par les validateurs
  • Branche par défaut protégée

• Systèmes de détection et de gestion des incidents de sécurité

  • Analyse des dépendances activée
  • SAST activé
  • DAST activé

Lorsqu'il est appliqué à vos projets, ce framework vous permet de surveiller toute erreur de conformité et d'identifier les corrections envisageables. Notez que vous pouvez associer plusieurs frameworks de conformité à vos projets, par exemple, pour couvrir les exigences d'intégrité des processus SOC 2.

Comment définir des stratégies de sécurité en accord avec les exigences de conformité ?

Bien que cet aspect ne soit pas obligatoire, il est fortement recommandé d'appliquer des stratégies de sécurité aux projets associés à un framework de conformité personnalisé. Cette approche garantit que les exigences de conformité critiques sont correctement appliquées de manière automatisée et cohérente dans les pipelines CI/CD. Par exemple, si votre framework de conformité personnalisé impose que des scans de sécurité soient exécutés sur chaque pipeline, une stratégie de sécurité peut en forcer l’exécution.

GitLab fournit différentes stratégies de sécurité pour répondre aux différents objectifs de sécurité et de conformité :

• Stratégie d'exécution des scans : impose l'exécution de scans de sécurité dans les pipelines ou selon un calendrier précis.
• Politique d'approbation des merge requests : définit des paramètres et règles d'approbation au niveau du projet en fonction des résultats des scans.
• Stratégie d'exécution de pipeline : force l'exécution de jobs CI/CD spécifiques dans les pipelines.
• Stratégie de gestion des vulnérabilités : corrige automatiquement les vulnérabilités afin qu’elles soient supprimées de la branche par défaut.

Si votre framework de conformité personnalisé exige l'exécution de scans SAST, voici comment créer une stratégie de sécurité pour en garantir l’exécution automatique :

1. Accédez à un projet qui dispose d'un framework de conformité personnalisé incluant les scans SAST.
2. Dans la barre latérale du projet, sélectionnez Sécurisation > Politiques.
3. Cliquez sur le bouton Nouvelle stratégie.
4. Dans la section Stratégie d'exécution des scans, cliquez sur le bouton Sélectionner une stratégie.
5. Renseignez le Nom et la Description.
6. Dans la section Actions, sélectionnez SAST comme type de scan à exécuter.

7. Dans la section Conditions, sélectionnez tous les pipelines, quelle que soit la branche.

8. Cliquez sur le bouton Configurer avec une merge request.
9. Une merge request est alors créée dans un projet distinct dédié aux stratégies de sécurité appliquées à ce projet.
10. Cliquez sur le bouton Fusionner.

Désormais, les scans SAST s'exécuteront automatiquement sur toutes les branches du projet afin de garantir le respect continu des exigences de conformité. Nous vous conseillons de parcourir les autres types de stratégies de sécurité pour identifier celles qui répondent le mieux à vos besoins.

5 bonnes pratiques pour des frameworks de conformité efficaces

Pour tirer pleinement parti des frameworks de conformité personnalisés de GitLab, nous vous conseillons de suivre les principes suivants :

1. Avancez pas à pas : commencez par une seule réglementation ou norme critique avant d'aller plus loin.
2. Impliquez les principales parties prenantes : incluez les équipes de conformité, de sécurité et de développement dans la création du framework.
3. Automatisez dans la mesure du possible : utilisez GitLab CI/CD pour automatiser les contrôles de conformité.
4. Documentez minutieusement votre approche : conservez une documentation claire du lien entre chaque exigence réglementaire et les contrôles GitLab mis en place.
5. Révisez régulièrement vos frameworks : mettez à jour vos frameworks à mesure que les réglementations évoluent ou que de nouvelles exigences sont nécessaires.

Lancez-vous dès aujourd'hui

Les frameworks de conformité personnalisés de GitLab marquent une avancée majeure pour intégrer la conformité directement dans le workflow de développement DevSecOps. En les adoptant, vous réduisez les frais liés à la conformité, améliorez votre gestion des risques et accélérez vos cycles de développement logiciel, tout en garantissant la meilleure conformité possible aux exigences réglementaires.

Grâce à cette approche, vos équipes bénéficient à la fois de la flexibilité dont elles ont besoin pour répondre aux exigences réglementaires et de la structure indispensable pour garantir des pratiques de conformité cohérentes dans l'ensemble de l'entreprise.

Dans un contexte réglementaire de plus en plus exigeant, des outils comme les frameworks de conformité personnalisés de GitLab sont essentiels pour traiter la conformité comme un processus continu, sans compromettre la vélocité de développement.

Lancez-vous dès aujourd'hui avec un essai gratuit de 60 jours de GitLab Ultimate.

Pour en savoir plus, consultez nos ressources connexes :

• Documentation sur les frameworks de conformité personnalisés
• Epic sur les frameworks de conformité personnalisés
• Documentation sur les stratégies de sécurité
• Solutions de sécurité et de conformité de GitLab

Et si les capacités de l'IA agentique pouvaient tout changer ? C'est exactement ce que propose GitLab Duo combiné à Amazon Q. En associant la plateforme DevSecOps complète alimentée par l'IA de GitLab aux fonctionnalités avancées de cloud computing d'AWS, cette intégration vous permet d'accélérer considérablement votre processus de développement d'applications, le tout au sein de votre workflow GitLab habituel. Le code que vos équipes de développement écrivent en plusieurs jours peut désormais être généré automatiquement en quelques minutes à partir des descriptions et exigences incluses dans vos tickets GitLab.

Transformer un ticket en code opérationnel

Découvrons comment cette fonctionnalité d'IA agentique fonctionne en pratique. Imaginez que vous deviez développer une application de calcul de prêt immobilier. Voici comment procéder à l'aide de GitLab Duo combiné à Amazon Q :

1. Créez votre ticket dans GitLab : créez un ticket classique, contenant la liste complète des exigences de votre application. Ce ticket sert de point de départ pour développer votre solution logicielle.

2. Activez Amazon Q : une fois votre ticket créé, ajoutez simplement un commentaire contenant la commande d'action rapide “/q dev” pour lancer Amazon Q et laisser la magie opérer.

3. Génération automatique du code : GitLab Duo combiné à Amazon Q analyse votre ticket et le contexte de votre code source, puis génère automatiquement un code répondant à toutes vos spécifications. Et cerise sur le gâteau : l'IA soumet également ce code dans une merge request, prête pour la revue.

4. Revue de l'application générée : consultez la merge request pour vérifier que le code correspond bien à vos attentes et apportez des ajustements si nécessaire.

5. Testez votre application : enfin, assurez-vous que l'application s'exécute correctement. Vous disposez désormais d'un code opérationnel conforme à vos exigences initiales, sans effort superflu.

Une nouvelle ère pour votre développement logiciel

GitLab Duo combiné à Amazon Q révolutionne le développement logiciel en automatisant intelligemment les tâches complexes, réduisant ainsi drastiquement le temps nécessaire pour produire du code opérationnel. En tirant parti de l'IA agentique, vous pouvez accélérer le déploiement de vos nouvelles fonctionnalités, ce qui permet à vos équipes de se concentrer sur des tâches plus stratégiques.

Avec GitLab Duo combiné à Amazon Q, dites adieu aux tâches manuelles et développez des logiciels plus rapidement, plus efficacement et plus facilement. Vous pouvez ainsi :

• Accélérer votre processus de développement en automatisant la création de code conformément aux exigences du projet.
• Maintenir une qualité constante lors de la génération de code, pour l'ensemble de vos projets.
• Réduire la charge mentale en limitant la traduction manuelle des exigences en code opérationnel.
• Accélérer vos cycles de sortie des nouvelles versions en supprimant les goulots d'étranglement, notamment ceux liés à l'implémentation.
• Optimiser l'expertise de votre équipe en la recentrant sur la revue de code et l'optimisation de ce dernier, plutôt que sur son écriture.

Vous souhaitez découvrir GitLab Duo combiné à Amazon Q ? Regardez notre vidéo de démonstration et découvrez dès aujourd'hui comment optimiser votre workflow de développement.

<!-- blank line --> <figure class="video_container"> <iframe src="https://www.youtube.com/embed/jxxzNst3jpo?si=j_LQdZhUnwqoQEst" title="GitLab Duo with Amazon Q demo video for dev workflow" frameborder="0" allowfullscreen="true"> </iframe> </figure> <!-- blank line -->

Pour en savoir plus sur GitLab Duo combiné à Amazon Q, consultez notre documentation ou contactez notre équipe.

Qu'est-ce que l'approche CI/CD ?

• L'intégration continue est une pratique de développement qui consiste à fusionner régulièrement les modifications apportées au code dans un dépôt partagé, de préférence plusieurs fois par jour, afin qu'elles soient vérifiées via un processus automatisé de compilation et de tests. Les équipes de développement peuvent ainsi détecter rapidement les problèmes et conflits éventuels.
• La livraison continue complète l'intégration continue en automatisant le pipeline pour la sortie de nouvelles versions. À tout moment, l'application reste déployable vers un environnement donné (par exemple, préproduction, production), en un seul clic ou par le biais d'un déclenchement automatique.
• Le déploiement continu pousse encore plus loin la logique d’automatisation. Chaque compilation réussie est directement mise en production, sans validation manuelle. Ce niveau d'automatisation requiert une confiance totale dans vos tests automatisés et vos processus de déploiement.

Pourquoi choisir GitLab CI/CD ?

Entièrement intégré à la plateforme GitLab, GitLab CI/CD est un système puissant, qui permet d'automatiser facilement chaque étape de votre cycle de développement logiciel. Avec GitLab CI/CD, vous pouvez notamment :

• Automatiser l'intégralité de votre cycle de développement : compilation, tests, déploiement, tout peut être orchestré via le pipeline CI/CD.
• Détecter les bogues en amont : les problèmes sont identifiés et corrigés bien avant d’atteindre l'environnement de production.
• Obtenir des retours immédiats : les équipes de développement obtiennent un retour rapide sur leurs modifications de code.
• Renforcer la collaboration : les workflows automatisés fluidifient le travail en équipe.
• Accélérer la livraison : les livraisons de nouvelles versions sont plus rapides et plus fréquentes.
• Réduire les risques : les erreurs de déploiement et les retours en arrière sont considérablement réduits.

Quels sont les principaux composants de GitLab CI/CD ?

• .gitlab-ci.yml : ce fichier YAML, situé dans le répertoire racine de votre projet, définit l'ensemble du pipeline CI/CD, y compris les étapes, les jobs et les runners.
• GitLab Runner: cet agent exécute les jobs CI/CD sur l'infrastructure de votre choix (par exemple, machines physiques, machines virtuelles, conteneurs Docker ou clusters Kubernetes).
• Étapes: elles définissent l'ordre d'exécution des jobs (par exemple, compilation, tests et déploiement).
• Jobs: chaque job représente une unité de travail spécifique exécutée lors de l'étape correspondante (par exemple, compiler du code, exécuter des tests ou déployer dans l'environnement de préproduction).

Comment configurer GitLab CI ?

GitLab CI est très facile à prendre en main. Voici un exemple basique de fichier .gitlab-ci.yml :

stages:
  - build
  - test
  - deploy

build_job:
  stage: build
  script:
    - echo "Building the application..."

test_job:
  stage: test
  script:
    - echo "Running tests..."

deploy_job:
  stage: deploy
  script:
    - echo "Deploying to production..."
  environment:
    name: production

Cette configuration définit trois étapes : « compilation », « test » et « déploiement ». Chaque étape contient un job qui exécute un script simple.

Exemples de configuration CI/CD

Explorons quelques exemples plus concrets.

Création, compilation et déploiement d'une application Node.js

Prenons l'exemple du pipeline ci-dessous qui compile et teste une application Node.js à l'aide de npm, puis la déploie sur Heroku via dpl. L'étape de déploiement du pipeline utilise des variables GitLab CI/CD, qui permettent de stocker des informations sensibles (par exemple, des identifiants de connexion) et de les utiliser en toute sécurité dans les processus CI/CD.

Dans cet exemple, une clé API pour déployer l'application sur Heroku est stockée sous le nom de variable $HEROKU_API_KEY, cette clé étant utilisée par l'outil dpl.

stages:
  - build
  - test
  - deploy

build:
  stage: build
  image: node:latest
  script:
    - npm install
    - npm run build

test:
  stage: test
  image: node:latest
  script:
    - npm run test

deploy:
  stage: deploy
  image: ruby:latest
  script:
    - gem install dpl
    - dpl --provider=heroku --app=$HEROKU_APP_NAME --api-key=$HEROKU_API_KEY

Déploiement vers différents environnements (préproduction et production)

GitLab propose également la gestion des environnements au sein du pipeline CI/CD pour suivre les déploiements vers des cibles d'infrastructure. Dans l'exemple ci-dessous, le pipeline ajoute des étapes avec une propriété « environnement » pour les environnements de préproduction et de production. Alors que l'étape deploy_staging exécute son script automatiquement, l'étape deploy_production nécessite une approbation manuelle afin d'éviter tout déploiement accidentel en production.

stages:
  - build
  - test
  - deploy_staging
  - deploy_production

build:
  # ...

test:
  # ...

deploy_staging:
  stage: deploy_staging
  script:
    - echo "Deploying to staging..."
  environment:
    name: staging

deploy_production:
  stage: deploy_production
  script:
    - echo "Deploying to production..."
  environment:
    name: production
  when: manual  # Requires manual approval

GitLab Auto DevOps

GitLab Auto DevOps simplifie encore plus l'approche CI/CD en fournissant une configuration prédéfinie pour compiler, tester et déployer automatiquement vos applications. Cette suite de fonctionnalités tire parti des bonnes pratiques et des normes du secteur pour rationaliser votre workflow.

Pour activer Auto DevOps :

1. Accédez à Paramètres > CI/CD > Pipelines généraux.
2. Activez l'option Auto DevOps.

Auto DevOps détecte automatiquement le langage et le framework de votre projet et configure les étapes de compilation, de tests et de déploiement nécessaires. Il est donc inutile de créer un fichier .gitlab-ci.yml.

Catalogue CI/CD

Le catalogue CI/CD est une liste de projets contenant des composants CI/CD publiés par la communauté, que vous pouvez utiliser pour optimiser votre workflow CI/CD. Vous pouvez y contribuer en ajoutant vos propres composants ou en enrichissant ceux déjà existants. Les composants publiés dans le catalogue CI/CD sont disponibles sur GitLab.com.

Tutoriel : Comment configurer votre premier composant GitLab CI/CD

Templates CI

Vous pouvez également créer vos propres templates CI afin de standardiser et de réutiliser les configurations de vos pipelines CI/CD entre plusieurs projets. Cette pratique favorise la cohérence et réduit les doublons.

Pour créer un template CI :

1. Créez un fichier .gitlab-ci.yml dans un projet ou un dépôt dédié.
2. Définissez la configuration CI/CD souhaitée dans ce template.
3. Dans le fichier .gitlab-ci.yml, utilisez le terme include pour inclure ce template.

Optimisez votre processus de développement

GitLab CI/CD transforme en profondeur votre workflow de développement de logiciels. En maîtrisant ses concepts, en configurant efficacement vos pipelines CI/CD et en tirant parti de fonctionnalités tels qu'Auto DevOps, le catalogue CI/CD et les templates CI, vous pouvez automatiser l'ensemble de votre cycle de développement logiciel et livrer des logiciels de haute qualité plus rapidement et plus efficacement.

Vous souhaitez approfondir vos connaissances ? Inscrivez-vous aux cours disponibles sur le portail GitLab University.

Essayez GitLab Ultimate gratuitement pendant 60 jours.

Articles de la série « Premiers pas avec GitLab »

Découvrez les autres articles de notre série « Premiers pas avec GitLab » :

• Comment gérer les utilisateurs
• Comment importer vos projets dans GitLab
• Comment maîtriser la gestion de projet
• La gemme gitlab-triage : votre alliée pour des workflows Agile automatisés

Fenêtres de déploiement GitLab 18.0

GitLab.com

Les changements cassants sur GitLab.com sont concentrés sur ces trois périodes clés :

• Du 21 au 23 avril 2025
• Du 28 au 30 avril 2025
• Du 5 au 7 mai 2025

De nombreux autres évolutions continuent d'être déployés au fil des mois. Pour en savoir plus sur les modifications les plus sensibles apportées prévues à ces dates, consultez notre documentation dédie aux changements cassants.

Remarque : exceptionnellement, certaines mises à jour importantes peuvent intervenir légèrement en dehors de ces périodes.

GitLab Self-Managed

GitLab 18.0 est disponible depuis le 15 mai. Consultez le calendrier complet des sorties de nouvelles versions sur cette page.

GitLab Dedicated

La mise à niveau vers GitLab 18.0 aura lieu pendant votre fenêtre de maintenance, entre le 24 et le 29 juin 2025. Pour en savoir plus et connaître votre fenêtre de maintenance, consultez cette page.

Nous mettons également à votre disposition des outils et ressources adaptés pour vous aider à mesurer l'impact de ces changements sur votre environnement et préparer votre passage à la version 18.0. N'hésitez pas à consulter toutes les informations sur ces outils, ressources et les mesures d'atténuation.

En outre, la page des obsolescences répertorie l'ensemble des suppressions prévues dans la version 18.0. Découvrez ci-dessous les nouveautés de cette année et comment vous y préparer selon la configuration de votre déploiement.

Changements cassants

Impact élevé

1. Token pour job CI/CD : suppression du paramètre « Limiter l'accès depuis votre projet »

GitLab.com | GiitLab Self-Managed | GitLab Dedicated

Dans GitLab 14.4, nous avions mis en place le paramètre Limiter l'accès à CI_JOB_TOKEN pour améliorer la sécurité en restreignant l'accès depuis les tokens de job CI/CD de votre projet (CI_JOB_TOKEN) Dans la version 16.3 de GitLab, ce paramètre a été renommé Limiter l'accès à partir de ce projet pour plus de clarté. Dans la version 15.9 de GitLab, nous avions introduit une solution alternative : le paramètre Groupes et projets autorisés. Celui-ci contrôle l'accès au token pour job CI/CD de votre projet à l'aide d'une liste d'autorisations et constitue une amélioration significative par rapport à l'original. La première itération a été rendue obsolète dans GitLab 16.0 et sa suppression est prévue dans GitLab 18.0.

Le paramètre Limiter l'accès à partir de ce projet est désactivé par défaut pour tous les nouveaux projets. Depuis GitLab 16.0, une fois ce paramètre désactivé dans un projet, il n’est plus possible de le réactiver, mais vous pouvez utiliser le paramètre Groupes et projets autorisés pour contrôler l'accès au token pour job de vos projets.

• Avis d'obsolescence
• Vérification GitLab Detective disponible

2. Token pour job CI/CD : application de la liste d'autorisation « Groupes et projets autorisés »

GitLab.com | GitLab Self-Managed | GitLab Dedicated

Introduit dans GitLab 15.9, le paramètre « Groupes et projets autorisés » (renommé Limiter l'accès à ce projet dans la version 16.3 de GitLab), vous permet de gérer l'accès au token pour job CI/CD de votre projet. Lorsque le paramètre est défini sur Uniquement ce projet et tous les groupes et projets de la liste d'autorisation, seuls les groupes ou projets explicitement ajoutés à cette liste peuvent accéder à votre projet par le biais d'un token de job.

• Avant GitLab 15.9, le token de job était accessible depuis n'importe quel projet, car la liste d'autorisation était désactivée par défaut et définie sur « Tous les groupes et projets », sans restriction d'accès.
• Depuis GitLab 17.6, les administrateurs des instances GitLab Self-Managed ou GitLab Dedicated peuvent désormais imposer des règles de sécurité plus strictes pour tous les projets et empêcher les chargés de maintenance des projets de sélectionner Tous les groupes et projets. Cette modification garantit un niveau de sécurité plus élevé entre les projets.
• Dans GitLab 18.0, ce paramètre sera activé par défaut. Sur GitLab.com, nous remplirons automatiquement les listes d'autorisations de vos projets en fonction des logs d'authentification de votre projet.
• Pour anticiper ce changement sur GitLab.com, les chargés de maintenance du projet qui utilisent le token de job pour l'authentification inter-projets doivent remplir les listes d'autorisations Groupes et projets autorisés, puis définir le paramètre sur Uniquement ce projet et tous les groupes et projets de la liste d'autorisation. Nous vous encourageons à utiliser les outils de migration disponibles pour automatiser la création de la liste d'autorisation en fonction des logs d'authentification du projet avant le passage à la version GitLab 18.0.
• Les utilisateurs de GitLab Self-Managed doivent remplir les listes d'autorisations avant d'effectuer la mise à niveau vers la version 18.0.
• Les utilisateurs de GitLab Dedicated doivent élaborer, en collaboration avec l'équipe chargée de leur compte GitLab, une approche adaptée à leur instance.

• Avis d'obsolescence
• Documentation
• Vérification GitLab Detective disponible

3. Renforcement de la portée des tokens pour le proxy de dépendances

GitLab.com | GitLab Self-Managed | GitLab Dedicated

Actuellement, le proxy de dépendances pour les conteneurs accepte les commandes docker login et docker pull en utilisant des tokens d'accès personnels, de projet ou de groupe, sans vérifier leurs portées.

À partir de GitLab 18.0, il exigera la présence des portées read_registry et write_registry pour valider toute authentification. Après cette modification, les tentatives d'authentification avec des tokens ne disposant pas de ces portées seront rejetées.

Avant de procéder à la mise à niveau, vous devez générer de nouveaux tokens avec les portées requises, puis mettre à jour les variables et scripts de vos workflows avec ces nouveaux jetons.

Vous avez également la possibilité d'utiliser Dependency Token Checker, un script développé par la communauté, qui vous permet de visualiser les tokens et de procéder à leur rotation automatique.

• Avis d'obsolescence

Impact modéré

1. Nouvelles limites de conservation des données relatives aux vulnérabilités sur GitLab.com

GitLab.com - Réservé aux clients Ultimate

À partir de GitLab 18.1, nous mettrons en place progressivement, sur une période de six mois, une nouvelle limite de conservation des données pour les clients de l'édition GitLab Ultimate sur GitLab.com, afin d'améliorer les performances et la fiabilité du système. Celle-ci aura une incidence sur la durée de conservation des données relatives aux vulnérabilité.

Les vulnérabilités datant de plus de 12 mois qui n'ont pas été mises à jour seront automatiquement déplacées vers des archives de stockage à froid qui  :

• restent accessibles et téléchargeables via l'interface utilisateur (UI) de GitLab
• sont conservées pendant 3 ans
• sont définitivement supprimées après 3 ans

• Avis d'obsolescence
• Documentation

2. Rejet des stratégies de pull d'image de conteneur qui ne figurent pas dans allowed_pull_policies

GitLab.com | GitLab Self-Managed | GitLab Dedicated

Toutes les stratégies de pull configurées doivent être présentes dans la configuration allowed_pull_policies spécifiée dans le fichier config.toml du runner. Si ce n'est pas le cas, le job devrait échouer avec une erreur de type**incompatible pull policy**.

Actuellement, les jobs ne sont pas rejetés tant qu'au moins une stratégie de pull figure dans allowed-pull-policies, même si d'autres sont exclues.

Dans GitLab 18.0, un job ne sera en échec que si aucune stratégie de pull définie ne figure dans allowed-pull-policies. Toutefois, maintenant, seules les stratégies autorisées dans allowed-pull-policies seront effectivement appliquées. Avec GitLab 18.0, cette distinction risque de provoquer l'échec de jobs qui s'exécutent actuellement avec succès.

• Avis d'obsolescence
• Documentation

3. Fin de la prise en charge de PostgreSQL 14 et 15

GitLab Self-Managed

GitLab suit une cadence de mise à niveau annuelle pour PostgreSQL.

La prise en charge de PostgreSQL 14 et 15 sera supprimée dans GitLab 18.0 et PostgreSQL 16 deviendra la version minimale requise.

PostgreSQL 14 et 15 seront pris en charge pendant l'ensemble du cycle de sortie de nouvelles versions de GitLab 17. PostgreSQL 16 sera également pris en charge pour les instances qui souhaitent effectuer une mise à niveau avant la sortie de GitLab 18.0.

Pour anticiper ce changement, les instances qui n'utilisent pas PostgreSQL Cluster (comme celles installées avec un paquet Omnibus sur une seule instance PostgreSQL), bénéficieront d'une mise à niveau automatique vers PostgreSQL 16 à partir de GitLab 17.11. Si vous utilisez PostgreSQL Cluster ou si vous désactivez cette mise à niveau automatique, vous devrez effectuer une mise à niveau manuelle vers PostgreSQL 16 pour passer à GitLab 18.0. Assurez-vous de disposer de suffisamment d'espace disque pour effectuer la mise à niveau.

• Avis d'obsolescence
• Documentation
• Instructions pour la migration

4. Obsolescence des templates CI/CD Terraform

GitLab Self-Managed

Les templates CI/CD Terraform sont déclarés obsolètes et sont supprimés dans GitLab 18.0. Les templates concernés sont les suivants  :

• Terraform.gitlab-ci.yml
• Terraform.latest.gitlab-ci.yml
• Terraform/Base.gitlab-ci.yml
• Terraform/Base.latest.gitlab-ci.yml

GitLab ne pourra pas mettre à jour le binaire terraform dans les images de job vers une version sous licence Business Source License (BSL).

Pour continuer à utiliser Terraform, clonez les templates et l'image Terraform, et maintenez-les à jour si nécessaire. GitLab fournit des instructions détaillées pour migrer vers une image personnalisée.

À la place, nous vous recommandons d'utiliser le nouveau composant CI/CD OpenTofu sur GitLab.com ou le nouveau template CI/CD OpenTofu sur GitLab Self-Managed. Les composants CI/CD ne sont pas encore disponibles sur GitLab Self-Managed. Toutefois, le ticket n° 415638 propose d'ajouter cette fonctionnalité. Si les composants CI/CD deviennent disponibles sur GitLab Self-Managed, le template CI/CD OpenTofu sera supprimé.

En savoir plus sur le nouveau composant CI/CD OpenTofu.

• Avis d'obsolescence

5. Mise à jour majeure du sous-chart Prometheus

GitLab Self-Managed

Avec GitLab 18.0 et le chart GitLab 9.0, le sous-chart Prometheus sera mis à jour de la version 15.3 à la version 27.3.

Avec cette mise à jour, Prometheus 3 sera livré par défaut.

Vous devrez effectuer certaines étapes manuelles pour effectuer la mise à niveau. Si Alertmanager, Node Exporter ou Pushgateway sont activés, vous devrez également mettre à jour vos valeurs Helm.

Veuillez vous référer au guide sur la migration pour plus d'informations.

• Avis d'obsolescence

Impact faible

1. Arrêt de la compilation des paquets SUSE Linux Enterprise Server 15 SP2

GitLab Self-Managed

Le version avec service et support à long terme (LTSS) pour SUSE Linux Enterprise Server (SLES) 15 SP2 a pris fin en décembre 2024.

Par conséquent, nous ne prendrons plus en charge la distribution de SLES SP2 pour les installations de paquets Linux. Veuillez effectuer une mise à niveau vers SLES 15 SP6 pour bénéficier d'une prise en charge continue.

• Avis d'obsolescence

2. Suppression du limiteur de débit Gitaly

GitLab Self-Managed

Auparavant, Gitaly prenait en charge la limitation de débit basée sur RPC. Nous rendons aujourd'hui cette fonctionnalité obsolète, car elle ne donne pas les résultats escomptés. Veuillez consulter le ticket relatif à l'obsolescence pour plus de détails.

Si vous avez procédé à la configuration du limiteur de débit (bientôt obsolète), aucune erreur ne sera renvoyée et celle-ci sera simplement ignorée.

À la place, vous devez utiliser le limiteur de simultanéité.

• Avis d'obsolescence

3. Obsolescence de la prise en charge de l'image du contrôleur NGINX 1.3.1

GitLab Self-Managed

Nous passons à la version 1.11.2 du contrôleur NGINX par défaut, laquelle impose de nouvelles règles de contrôle d'accès basé sur les rôles (RBAC). Les utilisateurs qui utilisent nginx-ingress.rbac.create: false pour gérer leurs propres règles RBAC

devront les mettre à jour avant de migrer vers la version 1.11.2 ou une version ultérieure. Un mécanisme alternatif permet désormais de déployer la version 1.3.1 uniquement si la valeur Helm est définie comme indiqué ci-dessus. Par ailleurs, nous avons ajouté la valeur nginx-ingress.controller.image.disableFallback, qui est définie par défaut sur « false ». Si vous gérez vos propres règles RBAC, vous pouvez définir cette valeur sur « true » une fois les nouvelles règles en place, afin de permettre le déploiement de la version 1.11.2.

La version 17.5 marquera la fin de la prise en charge de l'image 1.3.1 et du mécanisme alternatif, afin de généraliser l'utilisation de la version 1.11.2, plus sécurisée.

Avis d'obsolescence

4. Mise à jour de la version majeure des analyseurs de tests de sécurité des applications

GitLab.com | GitLab Self-Managed | GitLab Dedicated

Avec GitLab 18.0, les analyseurs utilisés pour les tests de sécurité des applications passeront à de nouvelles versions majeures.

Si vous n'utilisez pas les templates inclus par défaut ou si vous avez épinglé vos versions d'analyseur, pensez à mettre à jour votre job CI/CD en retirant la version épinglée ou en passant à la dernière version majeure.

Jusqu'à GitLab 18.0, les analyseurs seront toujours mis à jour sur les versions 17.0 à 17.11. Ensuite, seuls les analyseurs de la nouvelle version majeure bénéficieront des correctifs et des nouvelles fonctionnalités.

Conformément à notre politique de maintenance, nous ne rétroportons pas les bogues ni les nouvelles fonctionnalités vers les versions obsolètes. Seuls les correctifs de sécurité peuvent être appliqués aux trois dernières versions mineures.

• Avis d'obsolescence

5. API Discovery utilisera les pipelines de branche par défaut

GitLab.com | GitLab Self-Managed | GitLab Dedicated

Dans GitLab 18.0, nous mettrons à jour le comportement par défaut du template CI/CD pour API Discovery (API-Discovery.gitlab-ci.yml).

Jusqu'à GitLab 18.0, il configurait par défaut les jobs pour qu'ils s'exécutent dans des pipelines de merge requests (MR) dès l'ouverture d'une MR.

Dès GitLab 18.0, ce template adoptera le même comportement que les éditions stables de templates des autres scanners d'arbre de syntaxe abstraite (AST) :

• Par défaut, le template exécutera des jobs de scan dans les pipelines de branche.
• Vous pourrez définir la variable CI/CD AST_ENABLE_MR_PIPELINES: true pour utiliser les pipelines MR lors de l'ouverture d'une MR. Le suivi de la mise en œuvre de cette variable est disponible via le ticket n° 410880.

• Avis d'obsolescence

6. Réduction par défaut de la valeur du DAST DAST_DEVTOOLS_API_TIMEOUT

GitLab.com | GitLab Self-Managed | GitLab Dedicated

La variable d'environnement DAST_DEVTOOLS_API_TIMEOUT détermine la durée pendant laquelle un test dynamique de sécurité des applications (DAST) attend une réponse du navigateur. Avant GitLab 18.0, la variable avait une valeur statique de 45 secondes. Dès GitLab 18.0, la variable d'environnement DAST_DEVTOOLS_API_TIMEOUT aura une valeur dynamique, calculée en fonction d'autres configurations de délai d'attente dépassé.

Dans la plupart des cas, la valeur de 45 secondes était supérieure à la valeur du délai d'attente dépassé de nombreuses fonctions du scanner. Le passage à un calcul dynamique permet d'adapter la variable DAST_DEVTOOLS_API_TIMEOUT à un plus grand nombre de situations.

• Avis d'obsolescence

Outils et ressources pour gérer l'impact sur votre environnement

Nous avons développé des outils spécifiques pour aider nos clients à comprendre l'impact de ces changements planifiés sur leur(s) instance(s) GitLab. Après avoir évalué l'impact sur votre projet, consultez les mesures d'atténuation décrites dans la documentation pour assurer une transition fluide vers GitLab 18.0.

• Obsolescence de la recherche avancée : cet outil s'appuie sur l'API de recherche avancée de GitLab pour repérer les chaînes liées aux obsolescences dans vos groupes et projets, et signale aussi les fichiers nécessitant une vérification manuelle. Remarque : peut comporter des faux positifs.
• Assistant de détection de prise en charge de la compilation pour l'analyse des dépendances : cet outil détecte les projets concernés par trois obsolescences liées à l'analyse des dépendances (1, 2, 3 ; toutes reportées à la version 19.0) et s'appuie sur l'API pour analyser les fichiers et les nom de jobs CI.
• GitLab Detective (GitLab Auto-géré uniquement) : cet outil expérimental analyse automatiquement votre installation GitLab pour détecter les problèmes connus, en s'appuyant sur des vérifications poussées des fichiers de configuration et valeurs issues de la base de données. Remarque : l’outil doit s'exécuter directement sur vos nœuds GitLab.

Pour vous accompagner dans cette transition, nous avons lancé sur GitLab University des micro-cours pratiques (de 15 minutes maximum) dédiés à la préparation et à la mise en œuvre des actions d'atténuation nécessaires. Commencez votre parcours d'apprentissage ici.

Si vous disposez d'un forfait payant et que vous avez des questions ou besoin d'aide concernant ces changements, veuillez créer un ticket d'assistance sur le portail d'assistance GitLab.

Si vous utilisez la version gratuite de Gitlab.com, vous pouvez obtenir de l'aide via les ressources communautaires : documentation GitLab, forum de la communauté GitLab et Stack Overflow.

Les agents d'Amazon Q étant directement intégrés à la plateforme DevSecOps de GitLab, les développeurs peuvent continuer à utiliser leur environnement de développement habituel tout en bénéficiant de puissantes fonctionnalités d'IA. Le résultat ? Une expérience fluide qui permet d'accélérer les cycles de développement, de réduire les tâches manuelles et d'améliorer la qualité du code.

« Le programme d'accès anticipé de GitLab Duo combiné à Amazon Q nous a permis de découvrir tout le potentiel de transformation de cette solution pour nos workflows de développement », explique Osmar Alonso, ingénieur DevOps chez Volkswagen Digital Solutions. « Même lors de la phase d'amorçage, nous avons vu comment une intégration plus avancée d'agents autonomes pouvait rationaliser notre processus, de la validation du code à la production. Nous avons hâte de découvrir comment cette technologie va nous permettre de nous concentrer sur l'innovation et d'accélérer notre transformation digitale. »

L'IA agentique s'invite dans les environnements clients complexes

En combinant l'IA agentique avec une infrastructure cloud sécurisée et fiable, GitLab et AWS apportent une sécurité, une évolutivité et une fiabilité intégrées aux environnements clients complexes, ce qui se traduit par de nombreux avantages :

Une expérience de développement unifiée pour un développement rationalisé

Les développeurs peuvent interagir avec Amazon Q via l'interface GitLab Duo Chat à partir de leur environnement de développement intégré (IDE) préféré ou de l'interface Web GitLab. Les utilisateurs n'ont ainsi pas besoin de changer de contexte pour utiliser d'autres outils et peuvent rester concentrés sur le projet en cours.

Une solution unique pour l'ensemble du cycle de développement logiciel

Les suggestions et optimisations de code exploitent les modèles et pratiques spécifiques à AWS, tandis que les outils de test comprennent les interactions et les dépendances des services AWS. Un magasin de données commun à toutes les étapes fournit un contexte essentiel aux agents d'IA, permettant une visibilité et une traçabilité complètes pour les actions pertinentes.

Un développement sécurisé avec des garde-fous à l'échelle de l'entreprise

La sécurité et la conformité tout au long du cycle de développement logiciel sont intégrées directement dans la plateforme de développement avec des garde-fous qui aident à réduire les risques sans entraver la vélocité du développement. Cette approche sécurisée du développement logiciel garantit la transparence et l'auditabilité grâce aux agents d'IA, tout en s'intégrant de façon homogène aux services liés à la sécurité et aux frameworks de conformité d'AWS.

Comment utiliser GitLab Duo combiné à Amazon Q ?

Voici cinq cas d'utilisation initiaux que nous ciblons pour aider les équipes à créer plus rapidement des logiciels sécurisés avec une IA agentique :

1. Accélération du développement des fonctionnalités : créez des descriptions dans les tickets, générez des plans de mise en œuvre en fonction de votre code base existant et produisez des merge requests complètes prêtes pour la vérification. Vous accélérez ainsi la livraison des fonctionnalités tout en appliquant vos normes de développement internes.
2. Modernisation des applications existantes : analysez votre code base Java existant, créez un plan de mise à niveau complet et générez des merge requests contenant toutes les modifications de code nécessaires. Cela permet de réduire le temps de mise à niveau de Java, tout en maintenant une piste d'audit claire de toutes les transformations de code. La prise en charge de .NET et d'autres langages est prévue pour les prochaines versions.
3. Amélioration de l'assurance qualité : analysez le code et créez automatiquement des tests unitaires complets qui comprennent la logique de votre application et les interactions avec les services AWS. Vous pouvez ainsi augmenter la couverture des tests, réduire les tâches manuelles de rédaction des tests et contribuer à assurer une qualité de test constante pour toutes les applications.
4. Optimisation de la revue de code : insérez des commentaires inline sur les modifications de code, suggérez des améliorations basées sur les normes de développement, mettez en évidence les considérations de sécurité et de performances. Vous pouvez ainsi réduire les cycles de revue de code et fournir des merges de code de meilleure qualité pour le déploiement.
5. Correction des vulnérabilités : expliquez les vulnérabilités détectées de façon claire et détaillée, puis corrigez-les en un seul clic en fonction des modifications de code recommandées, ce qui contribue à réduire considérablement le délai entre la détection des failles et leur correction.

Découvrez GitLab Duo combiné à Amazon Q en action :

<div style="padding:56.25% 0 0 0;position:relative;"><iframe src="https://player.vimeo.com/video/1075753390?badge=0&autopause=0&player_id=0&app_id=58479" frameborder="0" allow="autoplay; fullscreen; picture-in-picture; clipboard-write; encrypted-media" style="position:absolute;top:0;left:0;width:100%;height:100%;" title="Technical Demo: GitLab Duo with Amazon Q"></iframe></div><script src="https://player.vimeo.com/api/player.js"></script>

Profitez dès aujourd'hui des avantages de GitLab Duo combiné à Amazon Q

La combinaison de la plateforme DevSecOps unifiée de GitLab alimentée par l'IA et des fonctionnalités d'IA avancées d'Amazon Q offre aux clients AWS une solution qui transforme la façon dont les équipes créent et déploient les logiciels. Pour en savoir plus sur GitLab Duo combiné à Amazon Q, n'hésitez pas à nous retrouver à l'occasion d'un AWS Global Summit dans votre région ou à contacter votre représentant GitLab.

Découvrez dans cet article les principes fondamentaux du développement open source.

Qu’est-ce que l’open source ?

L'open source est un modèle de développement fondé sur la transparence et la collaboration. Contrairement aux logiciels propriétaires, où seul le détenteur des droits peut modifier le code source ou redistribuer le produit, l'open source rend ce code accessible à tous. Les développeurs du monde entier peuvent ainsi l'examiner, l'améliorer et le partager librement, favorisant l'innovation et le progrès collectif.

Essayez GitLab Ultimate gratuitement pendant 60 jours et commencez à développer des logiciels open source dès aujourd'hui.

Quels sont les avantages de l'open source ?

Bien plus qu'une alternative technologique, l'open source est un modèle offrant de nombreux avantages. Réduction des coûts, accélération de l'innovation, meilleure sécurité des logiciels, ou encore personnalisation, sont autant d'atouts qui peuvent transformer les projets et stimuler la croissance des entreprises.

Des coûts réduits

À l'opposé des solutions propriétaires parfois onéreuses, les logiciels open source se distinguent souvent par leur faible coût, vous dispensant des dépenses traditionnellement associées aux licences et au support technique. Chez GitLab par exemple, les utilisateurs ont la possibilité d’utiliser gratuitement GitLab Community Edition (CE) qui est open source.

Une meilleure transparence

L'accès au code source permet à qui le souhaite d'examiner, de modifier et d'améliorer les logiciels. Pour les développeurs, cette transparence facilite leur compréhension des logiciels, de la manière dont ils sont construits et des failles de sécurité potentielles qu'ils peuvent contenir. Par exemple, le code source de GitLab est disponible publiquement sur GitLab.com et offre aux utilisateurs l'opportunité d’inspecter le code, de comprendre son fonctionnement et même de contribuer activement à son développement.

Des logiciels personnalisables

L'open source offre aux entreprises la possibilité d'adapter leurs logiciels à leurs besoins spécifiques, là où les solutions propriétaires limitent souvent cette liberté. Grâce à leur nature modulable, les logiciels open source permettent d'optimiser l'efficacité opérationnelle en s'adaptant précisément aux besoins des entreprises. GitLab illustre cette flexibilité en offrant à tous la possibilité de contribuer de façon traditionnelle, et en offrant également aux entreprises la possibilité de développer des intégrations et des fonctionnalités sur mesure grâce à son programme Co-Create.

Une communauté engagée

Les projets open source reposent sur l'engagement d'une communauté qui partage ses connaissances pour résoudre des problèmes ou proposer des améliorations sur les logiciels. GitLab tire pleinement parti de cet écosystème en s'appuyant sur une base d'utilisateurs et de développeurs qui enrichissent activement son développement et partagent leur expertise. GitLab collabore également avec d'autres entreprises sur des projets open source comme Git, renforçant son engagement pour l'innovation collective et la création de solutions évolutives.

Un accélérateur d’innovations

En réunissant des talents du monde entier autour de projets communs, l'open source devient un puissant moteur d'innovation. Cette synergie stimule l'amélioration continue et l'enrichissement des logiciels grâce à la diversité des compétences partagées. Ce modèle accélère ainsi le développement technologique en rendant les outils open source accessibles à un large public. GitLab, avec son cycle de release mensuel, intègre régulièrement de nouvelles fonctionnalités et améliorations fondées sur les retours et contributions de sa communauté d'utilisateurs.

Des logiciels évolutifs

Les logiciels open source reposent souvent sur des normes ouvertes qui simplifient leur intégration avec d'autres systèmes. Conçus pour s'adapter à divers environnements, ils offrent aux entreprises la possibilité de créer des solutions sur mesure, performantes et évolutives.

Une sécurité logicielle renforcée

La sécurité et la fiabilité sont des piliers essentiels des logiciels open source. Grâce à l'examen continu du code par une large communauté de développeurs, les failles de sécurité sont rapidement identifiées et corrigées. Bien que cette approche ne garantisse pas une sécurité absolue, elle favorise grandement la réactivité des équipes de développement face aux vulnérabilités de toutes sortes. GitLab applique ce principe en s'appuyant sur sa communauté pour renforcer la sécurité de sa plateforme.

Un savoir-faire enrichi

Les logiciels open source représentent une mine d'opportunités d'apprentissage pour les développeurs. En s'impliquant dans ces projets, ils peuvent perfectionner leurs compétences et gagner en expérience auprès d'autres professionnels du domaine, enrichissant leur savoir-faire et accélérant leur développement professionnel.

Par exemple, les développeurs peuvent étudier la base de code de GitLab pour apprendre les meilleures pratiques en matière de développement de plateformes DevSecOps. Les membres de l'équipe GitLab participent par ailleurs à des programmes de mentorat comme Google Summer of Code et Outreachy qui permettent d'apprendre aux nouveaux participants comment contribuer à GitLab ou autres logiciels open source comme Git.

Des logiciels plus qualitatifs

De nombreux projets open source bénéficient de la contribution de développeurs talentueux. Grâce à leur expertise, le code des logiciels open source est constamment examiné, amélioré et renforcé, ce qui permet de développer des solutions robustes et performantes.

Quels sont les défis liés à l’open source

Explorer l'univers des logiciels open source peut être aussi stimulant qu'exigeant. De la création de relations solides avec une communauté au renforcement de la sécurité des projets, chaque étape comporte ses propres défis. Pour réussir, il est essentiel de comprendre ces obstacles et de mettre en place des stratégies adaptées.

Construire une relation solide avec sa communauté

Le succès du développement open source repose sur la capacité à établir et à maintenir une relation solide avec une communauté de développeurs et d'utilisateurs. Cela nécessite des échanges continus afin de comprendre et de répondre à ses attentes. Puisque la majorité des contributeurs sont bénévoles, il est essentiel de coordonner leurs efforts de manière agile et structurée.

Pour maintenir leur motivation sur le long terme, notamment pour les contributeurs œuvrant sans contrepartie financière, il est crucial de reconnaître et de valoriser leur travail. Cela peut passer par des mentions officielles (crédits), des opportunités de formation ou d'autres formes de reconnaissances professionnelles. Sans cette valorisation, les contributeurs risquent de se détourner des projets, voire de créer des initiatives parallèles. Bâtir une communauté engagée et durable est donc au cœur du succès de tout projet open source.

Trouver un équilibre entre les intérêts de la communauté et celle des entreprises

Trouver un équilibre entre les intérêts des entreprises et ceux de la communauté est un défi central dans le développement open source. Les entreprises impliquées dans ces projets ont généralement des objectifs prioritaires. Ces priorités, souvent commerciales, peuvent entrer en conflit avec les attentes plus larges de la communauté, dont les intérêts sont plutôt axés sur l'innovation libre ou la personnalisation des logiciels.

Lorsque les décisions semblent trop axées sur les intérêts de l'entreprise, la communauté risque de se sentir exclue, ce qui peut réduire son engagement et limiter ses contributions. Pour éviter ce désengagement, les entreprises doivent partager clairement leurs objectifs et échanger régulièrement avec leur communauté pour garantir la pérennité et le succès à long terme des projets open source.

Maintenir la sécurité des logiciels

Les logiciels open source sont exposés à certains défis en matière de sécurité. La transparence du code, bien qu'étant l'un de leurs plus grands atouts, peut aussi les exposer à des attaques ciblées, ce qui peut devenir un risque majeur si l'entreprise à l’origine du projet open source ne corrige pas rapidement les failles identifiées.

Les utilisateurs comptent ainsi sur la réactivité de l'entreprise pour garantir la sécurité de leurs systèmes et de leurs données.

GitLab : un partenaire incontournable pour les projets open source

Les projets open source sont un moteur d'innovation technologique, et choisir la bonne plateforme pour les héberger est essentiel. Grâce à son système de gestion de versions basé sur Git, GitLab permet aux équipes de développement de collaborer efficacement, de suivre les modifications de code et de conserver un historique complet de leurs projets.

Une suite complète de fonctionnalités collaboratives

GitLab met à disposition de ses utilisateurs une suite complète de fonctionnalités adaptées au développement et à la gestion de projets open source. Parmi ces fonctionnalités figurent le suivi des tickets, les merge requests, la revue de code, les wikis et les GitLab Pages. Ces fonctionnalités permettent aux équipes de suivre l'évolution des projets, de collaborer, de proposer des améliorations, de corriger des bogues et de documenter leurs progrès en temps réel.

Des pratiques CI/CD au service des projets open source

Les fonctionnalités CI/CD de GitLab sont un atout majeur pour les projets open source. Elles automatisent des étapes clés du développement logiciel, comme les tests, la validation du code et le déploiement de nouvelles versions, assurant ainsi une meilleure fiabilité des logiciels open source et un développement accéléré. Chaque contribution est automatiquement testée dans un environnement dédié, ce qui permet de détecter rapidement les erreurs et de corriger les bogues. Cela réduit les risques de défaillances tout en assurant la stabilité des projets.

Un cycle de développement logiciel sécurisé

GitLab propose une suite complète de fonctionnalités conçues pour aider les développeurs de projets open source à sécuriser leurs logiciels. Parmi ces fonctionnalités, nous retrouvons :

• Le test statique de sécurité des applications (SAST) qui examine le code source à la recherche de failles de sécurité en amont de la mise en service des logiciels.
• Le test dynamique de sécurité des applications (DAST)* qui teste les applications en cours d'exécution au sein d’un environnement déployé pour détecter d'éventuelles vulnérabilités encore non repérées.
• L'analyse des dépendances* qui envoie des alertes sur les bibliothèques obsolètes ou vulnérables. Des rapports détaillés sont générés à chaque étape du développement, offrant une visibilité claire sur l'état de la sécurité du projet. Grâce à cela, les développeurs peuvent rapidement éviter ou corriger les composants à risque.

** Fonctionnalité disponible uniquement pour les utilisateurs de GitLab Ultimate.*

En intégrant ces fonctionnalités directement dans le pipeline CI/CD, GitLab réduit le risque d'erreurs humaines et accélère l’identification et la correction des vulnérabilités. Cette approche permet ainsi aux développeurs de projets open source de maintenir un niveau élevé de sécurité tout au long du cycle du développement logiciel.

Une gestion de projet Agile

GitLab met à disposition des équipes de développement un certain nombre de fonctionnalités pour faciliter la gestion des projets open source comme les tableaux de tickets, les listes des jalons ou encore le suivi du temps. Ces dernières permettent de voir facilement les tâches à réaliser, de suivre l'avancement des projets en fixant des échéances claires, mais aussi d’évaluer la charge de travail en vue d'optimiser l'utilisation des ressources. En combinant ces fonctionnalités, GitLab permet aux équipes de mieux coordonner leurs efforts, de maintenir un processus de travail fluide et de progresser efficacement dans la réalisation de leurs projets open source.

Des contributions simplifiées

Les équipes de développement peuvent facilement contribuer au développement de projets open source en les dupliquant (fork) et en créant des merge requests. Elles peuvent créer leurs propres copies du code, travailler sur des améliorations ou des correctifs dans des branches distinctes, puis soumettre leurs changements via des merge requests. Ce processus permet aux équipes de réviser et de valider chaque modification avant son intégration dans la branche principale, favorisant ainsi une amélioration continue des logiciels, tout en renforçant la qualité et la stabilité du code.

Une intégration facilité avec d’autres outils

GitLab facilite considérablement son intégration avec d’autres outils et workflows , permettant aux équipes de développement de créer un environnement personnalisé en fonction des exigences spécifiques de leur projet. Pour en savoir plus, consultez notre documentation.

Développez des logiciels open source avec GitLab

L’open source continue de s'imposer dans le monde du développement logiciel. Avec des plateformes DevSecOps comme GitLab, les équipes de développement disposent de tous les outils et ressources nécessaires au bon développement de leurs logiciels open source.

En plus d’aider les entreprises à développer des logiciels performants et sécurisés, GitLab fait évoluer continuellement sa plateforme grâce aux contributions et aux retours de ses utilisateurs. En écoutant sa communauté en permanence, GitLab s'adapte aux transformations du développement logiciel, renforçant ainsi sa présence au sein de l'écosystème open source.

Essayez GitLab Ultimate gratuitement pendant 60 jours et commencez à développer des logiciels open source dès aujourd'hui.

Remontez le temps avec nous pour retracer les grandes étapes de son évolution.

Le premier commit

Le premier commit a été effectué le 7 avril 2005 par Linus Torvalds, le créateur du noyau Linux : e83c5163316 (Initial revision of "git", the information manager from hell, 2005-04-07).

Comme vous pouvez le constater, ce commit ne contient pas beaucoup de fichiers :

$ git ls-tree e83c5163316
100644 blob a6bba79ba1f46a1bbf7773449c3bd2bb9bf48e8b	Makefile
100644 blob 27577f76849c09d3405397244eb3d8ae1d11b0f3	README
100644 blob 98a32a9ad39883c6d05a000a68511d4b1ee2b3c7	cache.h
100644 blob 74a0a234dd346fff51c773aa57d82fc4b83a8557	cat-file.c
100644 blob 840307af0cfaab31555795ce7175d5e9c9f981a0	commit-tree.c
100644 blob 25dc13fe101b219f74007f3194b787dd99e863da	init-db.c
100644 blob c924a6e0fc4c36bad6f23cb87ee59518c771f936	read-cache.c
100644 blob 1b47742d8cbc0d98903777758b7b519980e7499e	read-tree.c
100644 blob b8522886a15db861508fb6d03d4d88d6de912a4b	show-diff.c
100644 blob 5085a5cb53ee52e1886ff6d46c609bdb2fc6d6cd	update-cache.c
100644 blob 921f981353229db0c56103a52609d35aff16f41b	write-tree.c

Outre l'infrastructure de compilation, le premier commit fournit sept commandes principales :

• init-db pour initialiser un nouveau dépôt Git
• update-cache pour ajouter des fichiers à l'index
• write-tree pour créer un nouvel arbre à partir des éléments de l'index
• read-tree pour lire un objet arbre
• commit-tree pour créer un commit à partir d'un arbre
• cat-file pour lire un objet spécifique dans un fichier temporaire

Notez que la commande git n'existait pas encore à ce moment-là. Il fallait dès lors les exécuter directement.

Pour vous montrer un exemple concret, créons un nouveau dépôt :

$ mkdir repo
$ cd repo
$ init-db
defaulting to private storage area
$ ls -a
.  ..  .dircache

Cela peut surprendre : il n'y a pas de répertoire .git, mais un répertoire .dircache. Ce dernier représentait une zone de stockage privée.

Git distinguait alors deux types d'espaces de stockage des objets : un espace « privé » et un espace « partagé ». Ceux-ci regroupaient tous vos objets Git : vos commits et vos blobs, par exemple.

Par défaut, init-db créait un espace de stockage des objets privé qui n'était utilisé que pour le répertoire géré dans lequel il avait été créé. L'espace de stockage des objets « partagé », quant à lui, permettait de centraliser les objets communs à plusieurs répertoires, ce qui évitait d'avoir à les stocker deux fois.

Créer un commit

Nous disposons maintenant d'un dépôt, mais comment procéder pour créer un commit ? Autant vous dire que ce n'est pas aussi simple qu'avec la commande actuelle git add . && git commit. À l'époque, vous deviez :

1. Mettre à jour l'index en appelant update-cache pour chaque fichier que vous souhaitiez ajouter.
2. Écrire un nouvel arbre en appelant write-tree pour prendre le contenu que vous aviez ajouté à l'index.
3. Configurer les variables d'environnement pour indiquer à Git que vous en étiez l'auteur.
4. Créer un objet de commit en appelant commit-tree.

Créons un commit dans le dépôt pour illustrer ce processus :

$ echo content-1 >file-a
$ update-cache file-a
$ echo content-2 >file-b
$ update-cache file-b
$ write-tree
3f143dfb48f2d84936626e2e5402e1f10c2050fb
$ export COMMITTER_NAME="Patrick Steinhardt"
$ export COMMITER_EMAIL=ps@pks.im
$ echo "commit message" | commit-tree 3f143dfb48f2d84936626e2e5402e1f10c2050fb
Committing initial tree 3f143dfb48f2d84936626e2e5402e1f10c2050fb
5f8e928066c03cebe5fd0a0cc1b93d058155b969

Certes, ce processus n'est pas très pratique, mais il fonctionne ! Découvrons maintenant le commit généré :

$ cat-file 5f8e928066c03cebe5fd0a0cc1b93d058155b969
temp_git_file_rlTXtE: commit
$ cat temp_git_file_rlTXtE
tree 3f143dfb48f2d84936626e2e5402e1f10c2050fb
author Patrick Steinhardt <ps@pks.im> Wed Mar 26 13:10:16 2025
committer Patrick Steinhardt <ps@pks.im> Wed Mar 26 13:10:16 2025

commit message

Notez que cat-file n'a pas affiché le contenu directement, mais l'a d'abord écrit dans un fichier temporaire. Toutefois, le contenu du fichier ressemblait déjà en tous points à celui des commits actuels.

Apporter des modifications

Maintenant que nous avons des fichiers, comment pouvons-nous obtenir leur statut ? Vous l'aviez peut-être deviné, en utilisant show-diff :

$ show-diff
file-a: ok
file-b: ok

$ echo modified-content >file-a
$ show-diff
--- -	2025-03-26 13:14:53.457611094 +0100
+++ file-a	2025-03-26 13:14:52.230085756 +0100
@@ -1 +1 @@
-content-1
+modified-content
file-a:  46d8be14cdec97aac6a769fdbce4db340e888bf8
file-b: ok

Étonnamment, la commande show-diff permettait déjà de générer des diffs entre l'ancien et le nouvel état des fichiers modifiés ! Et pour l'anecdote, Git accomplissait cette tâche en exécutant simplement l'outil Unix diff(1).

En somme, tout était encore rudimentaire, mais suffisant pour assurer le suivi de l'historique. À ce stade, Git était encore très limité :

• Il était impossible de passer facilement d'un commit à un autre.
• Il était impossible d'afficher les logs.
• Il n'y avait pas de branches, de tags ou même de références. Les utilisateurs devaient manuellement conserver une trace des ID d'objet.
• Il était impossible de synchroniser deux dépôts. Par conséquent, les utilisateurs devaient utiliser rsync(1) pour synchroniser les répertoires .dircache.
• Il était impossible de fusionner des modifications.

Git 0.99

La version 0.99 de Git a été la première à entrer en phase de test. Celle-ci a été publiée seulement deux mois après le commit initial, mais contenait déjà 1 076 commits. Près de 50 développeurs différents ont participé à son développement. À ce stade, Linus Torvalds était encore le principal contributeur, talonné de près par Junio Hamano, qui est aujourd'hui le chargé de maintenance.

De nombreuses améliorations avaient été mises en place depuis le premier commit :

• Git avait commencé à suivre différentes branches de développement à l'aide de références, ce qui, dans la grande majorité des cas, dispensait les utilisateurs de suivre les ID d'objets manuellement.
• Un nouveau protocole distant permettait désormais à deux dépôts d'échanger des objets entre eux.
• Le répertoire .dircache avait été renommé .git.
• Il était désormais possible de fusionner des fichiers uniques entre eux.

Mais le changement le plus marquant a sans doute été l'arrivée de la commande principale git et de ses nombreuses sous-commandes. C'est aussi à cette occasion qu'est née la distinction entre les commandes dites de « plomberie » (plumbing) et de « porcelaine » (porcelain) :

• Les outils de « plomberie » sont les commandes de bas niveau qui accèdent au dépôt Git sous-jacent.
• Les outils de « porcelaine » sont des scripts shell qui encapsulent les commandes de « plomberie » pour fournir une interface utilisateur plus conviviale et performante.

Cette distinction existe encore aujourd'hui, comme expliqué dans git(1), mais avec la réécriture en C de nombreuses commandes de « porcelaine » initialement en shell, la frontière entre ces deux catégories a commencé à s'estomper significativement.

Linus Torvalds passe la main

Linus Torvalds n'a jamais créé Git par passion pour les systèmes de contrôle de version, mais parce qu'il était nécessaire de remplacer BitKeeper pour le développement du noyau Linux. Dès le départ, il n'avait pas l'intention d'en assurer la maintenance indéfiniment, mais juste le temps de trouver quelqu'un de confiance pour reprendre le flambeau.

Et cette personne fut Junio Hamano. Junio a rejoint Git une semaine à peine après le premier commit de Linus Torvalds et comptait déjà plusieurs centaines de commits dans l'historique au moment de la sortie de la version 0.99. Ainsi, le 26 juillet 2005, Linus Torvalds l'a désigné comme nouveau chargé de maintenance du projet Git. Même si Linus Torvalds a continué à contribuer à Git, son implication s'est progressivement réduite, ce qui n'a rien de surprenant, vu ses responsabilités à la tête du projet Linux.

A ce jour, Junio Hamano dirige toujours le projet Git.

Git 1.0

La première version majeure de Git est sortie le 21 décembre 2005 par Junio Hamano. Fait intéressant : pas moins de 34 nouvelles versions ont été publiées entre la version 0.99 et la version 1.0 : 0.99.1 à 0.99.7, 0.99.7a à 0.99.7d, 0.99.8 à 0.99.8g, et 0.99.9 jusqu'à 0.99.9n.

Parmi les évolutions majeures depuis la version 0.99, l'une des plus importantes a sans doute été l'introduction de la commande git-merge(1) pour fusionner deux arbres. Un changement radical par rapport à la version précédente, dans laquelle chaque merge devait être effectuée manuellement, fichier par fichier.

Dépôts distants

Un autre changement majeur a été l'introduction de la notation abrégée pour les dépôts distants. Git savait déjà communiquer avec eux, mais jusque-là, les utilisateurs devaient entrer l'URL complète à chaque récupération de modifications. Ce processus était plutôt contraignant, car dans la grande majorité des cas, les utilisateurs interagissaient toujours avec le même dépôt distant.

Aujourd'hui, vous connaissez probablement le fonctionnement des dépôts distants, mais à l'époque, le mécanisme était encore très différent. Il n'existait pas de commande git-remote(1)
pour les gérer. Ils n'étaient même pas stockés
dans votre fichier.git/config file. À vrai dire, lorsque les dépôts distants ont fait leur apparition dans la version 0.99.2, Git ne disposait même pas encore de fichiers de configuration.

Pour les configurer, il fallait créer un fichier dans le répertoire .git/branches, un mécanisme qui semble aujourd'hui plutôt contre-intuitif. Mais
il fonctionne encore aujourd'hui :

$ git init repo --
Initialized empty Git repository in /tmp/repo/.git/
$ cd repo
$ mkdir .git/branches
$ echo https://gitlab.com/git-scm/git.git >.git/branches/origin
$ git fetch origin refs/heads/master

Et ce n'est pas tout ! Le répertoire a été renommé en « dépôts distants » dès la version 0.99.5 de Git. Aujourd'hui, il existe donc trois méthodes distinctes pour configurer des dépôts distants dans un client Git actuel.

Mais soyons honnêtes : la plupart d'entre vous n'ont sans doute jamais eu à utiliser .git/branches ni .git/remotes, deux mécanismes devenus obsolètes en 2005 et 2011, respectivement. Ces répertoires seront d'ailleurs définitivement supprimés dans la version Git 3.0.

Image de marque de Git

En 2007, Git créé son premier logo. Le terme « logo » est peut-être un peu excessif : il ne s'agissait en réalité que de trois signes moins rouges au-dessus de trois signes plus verts, une référence visuelle directement inspirée de la sortie de git diff :

Le site web git-scm.com voit quant à lui le jour en 2008 :

En 2012, le site web de Git est remanié par Scott Chacon et Jason Long et son design ne changera que très peu par la suite :

Cette refonte du site arbore le nouveau logo rouge-orange conçu par Jason Long, qui est encore utilisé aujourd'hui :

Git 2.0

Dès la version 1.0, Git ressemblait déjà fortement à la version d'aujourd'hui, c'est pourquoi nous allons faire un grand saut dans le temps et passer directement à une autre étape clé de son histoire : Git 2.0. Publiée environ dix ans après Git 1.0, cette version a été la première à introduire délibérément des changements non compatibles avec les versions précédentes dans les workflows principaux.

Comportement par défaut de git-push(1)

Le changement le plus déroutant de cette version a sans doute été l'ajustement du comportement par défaut de la commande git-push(1).

Si vous réalisiez un push dans un dépôt distant sans en indiquer explicitement l'objet, Git pouvait réagir de plusieurs façons :

• Refuser d'agir et vous inviter à préciser l'objet de votre push.
• Effectuer un push de la branche actuellement extraite.
• Effectuer un push de la branche actuellement extraite, mais uniquement s'il détectait une branche correspondante dans le dépôt distant.
• Effectuer un push de toutes vos branches disposant d'un équivalent dans le dépôt distant.

Aujourd’hui, le comportement par défaut de Git suit la stratégie dite « simple », c'est-à-dire la troisième option mentionnée ci-dessus. Mais avant Git 2.0, le comportement par défaut était la stratégie de « correspondance », soit la dernière option.

La stratégie de « correspondance » était nettement plus risquée. Avant le push, vous deviez toujours vous assurer que vous vouliez vraiment effectuer un push de toutes vos branches locales disposant d'un équivalent dans le dépôt distant. Dans le cas contraire, vous risquiez d'envoyer des modifications par erreur. C'est pourquoi Git a opté pour la stratégie dite « simple », afin de limiter les risques et de faciliter la prise en main pour les nouveaux utilisateurs.

git-add(1)

Le comportement par défaut de git-add(1) vis-à-vis des fichiers supprimés a lui aussi connu une évolution importante. Avant Git 2.0, la commande git-add(1) ne prenait pas en compte les fichiers supprimés : il fallait les ajouter manuellement avec git-rm(1) pour qu'ils soient inclus dans un commit. À partir de la version 2.0, la commande git-add(1) détecte également les suppressions de fichiers et les ajoute à l’index.

La communauté Git à l'honneur

Nous n'allons pas entrer dans les détails du fonctionnement actuel de Git : vous l'utilisez probablement déjà au quotidien, et dans le cas contraire, de nombreux tutoriels existent pour bien débuter. Prenons plutôt un moment pour célébrer et remercier la communauté Git, qui a permis à ce système de rester aussi performant après deux décennies.

Au fil du temps, Git a :

• Accumulé 56 721 commits depuis Git 2.49.0
• Reçu des contributions de plus de 2 000 personnes différentes.
• Publié 60 nouvelles versions majeures.

Le projet Git continue aussi de se renouveler grâce à l'arrivée régulière de nouveaux contributeurs, notamment par le biais des programmes Google Summer of Code et Outreachy. Ce sont eux qui assurent la pérennité du projet Git.

L'avenir de Git

Git s'est clairement imposé comme le grand gagnant dans la course aux systèmes de contrôle de version. Il domine largement le marché et il est rare aujourd'hui de voir un projet open source qui n'utilise pas Git. C'est bien la preuve que Git a su faire les bons choix.

Cela dit, le développement de Git est loin d'être terminé et de nombreux défis restent à relever. Sur le plan technique :

• la modernisation d'un code base vieillissant
• la mise à l'échelle face à la croissance continue des monorepos
• la gestion plus efficace des fichiers binaires volumineux

Sur le plan communautaire :

• l'amélioration de la convivialité de Git
• la promotion de la communauté Git pour garantir la pérennité du projet

Le travail ne s'arrête pas là et chez GitLab, nous sommes fiers de contribuer activement à faire en sorte que Git reste un système de contrôle de version de référence pour les vingt années à venir.

En savoir plus sur Git

• Git fête ses 20 ans : entretien avec son créateur Linus Torvalds
• Format reftable de Git : guide pour les débutants
• Git fetch vs git pull : quelle est la différence entre ces deux commandes Git ?
• Commits Git : comment et pourquoi maintenir un historique propre
• Git en ligne de commande sous Windows avec Git Bash
• Améliorez votre workflow avec Git rebase

GitLab Duo Workflow est actuellement proposé en version bêta privée. Inscrivez-vous sur la liste d'attente pour découvrir ce qu'il est possible de faire avec des agents d'IA qui comprennent l'ensemble de votre cycle de développement logiciel.

Ouverture de votre projet dans VS Code

1. Commencez par cloner votre projet Java sur votre ordinateur local, puis ouvrez-le dans Visual Studio Code. Assurez-vous d'utiliser une branche de fonctionnalité (et non pas la branche principale ou par défaut). Si vous travaillez déjà sur une merge request, celle-ci doit être associée à sa propre branche de fonctionnalité.

2. (Étape facultative.) Accédez au fichier contenant la classe Java pour laquelle vous souhaitez que GitLab Duo Workflow crée des tests unitaires. Inspectez-le afin de pouvoir confirmer ultérieurement que les tests unitaires générés couvrent bien les éléments de cette classe. Voici ce que vous verrez :

Remarque : ce tutoriel suppose que vous avez déjà installé l'extension GitLab Duo Workflow et que vous l'avez activée dans votre VS Code. Si ce n'est pas le cas, veuillez vous référer à la documentation d'installation.

3. Lancez GitLab Duo Workflow en ouvrant la palette de commandes de VS Code [Ctrl + Shift + P]. Saisissez « GitLab Duo Workflow », puis sélectionnez GitLab : afficher GitLab Duo Workflow. Un onglet apparaîtra alors, comme suit :

4. L'étape suivante consiste à ajouter des tests pour tester le constructeur par défaut, vérifier la création de l'objet et tester l'état initial des propriétés de la classe « Product » Java. Pour ce faire, saisissez le prompt suivant dans la zone de texte de GitLab Duo Workflow :

Create unit tests for class defined in the Product.java file and store the unit tests in its own file titled ProductTest.java

5. Cliquez sur le bouton Démarrer dans la fenêtre GitLab Duo Workflow. Deux nouvelles fenêtres apparaissent alors : une au centre de l'écran et une à droite. Celle de droite affiche l'analyse que GitLab Duo Workflow a effectuée pour proposer un plan d'action qui permettra d'atteindre l'objectif spécifié dans votre prompt. Le plan d'action détaillé est affiché dans la fenêtre centrale. Une fois l'analyse terminée et le plan d'action élaboré, vous obtenez les données de sortie suivantes :

6. Si l'analyse et le plan d'action vous conviennent, cliquez sur Approuver le plan en bas de la fenêtre.

7. Une fois votre plan d'action approuvé, GitLab Duo Workflow exécute les modifications nécessaires dans votre projet.

8. Vous voyez alors s'afficher un nouveau répertoire src/test/java/csaa/jspring/ProductManager contenant un nouveau fichier nommé ProductTest.java, lequel regroupe tous les tests unitaires pour la classe Product.java.

9. En consultant ce fichier ProductTest.java, vous remarquerez qu'il contient des déclarations d'importation soulignées en rouge indiquant des erreurs d'importation :

Demandons alors à GitLab Duo Workflow de les corriger à notre place.

Remarque : nous aurions également pu demander à GitLab Duo Workflow dans notre premier prompt de mettre à jour le fichier pom.xml. Comme nous ne l'avons pas fait, nous allons donc corriger ces erreurs dans un nouveau workflow.

Correction des erreurs dans le code généré avec GitLab Duo Workflow

10. Démarrez un nouveau workflow en cliquant sur le bouton Nouveau workflow en bas de la fenêtre d'analyse sur le côté droit de votre écran.

11. Saisissez le prompt suivant :

The file ProductTest.java has an error “The import org.junit cannot be resolved”. Please fix it

12. Approuvez le plan d'action proposé pour que GitLab Duo Workflow commence son analyse en lisant votre fichier pom.xml actuel, puis l'édite et supprime la dépendance JUnit obsolète en la remplaçant par la dépendance et la version correctes de JUnit. Enfin, GitLab Duo Workflow élimine toutes les erreurs de dépendance dans le fichier ProductTest.java.

Tutoriel vidéo

En exécutant le plan d'action proposé, GitLab Duo Workflow met concrètement à jour votre projet afin de réaliser ce que vous lui avez demandé dans le prompt. Il vous aide à gagner un temps précieux, en toute simplicité, et augmente la productivité de votre équipe : vos équipes de développement peuvent ainsi consacrer plus de temps à innover et à créer de la valeur.

Pour découvrir ce guide étape par étape en action, regardez la vidéo du tutoriel :

<!-- blank line --> <figure class="video_container"> <iframe src="https://www.youtube.com/embed/Tuj7TgqY81Q?si=RReuL1pUsLafvAzs" frameborder="0" allowfullscreen="true"> </iframe> </figure> <!-- blank line -->

Inscrivez-vous à la version bêta privée de GitLab Duo Workflow pour découvrir ce qu'il est possible de faire avec des agents d'IA qui comprennent l'ensemble de votre cycle de développement logiciel.

En savoir plus sur GitLab Duo Workflow et l'IA agentique

• GitLab Duo Workflow : une IA agentique offrant visibilité et contrôle à l'échelle de l'entreprise
• Documentation GitLab Duo Workflow
• GitLab Duo
• IA agentique : libérez le potentiel des développeurs à grande échelle (The Source)

Cette séparation crée des silos entre les équipes et entraîne une multitude de problèmes au quotidien : les équipes de développement passent constamment d'un système à l'autre, les chefs de produit peinent à obtenir une image précise de l'avancement des projets, et au final, ce sont tous les contributeurs aux projets qui perdent un temps précieux à transférer manuellement des informations entre les différents systèmes. Or, SAFe a précisément été conçu pour résoudre ce type d'expérience fragmentée.

Si vos équipes de développement utilisent déjà GitLab pour la gestion du code source, les processus CI/CD et la sécurité des logiciels, vous vous demandez peut-être s'il est possible d'y intégrer également la planification SAFe. La réponse est oui. Grâce à ses solides capacités de gestion de projets Agile, GitLab prend en charge le framework SAFe à chaque étape du développement logiciel.

Dans cet article, découvrez comment GitLab vous aide à mettre en place les concepts et les cérémonies SAFe, le tout au sein d'une seule et même plateforme DevSecOps.

Qu'est-ce que le Scaled Agile Framework (SAFe) ?

Le Scaled Agile Framework (SAFe) est une approche de gestion conçue pour appliquer les principes Agile à l'échelle des grandes entreprises. Il optimise la livraison de valeur, assure un alignement constant entre les équipes et se concentre sur les besoins des clients.

SAFe transpose le modèle collaboratif et itératif des petites équipes aux environnements complexes des grandes entreprises impliquant de nombreuses équipes, parties prenantes et roadmaps.

Cette approche permet d'harmoniser tous les efforts de planification et d'exécution vers un objectif commun. Pour les chefs de produit, le Scaled Agile Framework (SAFe) fait le lien entre la stratégie et l'exécution : il ne s'agit pas uniquement de livrer rapidement, mais de livrer les bons produits, en s'appuyant sur des priorités claires et une coordination transversales entre les différentes équipes.

SAFe réduit les silos, encourage la collaboration et aide les équipes à se mobiliser autour des résultats attendus par les clients, et non plus uniquement autour des tâches à accomplir. Une fois intégré à GitLab, la magie opère : visibilité, traçabilité et livraison sont réunies au sein d'une seule et même plateforme.

Correspondance de la terminologie SAFe dans GitLab

Voici un aperçu des concepts SAFe et leur correspondance dans GitLab :

<br></br>

En vous basant sur cette correspondance, vous pouvez configurer GitLab pour refléter fidèlement votre implémentation SAFe. La structure des groupes vous permet d'organiser vos équipes autour de vos chaînes de valeur (Value Stream) et de vos Agile Release Trains (ART), tandis que la hiérarchie des éléments de travail (avec jusqu'à sept niveaux d'epics imbriqués) vous offre toute la profondeur nécessaire pour gérer des portefeuilles produits complexes. Que vous travailliez au niveau du portefeuille (groupes principaux), du programme (sous-groupes) ou de l'équipe (projets), la structure organisationnelle de GitLab s'aligne parfaitement avec la hiérarchie SAFe.

Les cérémonies SAFe dans GitLab

Découvrez maintenant comment organiser vos cérémonies SAFe dans GitLab. Voici comment procéder, étape par étape.

Planification PI (Program Increment)

Pour faciliter l'alignement entre les équipes et la gestion des dépendances qui font le succès de la planification PI, GitLab offre plusieurs fonctionnalités :

• La vue Roadmap : visualisez les fonctionnalités par équipe et sur plusieurs périodes.
• Les jalons : associez chaque fonctionnalité au jalon correspondant à votre PI.
• Les dépendances : documentez et visualisez les dépendances entre équipes dès qu'elles sont identifiées.

GitLab vous offre une grande flexibilité pour la planification PI grâce à deux vues principales : les tableaux des epics (qui peuvent être configurés pour afficher les affectations par équipe) et la vue Roadmap (qui affiche les fonctionnalités au fil du temps, façon diagramme de Gantt). Vous pouvez facilement passer d'une vue à l'autre pendant votre session de planification, selon que vous souhaitez vous concentrer sur la chronologie ou l'organisation des équipes.

<br></br>

Affinement

En tant que chef de produit, animer des sessions d'affinement efficaces repose sur une visibilité complète de votre backlog de fonctionnalités. Vous pouvez exécuter votre session d'affinement directement dans GitLab. Il n'est plus nécessaire de mettre à jour un outil pendant la réunion, puis un autre après coup.

GitLab facilite les sessions d'affinement grâce aux éléments suivants :

• Les tableaux des epics : regroupez les fonctionnalités en fonction de leur statut.
• Les story points : visualisez-les directement dans l'aperçu.
• Les vues dans un volet latéral : interagissez avec vos éléments de travail sans jamais perdre de vue le contexte.
• Les tickets enfants : créez et associez des tickets directement à partir des epics.

Planification de sprint

GitLab vous offre tous les outils nécessaires pour planifier vos sprints sans frictions :

• Les tableaux des tickets : visualisez clairement l'ensemble de votre backlog.
• Le poids total des user stories : visualisez-le directement dans les tableaux.
• L'ordonnancement des tickets : déplacez les tickets entre les différentes itérations, par simple glisser-déposer.
• Une vue repliable : simplifiez le réordonnancement des stories d'un sprint à l'autre.

Plus besoin de jongler entre plusieurs outils, toute la planification se fait dans GitLab. Vous pouvez ainsi consacrer vos réunions de planification à prendre les bonnes décisions.

💡 Consultez ce tutoriel dédié à la mise en œuvre de la méthode Scrum avec GitLab et découvrez en détail la puissance de GitLab dans la planification Agile et le suivi des sprints.

Points quotidiens

Votre équipe peut se réunir autour du tableau de bord lors de vos points quotidiens, plus besoin de naviguer entre plusieurs outils ou de deviner l'avancement des projets : tout est visible en un clin d'œil dans GitLab. Votre équipe voit instantanément qui travaille sur quoi, ce qui bloque, et ce qui est prêt pour la revue. GitLab vous permet d'effectuer les actions suivantes lors de vos points quotidiens :

• Les tableaux filtrés par itération : affichez le travail du sprint en cours.
• Les story points : affichez le poids des stories directement sur les cartes.
• La vue du volet latéral : accédez aux détails sans quitter le contexte.
• Les indicateurs de progression : mettez en évidence les tâches à risque.

Revue de sprint

Pour avoir une vision claire des performances de votre équipe au fil des sprints, GitLab met à votre disposition des indicateurs puissants avec les éléments suivants :

• Des graphiques d'avancement burndown et burnup : visualisez facilement l'avancement des itérations.
• Le suivi de la vélocité : mesurez l'efficacité de votre équipe.
• Les délais d'exécution et la durée de cycle : obtenez des indicateurs précis pour évaluer vos workflows.
• Des tableaux de bord personnalisables : créez des vues adaptées à chaque équipe.

Ces indicateurs vous aident à comprendre si votre équipe gagne en rapidité, à détecter les goulots d'étranglement et les points de friction à aborder lors de votre prochaine rétrospective.

5 bonnes raisons d'adopter une plateforme unifiée

Il existe de nombreux outils de planification capables de gérer les cérémonies SAFe. Mais GitLab se distingue véritablement de ses concurrents pour les raisons suivantes :

1. Plus de changement de contexte : la planification, le développement, les tests et la sécurité s'effectuent tous sur une seule plateforme.
2. Une traçabilité totale : de l'épic stratégique et prioritaire jusqu'au déploiement, en passant par l'écriture du code, chaque élément est relié et facile à suivre.
3. Une collaboration efficace : toutes les équipes (développement, produit, sécurité) collaborent dans le même outil.
4. Une visibilité instantanée : toutes les parties prenantes accèdent aux informations clés mises à jour, sur une seule plateforme.
5. Une vue d'ensemble : les indicateurs de planification et de développement sont regroupés pour comprendre exactement où en est le projet.

Si vos équipes de développement apprécient déjà GitLab, pourquoi leur imposer un nouvel outil de planification ou créer des intégrations complexes et disparates ? En intégrant votre planification SAFe à GitLab, vous offrez à tous les contributeurs une expérience unifiée, cohérente et bien plus efficace.

Principes de mise en œuvre

Après avoir accompagné plusieurs équipes dans leur transition depuis des outils SAFe traditionnels vers GitLab, voici ce qu'il faut retenir : concentrez-vous sur les objectifs propres à chaque cérémonie SAFe plutôt que d'essayer de reproduire les processus de vos anciens outils.

Les équipes qui tirent pleinement parti des fonctionnalités natives de GitLab sont plus performantes que celles qui essaient de les contourner. Cela demande un peu de travail au départ pour comprendre comment associer vos concepts SAFe et configurer vos workflows. Mais une fois cette étape franchie, vous constaterez rapidement que vos processus sont en réalité bien plus simples.

La clé du succès réside dans la définition de conventions partagées entre tous les contributeurs : quels labels utiliser ? Comment suivre les équipes ? Quelle différence entre un epic et un ticket ? En investissant un minimum d'effort dans cette phase de clarification, vous créez un système intuitif qui éliminera toute la charge de travail liée à la coordination entre les différents outils.

Mise en place du framework SAFe dans GitLab

Envie de vous lancer ? Voici les étapes pour mettre en œuvre un Scaled Agile Framework (SAFe) dans GitLab :

1. Structurez votre environnement : créez des groupes et des sous-groupes qui s'alignent sur l'organisation de vos équipes.
2. Définissez la répartition de votre travail : décidez comment vous allez utiliser les epics, les tickets et les tâches.
3. Créez vos itérations : configurez votre calendrier de sprints.
4. Ajoutez vos jalons : les jalons représentent vos Program Increments (PI) SAFe dans GitLab.
5. Personnalisez vos tableaux : créez des vues dédiées à chaque cérémonie SAFe.
6. Accordez-vous sur des conventions : documentez la façon dont vous utiliserez les labels et les champs personnalisés.

Prendre le temps de bien poser ces bases dès le départ vous évitera bien des tracas par la suite. Votre configuration n'a pas besoin d'être parfaite dès le premier jour : vous pourrez faire des ajustements au fur et à mesure.

Rassemblez toutes les pièces du puzzle

GitLab vous offre une base solide pour exécuter le Scaled Agile Framework (SAFe), en particulier si vos équipes de développement sont déjà adeptes de GitLab. En centralisant la planification et le développement dans un seul et même outil, vous éliminez les silos et les transferts fastidieux, facilitez la collaboration et accélérez la livraison de vos produits.

La flexibilité des outils de planification de GitLab vous permet d'adapter l'approche SAFe à vos besoins spécifiques. Vos équipes ne sont pas soumises à des workflows rigides : vous pouvez faire évoluer votre approche à mesure que vos équipes gagnent en maturité et que vos besoins changent.

Découvrez à quel point la planification sans effet de silo peut être plus simple et plus efficace. Essayez GitLab Ultimate gratuitement pendant 60 jours et simplifiez l'implémentation de votre approche SAFe.

💡 Pour en savoir plus à ce sujet, n'hésitez pas à consulter également cet article : Comment utiliser GitLab pour le développement logiciel agile

En 2005, vous étiez déjà le chargé de maintenance du noyau Linux, qui était alors en plein essor. Pourquoi avez-vous décidé de créer un nouveau système de contrôle de version ?

Je me suis lancé dans cette aventure précisément parce que je détestais profondément les outils de contrôle de version existants.

J'avais utilisé des systèmes de contrôle de version traditionnels (CVS/RCS/SCCS) à la fois en tant qu'utilisateur final (pour suivre des projets open source comme GCC) et en tant que développeur (quand je travaillais chez Transmeta, nous utilisions exclusivement CVS) et j'en avais une aversion profonde.

<img src="https://about.gitlab.com/images/blogimages/linustorvalds.png" align="left" width="200px" style="padding-right: 20px; padding-bottom: 10px"/>

À l'époque, la plupart des projets qui utilisaient CVS étaient passés à SVN, mais en vérité, j'ai toujours pensé que SVN n'était qu'une pâle copie de CVS malgré les quelques améliorations apportées à l'interface utilisateur ; aucun des défauts fondamentaux n'avaient été corrigés et de nouveaux problèmes étaient même apparus.

Impossible d'énumérer ici tous les problèmes rencontrés avec CVS et les autres systèmes du même type. Ils sont de toute façon devenus obsolètes. Les développeurs les plus jeunes n'ont même probablement jamais eu à les utiliser. J'ai toujours refusé de m'en servir pour le noyau Linux, même si quelques sous-systèmes (notamment le côté mise en réseau) utilisaient CVS pour gérer leur code dans les années 1990.

À l'époque, je vivais dans la région de la baie de San Francisco, et Larry McVoy, qui était à l'origine notamment du projet lmbench, avait lancé la société BitMover, qui proposait un nouveau modèle de contrôle de version appelé BitKeeper (BK).

BK n'était pas open source, mais Larry appréciait les projets open source et pensait que l'absence d'un système de contrôle de version pertinent freinait le développement du noyau Linux. Il n'avait pas tort, mais les systèmes de gestion du code source (SCM) traditionnels ne me convenaient absolument pas. Larry a pris le temps de nous montrer, à David Miller (chargé de maintenance réseau et utilisateur de CVS) et à moi, les avantages de BitKeeper.

BK n'était pas parfait. Il s'appuyait sur Source Code Control System (SCCS) comme tant d'autres SCM traditionnels et souffrait donc du même modèle restrictif d'« historique par fichier », qui pose un réel problème, notamment lors du renommage et de la suppression de fichiers.

BK présentait tout de même quelques avantages. Même s'il utilisait SCCS de base, il corrigeait des problèmes vraiment essentiels et gérait le développement distribué convenablement. Il offrait par ailleurs un véritable historique global (et non par fichier). Par conséquent, le merge de code provenant de différents arbres fonctionnait réellement.

Avec CVS, créer une branche et la fusionner était un événement majeur que vous deviez planifier et discuter en équipe. Avec BK, chaque dépôt correspondait à une branche. C'est une pratique courante à présent. Bien évidemment, Git l'a encore améliorée en proposant plusieurs branches par dépôt, mais même le modèle BK beaucoup plus limité représentait déjà une avancée majeure à l'époque.

Encore une fois, BK n'était pas parfait. Son modèle basé sur un historique par fichier posait de réels problèmes, car les opérations de renommage et de merge de fichiers n'étaient tout simplement pas fiables, entraînant inévitablement des dysfonctionnements comparables à ceux rencontrés avec Attic pour les utilisateurs de CVS. Par ailleurs, BK manquait de robustesse en matière d’évolutivité, des limites qui ne devenaient toutefois réellement problématiques qu’à mesure que le projet gagnait en ampleur ou en complexité.

Mais la nécessité d'acquérir une licence pour pouvoir l'utiliser constituait un véritable obstacle. Bien que de nombreux chargés de maintenance du noyau avaient fini par l'adopter (nous l'avons d'ailleurs utilisé de 2002 à 2005), cette contrainte restait une source de frictions qui a atteint son paroxysme fin 2004, rendant l'utilisation de BK pour le développement du noyau intenable quelques mois plus tard.

Ainsi, pendant trois ans, j'ai enfin pu utiliser un contrôle de version qui fonctionnait et qui m'aidait à résoudre de nombreux problèmes. Je ne pouvais plus me passer d'un système de contrôle de version. Entretemps, aucun outil open source plus performant n’avait vu le jour au sein de la communauté open source.

Bien sûr, il était de notoriété publique que CVS et SVN ne fonctionnaient pas bien. Certaines équipes ont même tenté d'autres approches, parfois encore pires (comme un suivi de correctifs sophistiqué) ; d'autres ont eu de bonnes idées, mais qui aboutissaient pourtant à de nouvelles erreurs de conception (comme Monotone).

Après un certain temps et des recherches infructueuses, j'ai finalement décidé de créer mon propre système.

Techniquement, il ne m'a fallu que quelques jours pour créer la première version de Git, comme le prouve l'historique des commits. Dès que celle-ci a atteint un niveau de fonctionnalité suffisant, j'ai pu commencer à appliquer les correctifs proposés par d'autres contributeurs. Quelques jours plus tard, ma version était activement utilisée pour le développement du noyau.

Mais cette rapidité apparente cache un travail préparatoire de plusieurs mois de réflexion. Écrire du code est relativement facile. Le plus important, c'est la conception initiale. L'historique des commits que j'évoquais plus tôt ne montre pas tout le travail de fond effectué en amont.

Et pour être honnête, cette première version était ultra rudimentaire et relativement basique par rapport aux nombreuses fonctionnalités que Git propose aujourd'hui. Mais elle incluait déjà les éléments clés de la structure fondamentale de Git.

Pouvez-vous nous donner un bref aperçu des débuts du projet Git ?

En somme, j'avais décidé de suspendre le développement du noyau tant que je n'aurais pas d'alternative qui me convenait : un système distribué, performant et capable de garantir la détection de toute corruption de fichiers.

Je tiens cependant à souligner que je n'étais pas intéressé par les SCM en tant que tels. Ce qui m'importait, c'était le résultat final, pas le processus. Pour moi, Git n'avait pas le même intérêt que le noyau Linux : j'utilise Linux parce que je trouve que le fonctionnement des noyaux est fascinant, mais j'ai créé Git par obligation, pas par passion.

D'où le fait que j'en ai délégué la maintenance.

Pourquoi avez-vous confié la maintenance de Git à Junio Hamano après quelques mois ? Pourquoi avez-vous choisi Junio ?

Transmettre la maintenance de Git était un choix évident. Je savais dès le départ que je me concentrerais de nouveau uniquement sur le noyau dès que j'aurais trouvé une personne de confiance à qui déléguer la maintenance.

Cela ne signifie pas pour autant que j'ai tout laissé tomber en priant pour que tout se passe bien. J'ai assuré la maintenance de Git pendant environ quatre mois, car je sentais que je devais trouver la perle rare qui s'investirait sur le long terme.

Junio a été l'une des toutes premières personnes impliquées dans ce projet, dès la première semaine de développement. Mais je ne lui ai pas attribué ce rôle dès le départ. Il m'a fallu un certain temps pour voir qui restait, qui écrivait du code pertinent et qui prenait des décisions stratégiques.

Junio s'est montré exceptionnel. On me donne bien trop de crédit pour les quelques mois que j’ai passés sur Git, notamment pour la célébration du 20e anniversaire de l’existence du projet. Je revendique avoir optimisé la conception centrale et lancé le projet, mais c'est vraiment grâce à Junio (et à des centaines d’autres contributeurs) que Git est ce qu’il est aujourd’hui.

La version initiale du système de contrôle de version Mercurial est sortie seulement 12 jours après la version initiale de Git, le 19 avril 2005. Beaucoup prétendent que l'expérience utilisateur de Mercurial était supérieure à celle de Git, mais de nos jours, Git est nettement plus populaire. Pour quelles raisons d'après vous ?

C'est en grande partie dû aux effets de réseau des SCM qui ont permis à CVS de survivre aussi longtemps malgré ses limites.

Le fait que le noyau Linux utilise Git a joué un rôle majeur. Plus tard, la communauté Ruby on Rails a largement contribué à sa popularité, avant que l'utilisation de Git ne se généralise dans toutes les communautés de développeurs.

Mais je pense aussi que la conception de Git est fondamentalement supérieure. Son architecture est à la fois très simple et extrêmement puissante, ce qui, selon moi, a facilité son adaptation à d'autres environnements, comme JGit et des implémentations plus récentes telles que le système de fichiers virtuel MSgit, et bien d'autres encore.

Bien que Git avait la réputation d’être un outil difficile à prendre en main, les utilisateurs habitués à d'autres systèmes SCM le trouvaient contre-intuitif. Cette complexité provenait en partie du fait que Git avait adopté certains choix audacieux que jamais un utilisateur habitué aux systèmes traditionnels n'aurait osé faire.

Le projet Git a toujours été actif depuis que vous en avez confié la maintenance à Junio, et sa communauté développe en permanence de nouvelles fonctionnalités. Selon vous, quelles ont été les étapes clés depuis que vous avez quitté le projet ?

Difficile pour moi de répondre à cette question. J'ai évidemment tout fait pour que Git convienne à mes propres besoins. Les fonctionnalités que j'utilisais moi-même étaient opérationnelles dès le premier jour. Faire en sorte que Git fonctionne sur Windows était évidemment une étape importante pour beaucoup de développeurs, mais cela n'a eu absolument aucun impact sur moi ;)

Il est évident que Git possède toute l'infrastructure nécessaire pour le rendre beaucoup plus facile à utiliser, mais je pense que les étapes majeures ont surtout concerné les projets construits autour de l'infrastructure Git. Ces développements sont par la suite souvent intégrés aux fonctionnalités de Git, mais, en réalité, les étapes clés sont souvent liées à des projets externes.

Par exemple, les grandes plateformes d'hébergement Git ont constitué des étapes importantes. Le modèle distribué de Git a grandement facilité leur création, mais la véritable étape a été la façon dont elles ont rendu Git tellement plus accessible et pratique pour les utilisateurs et les équipes travaillant sur divers projets.

Si vous aviez la possibilité de travailler à nouveau sur Git à plein temps, qu'aimeriez-vous implémenter ?

Absolument rien. Git me convenait parfaitement dès le début. Mon utilisation est en fait assez limitée et je ne m'intéresse vraiment qu'à un seul projet.

Comme je l'ai expliqué précédemment, je n'ai jamais vraiment été passionné par les SCM. Git a fini par se différencier positivement des autres SCM, car je l'ai traité comme un système de fichiers distribué basé sur les logs, et non comme un SCM traditionnel.

Y a-t-il une fonctionnalité ou une décision de conception dans Git que vous regrettez avec le recul ?

Des décisions de conception ? Non. Je suis convaincu que la conception globale est excellente, et vous pouvez discuter des concepts fondamentaux de Git sans jamais vous perdre dans les détails complexes de son implémentation.

Il est essentiel dans un projet d'avoir un certain nombre de principes de conception générale pour guider sa direction conceptuelle.

Les gens pensent parfois que l'étape de mise en œuvre doit suivre aveuglément les principes fondamentaux de la conception générale. Et c'est faux. La mise en œuvre aura son lot de cas particuliers compliqués parce les utilisateurs ont des besoins parfois étranges. L'essentiel est de définir une conception générale claire qui servira de référence au projet et à laquelle vous pourrez réfléchir avant de vous confronter à la réalité.

Et je pense que Git offre un équilibre parfait avec un système basique de stockage d'objets (que les experts en contrôle de version appellent « arbres de Merkle structurés » et que les spécialistes des systèmes de fichiers appellent « stockage avec adressage par contenu »). Cette conception centrale est très simple, mais elle ne représente en réalité qu'une infime partie de la totalité du code du projet. La majeure partie du code de Git concerne en effet toutes les opérations et fonctionnalités que l'on peut construire autour de ce modèle central. Malgré cela, cette simplicité et cette clarté fondamentales offrent au projet une structure d'ensemble solide, compréhensible et cohérente.

C'est une structure semblable à celle d'Unix dont le principe est que « tout est un fichier » ou à sa gestion de processus. Ces « concepts » guident la conception, mais 99 % du code a pour objectif de créer des fonctionnalités utiles pour des utilisations concrètes.

J'ai deux mantras en technologie : « Si j'ai pu voir aussi loin, c'est parce que j'étais juché sur les épaules de géants » (Newton) et « Le génie, c'est 1 % d'inspiration et 99 % de transpiration » (Edison).

Bien que je sois très satisfait des grandes lignes de la conception, avec le recul, si je devais développer Git aujourd'hui, je changerais certains détails.

Mais honnêtement, ce sont des détails mineurs comparés à toutes les fonctionnalités de qualité qui ont été créées par la communauté au cours des deux dernières décennies.

Le noyau Linux a commencé à utiliser Rust comme langage de programmation pour certains de ses sous-systèmes. Pensez-vous qu'il soit logique de commencer à utiliser des langages de programmation aussi récents que celui-ci dans Git ?

En ce qui concerne Git, mélanger les langages n'est pas une bonne idée, car cela reste toujours un processus complexe.

Dans le noyau Linux, le résultat final est un binaire unique, même si une grande partie peut être chargée dynamiquement sous forme de modules.

Et cela rend plus difficile l'utilisation de plusieurs langages. En revanche, le noyau doit prendre en compte la sécurité de la mémoire et, par conséquent, envisager d'utiliser des langages plus récents.

Si un développeur veut écrire certaines parties de Git en Rust ou dans un autre langage, il est beaucoup plus logique d'opter pour une mise en œuvre séparée plutôt que de mélanger les différents langages dans un seul binaire.

La conception du noyau Git est suffisamment simple pour autoriser des implémentations parallèles. Vous pouvez ensuite cibler des cas spécifiques pour lesquels l'utilisation d'un langage différent fait sens.

JGit en est un parfait exemple. L'utilisation d'un autre langage était motivée par la présence d'un environnement web différent pour lequel ce choix de langage était beaucoup plus naturel.

Il existe déjà des implémentations de certaines fonctionnalités Git de base en Rust qui font sens dans des contextes spécifiques, mais je doute que cela justifie une approche globale du type « convertissons tout en Rust ».

Je recommande aux équipes qui souhaitent travailler avec Rust de cibler des domaines où ses avantages sont plus évidents. Je ne pense pas que C ait été si problématique dans le code source standard de Git.

De nouveaux systèmes de contrôle de version voient le jour tous les deux ou trois ans. Pensez-vous que Git restera pertinent à l'avenir ?

J'ai déjà mentionné les effets de réseau dans les SCM. Selon moi, seul un système bien meilleur que Git sera en mesure de le remplacer. Ou alors il sera tellement compatible qu'il s'agira tout simplement d'une nouvelle implémentation de Git.

De plus, la situation des SCM a beaucoup évolué : Git n'a pas les énormes failles fondamentales des SCM qui l'ont précédé. Il est donc assez difficile de le surpasser.

Je m'attends donc à ce que Git reste pertinent à l'avenir : les développeurs travailleront sur des améliorations autour de Git plutôt que de le remplacer par de nouveaux systèmes.

Remarque : cet entretien a été édité pour en raccourcir la longueur et améliorer la clarté.

En savoir plus sur Git

• Nouveautés de Git 2.49.0
• Nouveautés de Git 2.48.0
• Format « reftable » de Git : guide pour les débutants
• Commits Git : comment et pourquoi maintenir un historique propre
• Git fetch vs git pull : quelle est la différence entre ces deux commandes Git ?
• Git en ligne de commande sous Windows avec Git Bash
• Améliorez votre workflow avec Git rebase
• Projet Git

GitLab, la plateforme DevSecOps complète et alimentée par l'IA, s'associe à HackerOne, leader de la sécurité collaborative, pour combiner le meilleur des deux univers : les workflows DevSecOps rationalisés de GitLab et les puissantes capacités de gestion des vulnérabilités de HackerOne.

Découvrez dans ce tutoriel comment améliorer la productivité de vos équipes de développement et renforcer votre posture de sécurité grâce à l'intégration de GitLab à HackerOne.

Une intégration pensée pour les développeurs

L'intégration de GitLab à la plateforme de cybersécurité HackerOne est aussi simple à mettre en œuvre que puissante. Lorsqu'un chercheur en cybersécurité détecte une vulnérabilité via la plateforme HackerOne, celle-ci est automatiquement convertie en un ticket GitLab.

Ce workflow permet de :

• détecter les vulnérabilités sur la plateforme HackerOne
• créer automatiquement des tickets GitLab à partir des vulnérabilités validées
• permettre aux équipes de développement de traiter ces tickets directement dans leur workflow existant
• synchroniser le statut de résolution de ces vulnérabilités entre les deux plateformes

Vous pouvez tirer parti de cette intégration en liant les tickets GitLab aux rapports HackerOne comme références. Cette synchronisation bidirectionnelle et fluide des données entre vos rapports HackerOne et les tickets GitLab améliore ainsi la coordination entre les équipes de développement et de sécurité tout en rationalisant le traitement des failles de sécurité.

Pour configurer cette intégration, référez-vous aux instructions détaillées de la documentation HackerOne dédiée à l'intégration GitLab, dont voici les principales étapes :

1. Créez une application OAuth 2.0 pour votre instance GitLab à l'aide des paramètres fournis par HackerOne
2. Connectez la plateforme HackerOne à votre instance GitLab en utilisant cette application OAuth 2.0
3. Autorisez HackerOne à accéder à l'API GitLab
4. Configurez le projet GitLab vers lequel vous souhaitez transférer les rapports HackerOne
5. Sélectionnez les champs HackerOne à mapper aux champs GitLab correspondants
6. Définissez les événements à synchroniser, de GitLab vers HackerOne et de HackerOne vers GitLab

Une fois l'intégration mise en place, la synchronisation bidirectionnelle des données entre GitLab et HackerOne devient fluide, réduisant les changements de contexte et facilitant le suivi des vulnérabilités sur les deux systèmes.

Les principales fonctionnalités de cette intégration sont les suivantes :

• Création de tickets GitLab depuis HackerOne : créez de nouveaux tickets GitLab à partir des rapports que vous recevez dans HackerOne.
• Connexion des rapports HackerOne aux tâches GitLab existantes.
• Synchronisation des mises à jour apportées aux rapports HackerOne vers GitLab : les informations suivantes sont envoyées sous forme de commentaires dans le ticket GitLab correspondant.
  • Commentaires du rapport
  • Changements d'état
  • Récompenses
  • Changements d'assignation
  • Divulgation publique
  • Fermeture du ticket GitLab
• Synchronisation des mises à jour de GitLab vers HackerOne : lorsque certaines actions sont effectuées dans un ticket GitLab, ces mises à jour sont reprises automatiquement dans le rapport correspondant sur HackerOne, sous forme de commentaire interne :
  • Commentaires
  • Changements d'état
• Mappage des niveaux de gravité HackerOne avec les labels GitLab : définissez une priorité personnalisée lorsque vous transférez un rapport HackerOne vers GitLab.
• Mappage des dates d'échéance : définissez automatiquement une date d'échéance personnalisée dans GitLab en fonction du niveau de gravité du rapport HackerOne.

Ces fonctionnalités renforcent la coordination entre les équipes de développement et de sécurité et rationalisent le traitement des failles de sécurité. Pour en savoir plus sur le fonctionnement de l'intégration, consultez la documentation fournie par HackerOne.

Aperçu des programmes de bug bounty de HackerOne

HackerOne propose des programmes de bug bounty, c'est-à-dire des initiatives en matière de cybersécurité qui récompensent la découverte et le signalement de vulnérabilités dans les systèmes logiciels, les sites web ou les applications de ses clients. Ces programmes contribuent à renforcer la sécurité des applications en :

• identifiant les failles de sécurité avant que des acteurs malveillants ne puissent les exploiter
• tirant parti de l'expertise diversifiée d'une communauté mondiale de chercheurs en cybersécurité
• offrant un moyen rentable d'améliorer la cybersécurité
• complétant les efforts de sécurité internes et les tests de pénétration traditionnels

GitLab s'appuie sur le programme de bug bounty de HackerOne pour permettre aux chercheurs en cybersécurité de signaler les vulnérabilités présentes dans ses applications ou son infrastructure. Cette approche collaborative aide GitLab à identifier et à résoudre plus efficacement les potentielles failles de sécurité.

En tirant parti de la plateforme HackerOne et de la communauté mondiale de hackers éthiques, les entreprises peuvent considérablement renforcer leur posture de sécurité, identifier plus rapidement les vulnérabilités et garder une longueur d'avance sur les menaces potentielles.

Sécurisez vos applications et améliorez votre productivité avec GitLab

GitLab offre une plateforme DevSecOps complète, qui intègre des fonctionnalités couvrant l'ensemble du cycle de développement logiciel, y compris des outils de sécurité et de conformité. GitLab prend en charge les types de scanners de sécurité suivants :

• Tests statiques de sécurité des applications (SAST)
• Tests dynamiques de sécurité des applications (DAST)
• Analyse des conteneurs
• Analyse des dépendances
• Analyse de l'Infrastructure as Code (IaC)
• Fuzzing guidé par la couverture de code
• Test de l’API web par injection de données aléatoires

Avec GitLab, vous pouvez simplement appliquer un template à votre fichier de définition de pipeline CI/CD pour activer un scanning de sécurité. Par exemple, l'activation de SAST ne nécessite que quelques lignes de code dans le fichier .gitlab-ci.yml :

stage:
  - test

include:
  - template: Jobs/SAST.gitlab-ci.yml

Cela exécutera SAST à l'étape de test et détectera automatiquement les langages utilisés dans votre application. Ainsi, chaque fois que vous créez une merge request, SAST analyse les différences entre la branche de fonctionnalité et la branche cible pour détecter les vulnérabilités et fournit des données précises sur chaque faille de sécurité afin d'en faciliter la correction.

Les résultats du scanner SAST peuvent bloquer le merge du code si des stratégies de sécurité sont appliquées. Les utilisateurs natifs de GitLab peuvent être définis comme approbateurs, ce qui permet d'effectuer les revues requises avant de fusionner du code non sécurisé. Cela garantit que toutes les vulnérabilités sont surveillées par les parties concernées.

HackerOne a intégré GitLab à ses processus opérationnels et à ses processus de développement de manière stratégique, ce qui lui a permis de les rendre plus fluides et plus efficaces, à grande échelle, et de renforcer la collaboration entre les équipes. Parmi ces améliorations, HackerOne profite désormais de déploiements plus rapides et d'une planification inter-équipes performante.

Principaux avantages d'intégrer GitLab à HackerOne

L'utilisation conjointe de HackerOne et GitLab offre les avantages suivants :

• Visibilité accrue en matière de sécurité : les équipes de développement bénéficient d'un accès immédiat aux failles de sécurité sans quitter leur environnement de workflow principal. Cette visibilité en temps réel aide les équipes à prioriser les problèmes de sécurité parallèlement au développement des fonctionnalités.
• Processus de correction rationalisé : en convertissant automatiquement les rapports HackerOne en tickets GitLab, le processus de correction des vulnérabilités s'intègre naturellement au cycle de développement standard. Cela évite les changements de contexte entre les plateformes et garantit des correctifs de sécurité en parallèle des autres tâches de développement.
• Temps de correction réduit : l'intégration raccourcit considérablement le délai entre la détection d'une vulnérabilité et sa résolution. Les soumissions de vulnérabilités dans HackerOne étant immédiatement disponibles dans GitLab, les équipes de développement peuvent réagir sans délai et renforcer ainsi la posture de sécurité globale.
• Collaboration améliorée : cette intégration fluidifie les échanges entre les chercheurs en cybersécurité, les équipes de sécurité et de développement. Les commentaires et mises à jour circulent entre les deux plateformes, créant ainsi un environnement collaboratif axé sur le renforcement de la sécurité.
• Impact réel : les entreprises qui ont opté pour l'intégration HackerOne + GitLab ont constaté les améliorations suivantes :
  • Une réduction pouvant atteindre 70 % du temps nécessaire entre l'identification d'une vulnérabilité et sa correction
  • Une satisfaction accrue des équipes de développement, qui peuvent continuer à travailler dans leur environnement préféré
  • Une visibilité accrue de la sécurité à l'échelle de l'entreprise
  • Une allocation plus efficace des ressources de sécurité

En savoir plus sur GitLag + HackerOne

Pour en savoir plus sur GitLab et HackerOne, et découvrir comment nous pouvons vous aider à renforcer votre posture de sécurité, consultez les ressources suivantes :

• Utilisation de l'intégration GitLab sur HackerOne
• Programme de Bug Bounty de GitLab sur HackerOne
• Solutions de sécurité et de conformité de GitLab
• HackerOne réalise des déploiements 5 fois plus rapides avec la sécurité intégrée de GitLab
• Documentation sur la sécurité des applications GitLab

Quels sont les changements attendus ?

À compter du 1er avril, Docker va appliquer les limites strictes suivantes aux pulls d'images (téléchargements d'images) :

Ces nouveaux quotas sont particulièrement importants pour les raisons suivantes :

• Le proxy de dépendances de GitLab effectue actuellement des pulls à partir de Docker Hub en tant qu'utilisateur non authentifié.
• La plupart des pipelines CI/CD qui n'utilisent pas le proxy de dépendances effectuent des pulls directement à partir de Docker Hub en tant qu'utilisateurs non authentifiés.
• Pour les runners hébergés sur GitLab.com, le partage d'une même adresse IP ou sous-réseau par plusieurs utilisateurs les soumet collectivement à cette limite.

Quel impact sur les utilisateurs de GitLab ?

Impact sur les pulls directs depuis Docker Hub

Si vos pipelines CI/CD effectuent des pulls directement depuis Docker Hub sans authentification, ils seront limités à 10 pulls d'images par heure et par adresse IP. Dans le cas de pipelines exécutés fréquemment ou sur plusieurs projets partageant la même infrastructure de runner, cette limite sera rapidement atteinte, ce qui entraînera des échecs de pipeline.

Impact sur le proxy de dépendances de GitLab

La fonctionnalité de proxy de dépendances de GitLab permet de mettre en cache des images Docker dans GitLab pour accélérer les pipelines et réduire la dépendance aux registres externes. Cependant, dans sa version actuelle, ce proxy effectue des pulls d'images depuis Docker Hub en tant qu'utilisateur non authentifié, ce qui signifie qu'il est lui aussi soumis à la limite des 10 pulls d'images par heure.

Impact sur les runners hébergés

Sur GitLab.com, les runners hébergés s'appuient sur le cache pull-through de Google Cloud, qui met en miroir les images fréquemment téléchargées. Cela permet d'éviter les limites de débit, comme pour les images de job définies comme image: ou services: dans votre fichier .gitlab-ci.yml.

Tout se complique légèrement lorsque les images sont téléchargées dans l'environnement du runner. Le cas le plus courant de pull d'images pendant l'exécution du runner concerne la création d'une image à l'aide de Docker-in-Docker ou de Kaniko. Dans ce scénario, l'image Docker Hub définie dans votre Dockerfile fait l'objet d'un pull directement depuis Docker Hub. Elle est donc susceptible d'être affectée par les limites de débit.

Comment GitLab répond à ces nouveaux quotas ?

Nous travaillons activement à la recherche de solutions pour atténuer les impacts liés à ces nouvelles limites :

• Authentification du proxy de dépendances : nous avons ajouté la prise en charge de l'authentification Docker Hub dans la fonctionnalité de proxy de dépendances de GitLab. Cela permettra à ce dernier de télécharger des images depuis Docker Hub en tant qu'utilisateur authentifié, et ainsi d'augmenter considérablement les limites de débit.
• Mise à jour de la documentation : nous avons actualisé notre documentation afin de fournir des instructions claires sur la configuration de l'authentification des pipelines pour Docker Hub.
• Préparation de l'infrastructure interne : nous préparons notre infrastructure GitLab.com afin de réduire au maximum l'impact de ces limites sur les runners hébergés.

Comment s'y préparer ?

Option 1 : configurez l'authentification Docker Hub dans vos pipelines

Si vos pipelines effectuent des pulls directement depuis Docker Hub, vous pouvez configurer l'authentification afin d'augmenter votre limite de taux à 100 pulls d'images par heure (ou illimitée avec un abonnement payant à Docker Hub).

Pour cela, ajoutez vos identifiants de connexion Docker Hub aux variables CI/CD de votre projet ou groupe (ne les insérez pas directement dans le fichier .gitlab-ci.yml). Consultez les instructions détaillées de notre documentation sur l'utilisation d'images Docker pour configurer correctement la variable CI/CD DOCKER_AUTH_CONFIG.

Option 2 : utilisez le registre de conteneurs GitLab

Effectuez un push des images Docker que vous utilisez le plus souvent dans votre registre de conteneurs GitLab afin d'éviter de devoir effectuer un pull d'images depuis Docker Hub pendant l'exécution des pipelines CI/CD. Procédez comme suit :

1. Effectuez un pull de l'image depuis Docker Hub.
2. Attribuez-lui un tag adapté à votre registre de conteneurs GitLab.
3. Effectuez un push de l'image dans votre registre de conteneurs GitLab.
4. Mettez à jour vos pipelines pour qu'ils effectuent un pull de l'image depuis le registre de conteneurs GitLab.

docker pull busybox:latest
docker tag busybox:latest $CI_REGISTRY_IMAGE/busybox:latest
docker push $CI_REGISTRY_IMAGE/busybox:latest

Puis ajoutez cette ligne de commande dans votre fichier .gitlab-ci.yml :

image: $CI_REGISTRY_IMAGE/busybox:latest

Option 3 : utilisez le proxy de dépendances de GitLab

La fonctionnalité de proxy de dépendances de GitLab permet de mettre en cache les images Docker, tout en servant de proxy entre vos pipelines CI/CD et les registres Docker Hub, réduisant ainsi la dépendance aux registres externes et les risques liés aux limites de débit.

Options d'authentification actuelles :

• GitLab 17.10 : configurez l'authentification Docker Hub pour le proxy de dépendances à l'aide de l'API GraphQL.
• GitLab 17.11 : utilisez la nouvelle interface de configuration dans les paramètres de votre groupe (déjà disponible sur GitLab.com).

Une fois l'authentification correctement configurée, vous pouvez procéder comme suit :

1. Configurez les identifiants de connexion Docker Hub dans les paramètres du proxy de dépendances de votre groupe :

• Pour GitLab 17.11+ (ou la version actuelle de GitLab.com) : accédez aux paramètres de votre groupe > Paquets et registres > Proxy de dépendances.
• Pour GitLab 17.10 : utilisez l'API GraphQL afin de configurer l'authentification.

2. Mettez à jour vos pipelines de façon à ce qu'ils utilisent les URL du proxy de dépendances pour la configuration de votre pipeline CI/CD : image:${CI_DEPENDENCY_PROXY_GROUP_IMAGE_PREFIX}/busybox:latest

Option 4 : envisagez d'acheter un abonnement payant à Docker Hub

Pour les équipes qui utilisent Docker Hub de manière intensive, la mise à niveau vers un abonnement Docker payant (Team ou Business) permet d'accéder à un nombre illimité de pulls, ce qui peut s'avérer la solution la plus simple.

Comment limiter l'impact des nouveaux quotas de Docker Hub ?

Quelle que soit l'option que vous choisissez, tenez compte de ces bonnes pratiques pour réduire au maximum l'impact des nouvelles limites de débit imposées par Docker Hub :

• Utilisez des tags d'image spécifiques au lieu de latest pour éviter les pulls inutiles.
• Consolidez vos fichiers Docker de façon à ce qu'ils réutilisent les mêmes images de base dans tous vos projets.
• Planifiez l'exécution des pipelines les moins critiques en dehors des heures de pointe.
• Tirez parti intelligemment de la mise en cache pour éviter d'effectuer maintes fois un pull des mêmes images.

Remarque : selon la documentation de Docker Hub, le nombre de pulls augmente dès que vous effectuez le pull d'un manifeste d'image, et non en fonction de la taille de l'image ou du nombre de couches.

Calendrier et prochaines étapes

Dès maintenant

• Mettez en œuvre l'authentification pour les pulls directs depuis Docker Hub.
• Les utilisateurs de GitLab.com peuvent déjà configurer l'authentification Docker Hub pour le proxy de dépendances en utilisant :
  • l'API GraphQL, ou
  • l'interface utilisateur dans les paramètres de groupe.
• Les utilisateurs de GitLab Self-Managed 17.10 peuvent configurer l'authentification du proxy de dépendances à l'aide de l'API GraphQL.

1er avril 2025

• Les limites de débit de Docker Hub entrent en vigueur.

17 avril 2025

• Sortie de GitLab 17.11 qui prendra en charge l'authentification du proxy de dépendances via l'interface utilisateur pour les instances GitLab Self-Managed.

Nous vous recommandons d'appliquer ces mesures bien dès maintenant pour éviter des échecs de pipelines inattendus. Pour la plupart des utilisateurs, configurer le proxy de dépendances avec l'authentification Docker Hub est la solution la plus efficace à long terme.

Vous avez des questions ou besoin d'aide pour la mise en œuvre ? Consultez ce ticket dans lequel notre équipe fournit une assistance dédiée à ces changements.

Commande git-backfill(1) associée à la nouvelle API path-walk

Lorsque vous exécutez un git-clone(1) d'un dépôt Git, l'option --filter vous permet de créer un clone partiel. Dans ce type de clonage, le serveur n'envoie qu'un sous-ensemble des objets accessibles, en fonction du filtre d'objets spécifié. Par exemple, la création d'un clone avec --filter=blob:none signifie que Git ne récupérera pas les blobs (ou contenus de fichiers) auprès du serveur et créera ainsi un clone blobless.

Les clones blobless sont des clones très légers qui contiennent l'ensemble des commits et des arbres accessibles, mais aucun blob. Lorsque vous effectuez une opération comme git-checkout(1), Git télécharge les blobs manquants pour exécuter la commande. Cependant, certaines opérations comme git-blame(1) peuvent entraîner un téléchargement séquentiel des objets, ce qui ralentit considérablement leur exécution. Cette dégradation des performances se produit parce que la commande git-blame(1) doit parcourir l'historique des commits pour identifier les blobs spécifiques requis, puis les demander un par un au serveur.

Pour remédier à cela, Git 2.49.0 introduit une nouvelle sous-commande : git-backfill(1). Elle permet de télécharger les blobs manquants dans un clone partiel blobless.

En arrière-plan, la commande git-backfill(1) tire parti de la nouvelle API path-walk, qui est différente de la méthode traditionnelle d'itération de Git sur les commits. Plutôt que d'itérer sur les commits en les parcourant un par un et de consulter de façon récursive les arbres et les blobs associés à chaque commit, l'API path-walk procède par chemin d'accès. Pour chaque chemin de fichier, elle accumule la liste des objets d'arbre associés à une pile, et cette dernière est ensuite traitée en suivant un parcours en profondeur. Ainsi, plutôt que de traiter chaque objet du commit 1 avant de passer au commit 2, elle traite toutes les versions du fichier A à travers tous les commits avant de passer au fichier B. Cette approche améliore considérablement les performances dans les scénarios où le regroupement par chemin est essentiel.

En guise d'exemple, nous allons créer un clone blobless du dépôt gitlab-org/git :

$ git clone --filter=blob:none --bare --no-tags git@gitlab.com:gitlab-org/git.git
Cloning into bare repository 'git.git'...
remote: Enumerating objects: 245904, done.
remote: Counting objects: 100% (1736/1736), done.
remote: Compressing objects: 100% (276/276), done.
remote: Total 245904 (delta 1591), reused 1547 (delta 1459), pack-reused 244168 (from 1)
Receiving objects: 100% (245904/245904), 59.35 MiB | 15.96 MiB/s, done.
Resolving deltas: 100% (161482/161482), done.

Dans l'exemple ci-dessus, nous utilisons l'option --bare pour nous assurer que Git n'a pas besoin de télécharger de blobs pour effectuer le checkout d'une branche initiale. Nous pouvons ensuite vérifier que ce clone ne contient effectivement aucun blob :

$ git cat-file --batch-all-objects --batch-check='%(objecttype)' | sort | uniq -c
  83977 commit
 161927 tree

Si vous souhaitez afficher le contenu d'un fichier dans le dépôt, Git doit le télécharger :

$ git cat-file -p HEAD:README.md
remote: Enumerating objects: 1, done.
remote: Total 1 (delta 0), reused 0 (delta 0), pack-reused 1 (from 1)
Receiving objects: 100% (1/1), 1.64 KiB | 1.64 MiB/s, done.

[![Build status](https://github.com/git/git/workflows/CI/badge.svg)](https://github.com/git/git/actions?query=branch%3Amaster+event%3Apush)

Git - fast, scalable, distributed revision control system
=========================================================

Git is a fast, scalable, distributed revision control system with an
unusually rich command set that provides both high-level operations
and full access to internals.

[snip]

Comme vous pouvez le voir ci-dessus, Git interroge d'abord le dépôt distant pour télécharger le blob avant de pouvoir l'afficher.

Mais si vous souhaitez effectuer une opération git-blame(1) sur ce fichier, Git devra télécharger de nombreux autres fichiers :

$ git blame HEAD README.md
remote: Enumerating objects: 1, done.
remote: Counting objects: 100% (1/1), done.
remote: Total 1 (delta 0), reused 0 (delta 0), pack-reused 0 (from 0)
Receiving objects: 100% (1/1), 1.64 KiB | 1.64 MiB/s, done.
remote: Enumerating objects: 1, done.
remote: Counting objects: 100% (1/1), done.
remote: Total 1 (delta 0), reused 0 (delta 0), pack-reused 0 (from 0)
Receiving objects: 100% (1/1), 1.64 KiB | 1.64 MiB/s, done.
remote: Enumerating objects: 1, done.
remote: Counting objects: 100% (1/1), done.
remote: Total 1 (delta 0), reused 0 (delta 0), pack-reused 0 (from 0)
Receiving objects: 100% (1/1), 1.64 KiB | 1.64 MiB/s, done.
remote: Enumerating objects: 1, done.

[snip]

df7375d772 README.md (Ævar Arnfjörð Bjarmason 2021-11-23 17:29:09 +0100  1) [![Build status](https://github.com/git/git/workflows/CI/badge.svg)](https://github.com/git/git/actions?query=branch%3Amaster+event%3Apush)
5f7864663b README.md (Johannes Schindelin 	2019-01-29 06:19:32 -0800  2)
28513c4f56 README.md (Matthieu Moy        	2016-02-25 09:37:29 +0100  3) Git - fast, scalable, distributed revision control system
28513c4f56 README.md (Matthieu Moy        	2016-02-25 09:37:29 +0100  4) =========================================================
556b6600b2 README	(Nicolas Pitre       	2007-01-17 13:04:39 -0500  5)
556b6600b2 README	(Nicolas Pitre       	2007-01-17 13:04:39 -0500  6) Git is a fast, scalable, distributed revision control system with an
556b6600b2 README	(Nicolas Pitre       	2007-01-17 13:04:39 -0500  7) unusually rich command set that provides both high-level operations
556b6600b2 README	(Nicolas Pitre       	2007-01-17 13:04:39 -0500  8) and full access to internals.
556b6600b2 README	(Nicolas Pitre       	2007-01-17 13:04:39 -0500  9)

[snip]

Nous avons tronqué la sortie, mais comme vous pouvez le constater, Git interroge le serveur séparément pour chaque révision de ce fichier. Ce processus est loin d'être optimal. Avec la commande git-backfill(1), nous pouvons demander à Git de télécharger tous les blobs en une seule fois :

$ git backfill
remote: Enumerating objects: 50711, done.
remote: Counting objects: 100% (15438/15438), done.
remote: Compressing objects: 100% (708/708), done.
remote: Total 50711 (delta 15154), reused 14730 (delta 14730), pack-reused 35273 (from 1)
Receiving objects: 100% (50711/50711), 11.62 MiB | 12.28 MiB/s, done.
Resolving deltas: 100% (49154/49154), done.
remote: Enumerating objects: 50017, done.
remote: Counting objects: 100% (10826/10826), done.
remote: Compressing objects: 100% (634/634), done.
remote: Total 50017 (delta 10580), reused 10192 (delta 10192), pack-reused 39191 (from 1)
Receiving objects: 100% (50017/50017), 12.17 MiB | 12.33 MiB/s, done.
Resolving deltas: 100% (48301/48301), done.
remote: Enumerating objects: 47303, done.
remote: Counting objects: 100% (7311/7311), done.
remote: Compressing objects: 100% (618/618), done.
remote: Total 47303 (delta 7021), reused 6693 (delta 6693), pack-reused 39992 (from 1)
Receiving objects: 100% (47303/47303), 40.84 MiB | 15.26 MiB/s, done.
Resolving deltas: 100% (43788/43788), done.

Cette commande permet de télécharger l'ensemble des blobs, transformant ainsi le clone blobless en un clone complet :

$ git cat-file --batch-all-objects --batch-check='%(objecttype)' | sort | uniq -c
 148031 blob
  83977 commit
 161927 tree

Ce projet a été mené par Derrick Stolee et a été fusionné via le commit e565f37553.

Intégration de zlib-ng

Tous les objets contenus dans le dossier .git/ sont compressés par Git à l'aide de zlib, la bibliothèque de référence implémentant la spécification RFC 1950 : ZLIB Compressed Data Format. Créée en 1995, zlib bénéficie d'une longue histoire et d'une portabilité incroyable. Elle prend même en charge de nombreux systèmes antérieurs à Internet. En raison de sa compatibilité étendue avec une grande diversité d'architectures et de compilateurs, elle s'accompagne de certaines limites techniques.

Pour pallier ces contraintes, une bifurcation nommée zlib-ng a été créée. zlib-ng est une version optimisée pour les systèmes modernes. Cette bifurcation abandonne la prise en charge d'anciens systèmes au profit d'optimisations Intel, de certaines optimisations Cloudflare et de quelques autres correctifs plus ciblés.

La bibliothèque zlib-ng elle-même inclut une couche de compatibilité avec zlib, permettant d'utiliser zlib-ng en remplacement immédiat de zlib. Toutefois, cette couche de compatibilité n'est pas encore disponible sur toutes les distributions Linux. Dans Git 2.49.0 :

• Une couche de compatibilité a été intégrée directement au projet Git.
• Des options de compilation ont été ajoutées à la fois au fichier Makefile et au fichier de compilation Meson.

Grâce à ces ajouts, il est plus facile de tirer parti des gains de performances procurés par zlib-ng.

Lors de benchmarks en local, nous avons constaté une accélération d'environ 25 % en utilisant zlib-ng au lieu de zlib. Nous sommes d'ailleurs en train de déployer progressivement ces améliorations sur GitLab.com.

Si vous souhaitez bénéficier des améliorations apportées par zlib-ng, vérifiez d'abord si Git sur votre machine l'utilise déjà en exécutant la commande git version --build-options :

$ git version --build-options
git version 2.47.1
cpu: x86_64
no commit associated with this build
sizeof-long: 8
sizeof-size_t: 8
shell-path: /bin/sh
libcurl: 8.6.0
OpenSSL: OpenSSL 3.2.2 4 Jun 2024
zlib: 1.3.1.zlib-ng

Si la dernière ligne contient zlib-ng, votre instance Git est déjà créée à l'aide de la variante optimisée de zlib. Sinon, vous pouvez :

• Soit demander au chargé de maintenance du paquet Git que vous utilisez d'inclure la prise en charge de zlib-ng.
• Soit compiler Git vous-même à partir de la source.

Ces améliorations ont été introduites par Patrick Steinhardt.

Améliorations itératives autour de Meson

Dans notre article sur la version 2.48.0 de Git, nous avons évoqué l'introduction du système de compilation Meson. Meson est un outil d'automatisation de compilation utilisé par le projet Git qui, à terme, pourrait remplacer Autoconf, CMake et peut-être même Make.

Au cours du cycle de développement de la version 2.49.0, nous avons poursuivi notre travail sur l'utilisation de Meson, en ajoutant diverses fonctionnalités manquantes et des correctifs de stabilisation :

• L'amélioration de la couverture de test dans le cadre des pratiques CI a été fusionnée dans le commit 72f1ddfbc9.
• Des ajustements pour permettre l'utilisation de Meson dans contrib/ ont été fusionnés dans le commit 2a1530a953.
• Des correctifs et améliorations diverses de la procédure de compilation basée sur Meson ont été fusionnées dans le commit ab09eddf60.
• La prise en charge par Meson de la compilation de git-subtree(1) a été fusionnée dans le commit 3ddeb7f337.
• L'apprentissage par Meson de la génération des pages de la documentation HTML a été fusionné dans le commit 1b4e9a5f8b.

L'ensemble de ces contributions a été mené par Patrick Steinhardt.

Retrait définitif des sous-répertoires .git/branches/ et .git/remotes/

Vous connaissez probablement l'existence du répertoire .git et de son contenu. Mais avez-vous déjà entendu parler des sous-répertoires .git/branches/ et .git/remotes/ ? Comme vous le savez peut-être, les références aux branches sont stockées dans .git/refs/heads/, ce n'est donc pas à cela que sert .git/branches/, et qu'en est-il de .git/remotes/ ?

En 2005, le sous-répertoire .git/branches/ a été introduit afin de stocker le nom abrégé de dépôts distants, et quelques mois plus tard, ces informations ont été déplacées vers .git/remotes/. Puis, en 2006, à l'aide de la commande git-config(1), il a été possible de gérer les dépôts distants de la même façon que les paramètres de configuration, ce qui est devenu la méthode standard de configuration des dépôts distants. En 2011, les sous-répertoires .git/branches/ et .git/remotes/ ont été documentés comme étant obsolètes. Ils ne sont plus utilisés dans les dépôts modernes.

Enfin en 2024, la documentation BreakingChanges a été créée pour répertorier les changements cassants de la prochaine version majeure de Git (v3.0). Bien que cette nouvelle version ne soit pas encore planifiée dans un avenir proche, cette documentation permet de suivre les modifications significatives à venir.

Dans le commit 8ccc75c245, l'utilisation des sous-répertoires .git/branches/ et .git/remotes/ a été ajoutée à cette liste, en les marquant officiellement comme obsolètes et voués à être supprimés dans Git 3.0.

Merci à Patrick Steinhardt d'avoir formalisé ce retrait définitif.

Ajout de liaisons en Rust pour libgit

Lors de la compilation de Git, une bibliothèque interne nommée libgit.a est créée. Elle contient certaines des fonctionnalités centrales de Git.

Bien que cette bibliothèque (comme la majeure partie de Git) soit écrite en C, la version Git 2.49.0 introduit des liaisons pour que certaines de ces fonctions deviennent disponibles en langage Rust. Pour ce faire, deux nouveaux paquets Cargo ont été créés : libgit-sys et libgit-rs. Ils se trouvent dans le sous-répertoire contrib/ de l'arbre source de Git.

C'est une pratique assez courante de diviser une bibliothèque en deux paquets lorsqu'une interface de fonction étrangère est utilisée. Le paquet libgit-sys fournit l'interface directe et minimaliste vers les fonctions en C et effectue le lien avec la bibliothèque native libgit.a. Le paquet libgit-rs fournit une interface de haut niveau plus idiomatique pour Rust vers les fonctions de libgit-sys.

Jusqu'à présent, les fonctionnalités de ces paquets Rust sont très limitées : ils fournissent uniquement une interface d'interaction avec la commande git-config(1).

Cette initiative a été menée par Josh Steadmon et a été fusionnée via le commit a4af0b6288.

Nouvel algorithme de hachage de noms

La base de données d'objets Git dans .git/ stocke la plupart de ses données sous forme d'archives empaquetées («packfile»). Ces derniers sont également utilisés pour transférer des objets entre le serveur et le client Git par le biais du réseau.

Pour en savoir plus sur le format de ces fichiers, consultez la documentation gitformat-pack(5). D'autre part, les archives empaquetées utilisent une technique de compression qui a son importance, appelée la compression delta. Avec ce type de compression, tous les objets ne sont pas stockés dans leur intégralité : certains sont enregistrés en tant que delta d'une autre base. Ainsi, au lieu d'enregistrer le contenu complet des objets, ce sont les modifications par rapport à un autre objet de référence qui sont stockées.

Sans détailler la façon dont ces deltas sont calculés ou stockés, vous vous doutez bien qu'il est essentiel de regrouper les fichiers très similaires pour optimiser la compression. Jusqu'à la version v2.48.0, Git examinait les 16 derniers caractères du nom du chemin d'accès au fichier pour déterminer si les blobs semblaient similaires, à l'aide d'un algorithme nommé « version 1 ».

Dans Git 2.49.0, l'algorithme « version 2 » a été introduit. Il s'agit d'une itération de l'algorithme version 1, mais modifié, de sorte que l'impact du répertoire parent dans le calcul est réduit. Vous pouvez spécifier la version de l'algorithme de hachage de noms à utiliser à l'aide de l'option --name-hash-version de la commande git-repack(1).

Derrick Stolee, qui a mené ce projet, a effectué une comparaison de la taille des archives empaquetées après exécution de git repack -adf --name-hash-version=<n> :

Pour en savoir plus, consultez l'ensemble de correctifs, qui a été fusionné dans le commit aae91a86fb.

Capacité de promisor remote

Il est de notoriété publique que Git ne sait pas très bien gérer les fichiers volumineux. Des solutions comme Git LFS existent pour résoudre ce problème, mais celles-ci comportent malgré tout certaines lacunes. En voici quelques exemples :

• Avec Git LFS, l'utilisateur doit configurer les fichiers à placer dans LFS. Le serveur n'a aucun contrôle sur ce choix et doit donc servir tous les fichiers.
• Chaque fois qu'un fichier est validé dans le dépôt, il est impossible de l’enlever du dépôt sans réécrire l'historique. C'est un vrai problème, surtout pour les fichiers volumineux qui sont bloqués pour toujours.
• Les utilisateurs ne peuvent pas changer d'avis sur quels fichiers sont à placer dans Git LFS.
• Configurer, apprendre et utiliser de manière optimale un outil comme Git LFS est fastidieux.

Depuis un certain temps, Git a adopté le concept de « promisor remotes ». Cette fonctionnalité pouvant être utilisée pour gérer des fichiers volumineux a été améliorée dans Git 2.49.0.

L'idée de la capacité « promisor remote » est relativement simple : au lieu d'envoyer lui-même tous les objets, un serveur Git peut indiquer au client Git de télécharger ces objets à partir d'un « promisor remote ».

Git 2.49.0 permet désormais au serveur de transmettre les informations du « promisor remote » au client. Cette amélioration est une extension du protocole gitprotocol-v2. Pendant l'échange de données, le serveur peut ainsi envoyer au client les noms et les URL des « promisor remotes » dont il a connaissance.

Jusqu'à présent, le client n'utilise pas les informations du « promisor remote » qu'il reçoit du serveur lors d'un clonage, de sorte que tous les objets sont toujours transmis depuis le dépôt distant à partir duquel le clonage a été initié. Nous envisageons de poursuivre l'optimisation de cette fonctionnalité pour faire en sorte de permettre au client d'utiliser les informations du « promisor remote » du serveur, ainsi que pour simplifier son utilisation.

Cet ensemble de correctifs a été soumis par Christian Couder et fusionné via le commit 2c6fd30198.

Clone léger utilisant --revision

Une nouvelle option --revision a été ajoutée à la commande git-clone(1). Elle vous permet de créer un clone léger d'un dépôt ne contenant que l'historique associé à une révision donnée. Elle fonctionne de manière similaire à --branch, mais accepte un nom de référence (comme refs/heads/main, refs/tags/v1.0 et refs/merge-requests/123) ou un ID d'objet en hexadécimal d'un commit. La différence avec --branch est qu'elle ne crée pas de branche de suivi et le pointeur HEAD est détaché. Cette option n'est donc pas adaptée si vous souhaitez contribuer à cette branche.

Vous pouvez combiner --revision avec --depth pour créer un clone minimal, par exemple dans le cadre de tests automatisés. Lorsque vous disposez d'un système CI qui doit effectuer le checkout d'une branche (ou toute autre référence) pour exécuter des tests autonomes sur le code source, un clone minimal suffit largement.

Ce changement a été mené par Toon Claes.

En savoir plus

• Nouveautés de Git 2.48.0
• Nouveautés de Git 2.47.0
• Nouveautés de Git 2.46.0