Como GitLab 18.10 usa IA para triagem e remediação de vulnerabilidades
GitLab 18.10 traz IA para SAST e detecção de segredos: reduz falsos positivos, acelera a remediação e gera merge requests prontos para revisão. Saiba como.
Tema central: GitLab 18.10 — recursos de segurança com IA para triagem e remediação de vulnerabilidades (SAST e detecção de segredos).
GitLab 18.10 introduz capacidades de segurança impulsionadas por IA que reduzem o tempo de triagem e aceleram a remediação de vulnerabilidades. As principais funcionalidades incluem detecção de falsos positivos do SAST (agora disponível em geral), resolução agentic de vulnerabilidades SAST em beta e detecção de falsos positivos em descobertas de segredos em beta. Essas capacidades são entregues via GitLab Duo Agent Platform e visam diminuir o esforço de investigação manual e transformar achados em merge requests prontos para revisão.
Para quem opera pipelines DevSecOps no dia a dia, o problema que essas funcionalidades atacam é conhecido: a fila de vulnerabilidades cresce mais rápido do que a capacidade do time de investigá-la. Um scanner que reporta tudo acaba treinando o time a ignorar tudo. O diferencial do 18.10 é mudar o ponto de aplicação da IA — em vez de só apontar problemas, ela classifica o que merece atenção e, no caso do SAST, já entrega uma proposta de correção validada por testes. Abaixo detalhamos cada fluxo, os pré-requisitos reais, e o que considerar antes de ligar isso em produção.
GitLab 18.10 — triagem e remediação com IA
O fluxo de detecção de falsos positivos SAST analisa automaticamente cada novo achado crítico e de alta severidade após a varredura e anexa ao relatório de vulnerabilidades: um score de confiança que indica a probabilidade de falso positivo, uma explicação gerada pela IA descrevendo o raciocínio e um selo visual que facilita a leitura rápida no painel de Vulnerability Report. Os selos diferenciam achados marcados como "Likely false positive" e "Likely real", e podem ser usados como filtro. Com isso, equipes de desenvolvimento e segurança podem filtrar e priorizar apenas os achados "Not false positive" para focar em riscos reais em vez de ruído.
A lógica por trás dessa redução de ruído considera limitação de caminhos de execução, frameworks que mitigam o risco e contexto estático extraído do repositório. Importante: a avaliação do GitLab Duo Agent Platform é uma recomendação — cada falso positivo pode e deve ser validado pelo time responsável, e o histórico de raciocínios está disponível para auditoria, ajudando a construir confiança no modelo ao longo do tempo.
Na prática, esse desenho atende um padrão recorrente: a IA prioriza, o humano decide. Para o time de plataforma, a métrica que importa monitorar nas primeiras semanas é a taxa de concordância entre o veredito do agente e a validação humana. Enquanto essa taxa não estabilizar em um patamar confiável, trate o selo como sinal de triagem — não como decisão final de fechar vulnerabilidade.
Pré-requisitos: edição, plataforma e onde isso roda
Antes de planejar a adoção, alinhe os requisitos. Os três recursos exigem GitLab Ultimate e dependem da GitLab Duo Agent Platform. A detecção de falsos positivos de segredos roda no branch padrão; a triagem de SAST roda após cada varredura SAST. Isso tem uma implicação operacional direta: você precisa já ter SAST e Secret Detection configurados e gerando achados para que a camada de IA tenha o que analisar.
| Recurso | Estágio | Onde executa | Saída no Vulnerability Report |
|---|---|---|---|
| SAST false positive detection | GA | Após cada varredura SAST (achados críticos e altos) | Score de confiança, explicação e selo ("Likely false positive" / "Likely real") |
| Agentic SAST vulnerability resolution | Beta | Sobre achados que provavelmente não são falso positivo | Merge request com mudanças, score e explicação |
| Secret false positive detection | Beta | Branch padrão (ou disparo manual por achado) | Score, motivo e selo; ação "Check for false positive" |
Um pré-requisito mínimo de pipeline SAST se parece com isto, incluindo o template oficial:
include:
- template: Jobs/SAST.gitlab-ci.yml
- template: Jobs/Secret-Detection.gitlab-ci.yml
stages:
- test
sast:
stage: test
secret_detection:
stage: test
Com esses jobs presentes e os recursos de IA habilitados no nível Ultimate, a triagem passa a anexar score e selo aos novos achados críticos e altos automaticamente — sem job adicional no .gitlab-ci.yml.
Agentic SAST vulnerability resolution (beta)
O fluxo agentic de resolução de vulnerabilidades vai além da identificação: quando o SAST determina que um achado provavelmente não é falso positivo, o agente lê o trecho de código vulnerável e seu contexto, gera uma proposta de correção de alta qualidade, valida a correção por meio de testes automatizados e abre um merge request pronto para revisão. O MR inclui as mudanças de código propostas, um score de confiança e uma explicação clara sobre o que foi alterado e por quê — reduzindo a necessidade de expertise profunda em segurança para aplicar a correção.
Essa automação encurta o tempo médio de remediação ao transformar detecção em ação. Contudo, recomenda-se revisão humana do MR antes do merge final, seguindo políticas internas de qualidade e pipelines de CI/CD já estabelecidos pela organização.
Repare na ordem: a resolução agentic só age sobre achados que a triagem classificou como provavelmente reais. Isso significa que a qualidade da remediação depende da qualidade da triagem a montante — um motivo a mais para validar a etapa GA antes de confiar fortemente na geração de MRs em beta. Como o agente abre um MR convencional, todas as suas defesas existentes continuam valendo: aprovação obrigatória, code owners, gates de CI e políticas de scan. Vale tratar o MR do agente exatamente como um MR de qualquer contribuidor júnior — ele entra pela porta da frente do seu fluxo de revisão, não por um atalho.
Um padrão prático para distinguir MRs do agente e impor revisão de segurança via merge request approval policy:
# Política de aprovação reforçada para mudanças geradas por agente
approval_rules:
- name: "Revisao de seguranca obrigatoria"
approvals_required: 1
eligible_approvers:
- role: security
applies_to_all_protected_branches: true
Detecção de falsos positivos em segredos (beta)
A detecção de segredos, quando inundada por tokens de teste, credenciais fictícias e placeholders, perde utilidade. O fluxo de detecção de falsos positivos de segredos aplica análise de confiança e gera explicações quando encontra valores que parecem ser dummy ou de exemplo. Executado no branch padrão, ele rotula automaticamente cada achado com um score e um motivo, e adiciona um selo no Vulnerability Report. Desenvolvedores também podem disparar a checagem manualmente a partir do relatório, usando a ação "Check for false positive", para validar itens específicos.
Ao reduzir falsos positivos tanto em SAST quanto em detecção de segredos, GitLab 18.10 melhora a confiança nos relatórios e direciona o esforço humano para correções que realmente impactam a segurança do produto.
Uma ressalva operacional importante: um segredo classificado como "falso positivo" pela IA continua sendo um segredo de teste exposto no histórico do repositório. Mesmo placeholders e credenciais fictícias merecem higiene — convém manter rotação e remoção como prática, em vez de tratar o selo de falso positivo como permissão para deixar valores sensíveis versionados. A IA reduz o ruído da triagem; ela não substitui a política de gestão de segredos.
Checklist de adoção corporativa
Para quem vai operacionalizar isso sem abrir uma brecha de governança, um roteiro pragmático:
- Confirme o pré-requisito comercial e técnico. Valide o licenciamento Ultimate e a habilitação da GitLab Duo Agent Platform antes de prometer prazos ao time.
- Comece pela triagem GA, não pela remediação beta. A detecção de falsos positivos SAST já é GA; estabilize a leitura dos selos e a concordância humano-IA antes de habilitar a geração automática de MRs.
- Escolha um projeto piloto com bom histórico de testes. A resolução agentic valida correções por testes automatizados — projetos com cobertura fraca produzirão MRs menos confiáveis.
- Não afrouxe a revisão. Mantenha aprovação obrigatória, code owners e gates de CI para os MRs gerados pelo agente.
- Meça antes de escalar. Acompanhe a taxa de concordância da triagem, o tempo de remediação e quantos MRs do agente são aceitos sem retrabalho. Decida o rollout com dados, não com entusiasmo.
- Documente o uso de IA para auditoria. O raciocínio do agente é auditável; capture essa trilha para atender requisitos de compliance.
Trade-offs honestos
| Ganho | Contrapartida a gerenciar |
|---|---|
| Menos ruído na fila de vulnerabilidades | Risco de falso negativo se a triagem for tratada como decisão final |
| Remediação mais rápida via MRs prontos | Dependência da qualidade dos testes do projeto; revisão humana segue obrigatória |
| Trilha de raciocínio auditável | Recursos beta podem mudar de comportamento; planeje o piloto como reversível |
| Padronização de ciclos de correção | Exige Ultimate + Duo Agent Platform e SAST/Secret Detection já configurados |
Impacto corporativo e operacional
Para times DevOps e de segurança em ambientes corporativos, as principais consequências práticas são: menor tempo gasto em triagem, maior velocidade de remediação, e melhor utilização de capital humano (engenheiros aplicando correções em vez de investigar ruído). A capacidade de gerar MRs automatizados facilita ciclos de correção padronizados e auditáveis, o que é valioso para compliance e redução de risco operacional.
O ponto estratégico para o B2B é o deslocamento do gargalo. Sem IA, o limitador de um programa de AppSec costuma ser a capacidade de triagem do time de segurança — quanto mais scanners você adiciona, mais ruído chega à mesma fila humana. Ao automatizar a triagem e a primeira proposta de correção, o 18.10 move o gargalo para a revisão, que é uma atividade de maior valor e mais fácil de distribuir entre engenheiros de produto. O resultado, quando bem operado, é aumentar o throughput de segurança sem escalar linearmente o time.
Empresas interessadas em avaliar ou adotar essas capacidades podem consultar a fonte oficial do anúncio e detalhes técnicos na publicação do GitLab.
Fonte oficial: anúncio do GitLab 18.10
Se sua organização precisa de suporte para implantar e operacionalizar o GitLab Duo Agent Platform e aproveitar SAST agentic fixes de forma segura e auditável, considere nosso serviço de implementação GitLab para um roteiro de adoção corporativa e integração com seus pipelines existentes.
Observação: as funcionalidades citadas — SAST false positive detection (GA), Agentic SAST vulnerability resolution (beta) e secret false positive detection (beta) — estão direcionadas a clientes GitLab Ultimate que utilizam GitLab Duo Agent Platform. Revise as recomendações do MR gerado pelo agente antes de aplicar mudanças em produção.