GitLab 19.0 chega com várias novidades para quem pensa em DevSecOps como uma plataforma unificada: o Secrets Manager entra em beta público para Premium e Ultimate com escopo de segredos por job, o Developer Flow passa a cobrir todo o ciclo de merge requests com agentes que respeitam o contexto do projeto, há maior visibilidade de pipelines e da cadeia de suprimentos via SBOMs, suporte a modelos self‑hosted e alertas sobre a necessidade de governança e observabilidade antes de liberar agentes autônomos.
O GitLab 19.0 chega oferecendo uma orquestração mais completa para DevSecOps, com novidades como o Secrets Manager em beta público, fluxos agentic do Developer Flow e visibilidade aprimorada de pipelines e da cadeia de suprimentos.
O destaque é o GitLab Secrets Manager, agora em beta público para usuários Premium e Ultimate, que permite armazenar credenciais dentro da própria plataforma que roda código e pipelines.
Ao contrário do comportamento anterior, o Secrets Manager permite escopar cada segredo apenas para os jobs autorizados a usá‑lo, mantendo controle de acesso e auditoria pelo mesmo modelo de grupos e projetos do GitLab.
“Today, putting a credential into a CI/CD variable grants that secret to every job in the project, including jobs added later by contributors who weren’t around when the secret was created, GitLab Secrets Manager flips the default.” – Manav Khurana, GitLab.
Se uma credencial for comprometida, é possível rastrear cada job que a usou no trilho de auditoria do GitLab, vinculado ao pipeline de origem, sem precisar correlacionar logs entre sistemas distintos.
O recurso funciona em conjunto com integrações já existentes, como HashiCorp Vault, AWS Secrets Manager, Azure Key Vault e Google Cloud Secret Manager.
Outra mudança importante é a expansão do Developer Flow ao ciclo completo de merge requests, para ajudar com feedback de revisores, resolução de conflitos e divisão de MRs muito grandes.
O fluxo lê padrões específicos do projeto a partir de AGENTS.md, o que faz com que o agente gere saída alinhada ao contexto, convenções e guardrails de cada equipe.
Além disso, o agent-config.yml prepara o ambiente de desenvolvimento com dependências e ferramentas necessárias para que o agente execute testes e hooks antes do commit.
O GitLab 19.0 também facilita implantações híbridas, permitindo misturar modelos self‑hosted e gerenciados pela própria plataforma segundo critérios como sensibilidade dos dados, custo e latência.
Na parte de segurança, há melhor governança da cadeia de suprimentos com varredura de dependências e geração de SBOMs que podem ser associadas a avisos de segurança e a inventários auditáveis de componentes third‑party.
“If software engineering teams don’t have execution governance and observability wired up before they flip the switch on agent deployments, they’re going to learn what someone else decided on a different day – and they’re going to learn it the hard way,” – David Girvin, Sumo Logic.
Segundo o GitLab, o objetivo é reduzir o trabalho manual em torno dos merge requests e concentrar a remediação nas exposições reais, em vez de gerar ruído sobre todo pacote que aparece no manifesto.
O lançamento deixa claro o foco em colocar segurança, automação e governança na mesma plataforma onde o código é escrito, lembrando, em tom leve, que primeiro vem a infraestrutura e depois o código — primeiro as calças, depois os sapatos.
