Dans cet article, découvrez les différences architecturales entre ces deux approches et leurs champs d'application respectifs.

Essayez GitLab Ultimate gratuitement dès aujourd'hui !

Qu’est-ce qu’une machine virtuelle ?

Définition et fonctionnement

La machine virtuelle, ou virtual machine (VM) est un environnement informatique entièrement virtualisé qui reproduit virtuellement ses propres composants (CPU, GPU, mémoire RAM, disque dur et carte réseau) et exécute son propre système d’exploitation (OS).

Plusieurs machines virtuelles peuvent coexister sur une même machine physique, chacune isolée des autres.

La création d'une machine virtuelle est rendue possible grâce à l'installation d'un hyperviseur sur un OS hôte. Cet outil de virtualisation effectue la partition des ressources matérielles et affecte des quotas système dédiés (processeur, mémoire, stockage, réseau) à chaque machine virtuelle.

Il existe deux types d'hyperviseurs : les hyperviseurs de Type 1 (installés directement sur le matériel physique) et de Type 2 (installés sur un système d'exploitation hôte).

Avantages et limites de la machine virtuelle

La technologie de machine virtuelle offre une isolation forte sur machine physique. Résultat, le déploiement des machines virtuelles s'effectue dans un environnement étanche et sécurisé. Même si une machine virtuelle est piratée, elle ne pourra pas contaminer les autres machines.

Le principe de fonctionnement via hyperviseur assure également une compatibilité optimale avec de multiples environnements. Une machine virtuelle peut ainsi être déployée sur différents systèmes d’exploitation hôtes comme Windows, Linux, macOS ou un serveur physique.

Toutefois, la machine virtuelle classique présente un inconvénient majeur : sa consommation de ressources. Elle est plus lourde qu’un conteneur, car chaque machine virtuelle embarque un système d’exploitation complet. Ce système a également tendance à offrir des démarrages plus longs que la conteneurisation, plus légère et rapide.

Qu’est-ce qu’un conteneur ?

Définition et fonctionnement

Le conteneur est une approche alternative de virtualisation, un paquet qui contient toutes les dépendances nécessaires à l'exécution d'une application logicielle (bibliothèques, codes tiers, fichiers, etc.). Il reproduit la couche applicative d'un système d'exploitation, mais sans ses composants externes. Il est donc beaucoup plus léger qu'une machine virtuelle.

Un conteneur peut être exécuté isolément sur n'importe quel système d'exploitation en parallèle d'autres conteneurs, tous partageant le kernel (noyau) de l'OS hôte. Si Docker est l’outil de référence des équipes de développement pour la gestion des conteneurs, la plateforme Kubernetes intervient quant à elle à un niveau supérieur en orchestrant ces conteneurs à grande échelle, en s'appuyant sur des moteurs d'exécution tels que containerd ou CRI-O.

Avantages et limites des conteneurs

L'avantage premier du conteneur est sa légèreté et sa rapidité de déploiement. Vous déployez l’image du conteneur sur n’importe quel environnement compatible et l'application est déjà fonctionnelle, avec des démarrages quasi instantanés.

Au contraire de la machine virtuelle, la virtualisation par conteneur est fortement dépendante de l'environnement hôte, car elle ne reproduit pas un nouvel OS complet. De plus, la compartimentation est moins optimale qu'avec la machine virtuelle, en raison du partage du kernel. Cela signifie qu'une vulnérabilité du kernel pourrait potentiellement affecter tous les conteneurs exécutés sur cet hôte.

Conteneurs vs machines virtuelles : les principales différences

Architecture

Les conteneurs et les machines virtuelles ne présentent pas la même architecture. Les machines virtuelles embarquent leur propre OS complet, alors que les conteneurs ne font que partager le noyau du système d'exploitation hôte. Ils n'exécutent que les applications qu'ils contiennent, nécessitent moins de ressources matérielles, mais offrent une isolation moins stricte que les machines virtuelles.

Performance et consommation

Sur ce point, les conteneurs ont clairement l'avantage. Ils démarrent quasi instantanément quand les machines virtuelles peuvent mettre plusieurs minutes pour s'exécuter. Cette différence s'explique par les ressources plus importantes consommées par les machines virtuelles. De leur côté, les conteneurs, étant beaucoup plus légers, sont également beaucoup moins gourmands en ressources.

Sécurité

La machine virtuelle offre une isolation plus stricte. Chaque machine virtuelle invitée est indépendante du système et des autres machines. Cela assure aux utilisateurs une protection complète. Les conteneurs partagent le noyau de l'OS hôte, leur étanchéité est donc moindre. Cependant, ils utilisent des mécanismes de sécurité du kernel (espaces de nommage, cgroups, sandboxing) pour atteindre un niveau d'isolation robuste, à condition que l'OS hôte soit correctement configuré et maintenu à jour.

Scalabilité et DevOps

Les conteneurs sont spécialement conçus pour les environnements DevOps et les architectures cloud-native.

Ils offrent une excellente scalabilité, ce qui représente un atout majeur pour les pipelines CI/CD et le développement agile.

Concrètement, vous disposez d'une solution qui se met automatiquement à l'échelle selon vos besoins, grâce à des orchestrateurs comme Kubernetes. Cette flexibilité est devenue indispensable, notamment dans les secteurs à forte variabilité de charge.

Les machines virtuelles sont davantage adaptées à des applications monolithiques où l'ensemble du code et des fonctionnalités sont implémentés dans un programme unique. Avec ce modèle, vous devez modifier le code source, créer et déployer une version mise à jour de l’application complète sur la machine virtuelle. Elles peuvent aussi évoluer, mais nécessitent davantage de ressources matérielles et de temps de déploiement.

Pour tirer pleinement parti des conteneurs en production, deux outils se distinguent : Kubernetes pour l'orchestration, et GitLab pour l'automatisation des pipelines CI/CD. Voici comment ils s'articulent.

Kubernetes et GitLab

Kubernetes est un système d’orchestration open source initié par Google et aujourd’hui gouverné par la Cloud Native Computing Foundation. Il permet la création et la gestion d'applications conteneurisées avec une infrastructure flexible et évolutive. Kubernetes représente une solution très efficace pour développer des applications de type microservices plus rapidement, sans être limité à une infrastructure fixe. Kubernetes est une solution cloud-native. Vous pouvez ainsi le déployer dans n'importe quel environnement de ce type (cloud public, privé ou hybride). Une caractéristique utile, notamment pour les entreprises qui utilisent plusieurs fournisseurs de services cloud. Vous gagnez en flexibilité et réduisez votre dépendance à un fournisseur cloud unique.

L'autre grande force de Kubernetes est sa capacité d'évolutivité. Les applications développées évoluent automatiquement selon vos besoins. Vos infrastructures disposent d'une disponibilité optimale, même en cas de hausse du trafic ou de pic de charge.

Kubernetes intègre enfin tous les outils nécessaires pour assurer une surveillance efficace : tableaux de bord intuitifs, outils de supervision (Prometheus, Grafana), alertes, etc.

GitLab CI/CD et Kubernetes

La plateforme DevSecOps de GitLab facilite grandement la mise en place de projets conteneurisés et le développement cloud-native.

GitLab et Kubernetes fonctionnent de trois manières distinctes :

• Connectez votre cluster Kubernetes à GitLab pour déployer, gérer et surveiller vos solutions cloud natives. Utilisez Kubernetes pour gérer vos GitLab Runners et adaptez la charge de travail selon vos besoins. Exécutez GitLab sur un cluster Kubernetes.

Chacune de ces approches peut être utilisée ensemble ou séparément. Par exemple, une instance Omnibus GitLab s'exécutant sur une machine virtuelle peut déployer des logiciels stockés en son sein vers Kubernetes.

Avec GitLab et Kubernetes, vous adaptez ainsi vos workflows aux contraintes de votre infrastructure, tout en conservant une intégration et une automatisation complètes.

Quand choisir un conteneur ou une machine virtuelle ?

Dans la plupart des cas, les conteneurs constituent le choix le plus adapté aux environnements modernes, grâce à leur légèreté, leur rapidité de déploiement et leur scalabilité native. Certains contextes spécifiques justifient cependant de privilégier la machine virtuelle. C'est ce que nous allons découvrir maintenant.

Quand privilégier la machine virtuelle ?

La conteneurisation offre une sécurité suffisante pour la plupart des entreprises. Toutefois, si vous avez besoin d'environnements entièrement cloisonnés, la machine virtuelle se révèle être une option intéressante.

Prenons un exemple. Votre entreprise de cybersécurité héberge plusieurs environnements de test pour analyser des malwares. Dans cette situation, la partition doit être optimale pour éviter une potentielle contamination entre les systèmes. Il est donc préférable d'utiliser une machine virtuelle.

La machine virtuelle s'impose également pour les tests en environnements multi OS. Si vous souhaitez tester des logiciels sur plusieurs systèmes d'exploitation (Windows, Linux et macOS), vous pouvez le faire à partir d'une seule machine physique. Vous faites ainsi des économies de matériel.

Plus globalement, les machines virtuelles sont surtout utilisées pour les applications monolithiques ou anciennes. Si votre entreprise est gérée via un ERP développé il y a plusieurs années sur un OS hôte obsolète, la transition conteneur risque d'être complexe (migration progressive du code, refonte architecturale, etc.).

Il est donc préférable de la faire tourner sur une machine virtuelle, mieux adaptée à ce type de structure logicielle.

Quand adopter les conteneurs ?

Aujourd'hui, les développements applicatifs s'appuient sur un modèle de microservices. Cette structure permet de tester, gérer, mettre à jour et déployer chaque module d'un logiciel, indépendamment des autres.

Pour arriver à ce résultat, il faut pouvoir disposer d'une distribution optimale des ressources entre les différents services. C'est exactement ce que permet la conteneurisation, grâce à sa structure légère et modulaire.

Cet aspect facilite grandement le travail des équipes Devops qui profitent de déploiements CI/CD plus rapides et fréquents. Une méthode qui limite les erreurs liées aux importantes mises à jour grâce à une itération continue. Là où les conteneurs sont particulièrement efficaces, c'est lorsque l'on aborde la question de la scalabilité et de la mise à niveau.

Avec la conteneurisation, l'ajout, le retrait et l'ajustement des microservices s'effectuent automatiquement, sans intervention manuelle ni interruption du service. Vous optimisez ainsi les ressources consommées, quelles que soient la charge, la demande ou la taille de votre infrastructure.

Coexistence machine virtuelle et conteneurs : la solution hybride à adopter

Il est tout à fait possible de faire coexister au sein d'une même structure ces deux architectures. Par exemple, une banque peut utiliser des machines virtuelles pour ses systèmes de paiement critiques et des conteneurs pour ses applications mobiles et services cloud-native.

La machine virtuelle s'impose pour les applications complexes ou critiques qui ne peuvent pas être divisées en modules ou qui nécessitent une isolation totale. Pour toutes les applications structurées en microservices (ou susceptibles de l'être), la conteneurisation est le modèle le mieux adapté.

Cependant, ce n'est pas toujours la meilleure solution. Si vous devez maintenir ou exécuter des logiciels anciens, analysez bien le rapport coût/bénéfice d'une transition en conteneurs. S'il est trop élevé ou techniquement risqué, la machine virtuelle reste plus pertinente.

Bonnes pratiques pour passer de la machine virtuelle au conteneur

Vous souhaitez passer de la virtualisation par machine virtuelle à la conteneurisation ? Voici comment procéder pour effectuer une transition optimale et sans rupture :

• Audit de votre structure : identifiez les systèmes d’exploitation utilisés, les dépendances logicielles, les services en cours d’exécution pour repérer les composants critiques. L'objectif ? Vérifier la compatibilité de ces éléments avec la structure modulaire en conteneurs.
• Refactorisation et découplage : la refactorisation consiste à adapter le code et les processus à une structure de logiciel en microservices. Ensuite, le découplage va isoler les services et bases de données pour les rendre indépendants les uns des autres.
• Empaquetage : une étape charnière pour créer l’image du conteneur via un Dockerfile, un fichier de configuration texte qui décrit l'environnement de l'application : dépendances, variables d'environnement, commandes d'exécution, etc.
• Test et sécurité : l’image conteneurisée doit être soumise à une série de tests rigoureux avant le déploiement en production. Des tests automatisés unitaires, d’intégration, de charge et de sécurité pour assurer une stabilité totale.
• Déploiement : c'est ici qu'entre en jeu GitLab CI/CD. Avec GitLab CI/CD, vous déployez automatiquement vos conteneurs via l'intégration native Kubernetes. Avec les outils de monitoring intégrés à GitLab et d'autres solutions (Prometheus, Grafana), vous suivez en temps réel l’état de vos déploiements.

Que vous optiez pour les conteneurs, les machines virtuelles ou une architecture hybride, l'essentiel est d'aligner votre choix technologique sur les besoins réels de votre infrastructure.

Essayez GitLab Ultimate gratuitement dès aujourd'hui !

Deux nouvelles fonctionnalités GitLab, disponibles actuellement en version bêta, abordent ce problème sous différents angles mais partagent le même objectif : donner aux praticiens un contrôle direct sur l'infrastructure CI/CD dont ils dépendent, sans ajouter un nouvel outil tiers. L'une affiche les données de performance au niveau des jobs directement à l'endroit où vous surveillez les pipelines. L'autre simplifie la façon dont vous extrayez les images de conteneurs à partir de plusieurs registres avec une mise en cache intégrée.

Ces deux fonctionnalités sont désormais ouvertes aux retours. Vos commentaires nous aideront à façonner les prochaines versions.

Indicateurs de performance des jobs CI/CD

• Niveaux disponibles : GitLab Premium, GitLab Ultimate
• Statut : Version bêta à disponibilité limitée sur GitLab.com ; disponible sur GitLab Self-Managed et GitLab Dedicated lorsque ClickHouse est configuré

À l'heure actuelle, il n'existe aucun moyen simple de savoir quand la durée d'un job commence à augmenter ou quels jobs ralentissent l'exécution de votre pipeline. La plupart des équipes construisent des tableaux de bord personnalisés ou examinent manuellement les logs pour répondre à des questions basiques telles que :

• Quels jobs sont les plus lents ?
• Où les taux d'échec augmentent-ils ?
• Quelle étape constitue le véritable goulot d'étranglement ?

Les indicateurs de performance des jobs CI/CD changent cela en ajoutant un nouveau panneau axé sur les jobs à la page d'analyse CI/CD au niveau du projet.

Pour chaque job, vous pouvez voir :

• La durée typique (P50, médiane) et la durée dans le pire des cas (P95) du job, pour que vous puissiez rapidement comparer les exécutions normales et les exécutions les plus lentes
• Le taux d'échec, pour que vous puissiez identifier les jobs fragiles ou instables
• Le nom et l’étape du job, couvrant par défaut les 30 derniers jours

Le tableau est triable, consultable par nom de job et paginé, ce qui permet aux équipes de plateforme d'obtenir une vue unique pour répondre aux questions qui nécessitaient auparavant des outils distincts ou des rapports personnalisés.

Essayez cette fonctionnalité

• Accédez à votre projet et sélectionnez Analyse > Données d'analyse CI/CD.
• Recherchez le panneau des indicateurs de performance des jobs CI/CD et triez-les par durée ou par taux d'échec pour trouver vos jobs les plus lents ou les moins fiables.

Documentation

• Analyses CI/CD – Indicateurs de performance des jobs CI/CD

À venir

Nous travaillons actuellement sur le regroupement par étape pour que vous puissiez consulter les indicateurs agrégés dans vos étapes de build, de test et de déploiement, et comprendre rapidement où concentrer vos efforts d'optimisation.

Partagez vos retours :

• Epic des indicateurs de performance des jobs CI/CD

Registre virtuel de conteneurs

Niveau : GitLab Premium, GitLab Ultimate Statut : Version bêta, compatible API dans la version 18.9

La plupart des organisations qui intègrent des images de conteneurs dans les pipelines CI/CD s'appuient sur plusieurs registres : Docker Hub, Harbor, Quay et les registres internes, pour n'en citer que quelques-uns. Gérer l'authentification, la disponibilité et la mise en cache sur l'ensemble de ces registres représente une charge opérationnelle qui ralentit les pipelines et introduit une certaine fragilité.

Le registre virtuel de conteneurs vous permet de créer un point de terminaison GitLab unique qui extrait des données de plusieurs sources de conteneurs en amont avec une mise en cache intégrée.

Au lieu de configurer les identifiants et la disponibilité pour chaque registre dans votre configuration de pipeline, vous pouvez :

• Diriger vos pipelines vers un point de terminaison de registre virtuel GitLab
• Configurer plusieurs registres en amont (Docker Hub, Harbor, Quay et autres utilisant l'authentification par jeton à longue durée de vie)
• Laisser GitLab résoudre automatiquement les extractions d'images, avec une mise en cache pull-through pour réduire les coûts de bande passante et améliorer la fiabilité

Pour les équipes qui évaluent GitLab comme remplacement de registre de conteneurs, cela comble une lacune critique en matière de capacités. Pour les équipes qui gèrent déjà des worflows de conteneurs multi-registres, cela centralise la gestion des images dans GitLab et réduit les extractions répétées.

Ce que la version bêta prend en charge aujourd'hui

• Registres en amont qui utilisent l'authentification par jeton à longue durée de vie : Docker Hub, Harbor, Quay et autres registres compatibles
• Mise en cache pull-through pour que les images couramment utilisées soient fournies par GitLab après le premier pull
• Configuration API-first, avec gestion de l'interface utilisateur en cours++

Les registres de fournisseurs cloud qui nécessitent une authentification IAM (tels que Amazon Elastic Container Registry, Google Artifact Registry et Azure Container Registry) sont à l'étude pour de futures itérations.

Essayez cette fonctionnalité

• Le registre virtuel de conteneurs est compatible API dans la version 18.9.
• SaaS (GitLab.com) : demandez l'accès via votre CSM ou en commentant le ticket ci-dessous pour que le feature flag soit activé pour votre groupe.
• GitLab Self-managed : activez le feature flag et configurez le registre virtuel à l'aide de l'API.

Documentation

• API du registre virtuel de conteneurs
• Extraire des images de conteneurs à partir du registre virtuel

Regardez cette démonstration du registre virtuel de conteneurs disponible en version bêta :

Partagez vos retours :

• Ticket lié aux retours sur le registre virtuel de conteneurs

Aidez-nous à construire GitLab

Tous les membres de la communauté GitLab sont des contributeurs. Nous avons développé ces versions bêta en fonction des demandes de la communauté.

• Les indicateurs de performance des jobs CI/CD ont été proposés par des équipes qui n'avaient aucun moyen facile de voir quand les temps de build commençaient à évoluer dans la mauvaise direction, ou quels jobs nuisaient à la fiabilité du pipeline.
• Le registre virtuel de conteneurs a été proposé par des entreprises clientes qui géraient plusieurs registres et cherchaient à réduire la prolifération d'outils et les coûts de bande passante tout en évaluant GitLab comme registre central.

Vos retours façonnent ce que nous créons. Essayez ces versions bêta et partagez votre expérience dans les tickets mentionnés dans cet article.

Cet article le premier d'une série de versions bêta Core DevOps que nous prévoyons de mettre en avant. D'autres suivront tout au long de l'année, et nous espérons que vous nous aiderez à les rendre aussi utiles que possible.

De nombreuses organisations savent qu'elles ont besoin d'une plateforme DevSecOps moderne, mais elles ne disposent pas toujours des ressources nécessaires pour déployer, gérer et optimiser continuellement une plateforme tout en livrant des logiciels au rythme exigé par leur activité. Il s'agit là d'une véritable opportunité pour les fournisseurs MSP, et GitLab propose désormais un programme dédié pour les soutenir.

Nous sommes ravis de présenter le programme partenaire MSP de GitLab, un nouveau programme mondial qui permet aux MSP qualifiés de proposer GitLab à leurs clients sous forme de service entièrement géré.

Pourquoi ce programme est-il important pour les partenaires et les clients ?

Pour la première fois, GitLab dispose d'un programme officiellement défini et disponible à l’échelle mondiale, spécialement conçu pour les MSP. Ce programme comprend des exigences claires, une mise en œuvre structurée, une assistance dédiée et de réels avantages financiers, afin que les partenaires puissent investir en toute confiance dans la mise en place d'une pratique de services gérés GitLab.

Ce programme arrive à point nommé. Les organisations accélèrent leur transition vers le DevSecOps, mais nombre d'entre elles doivent gérer des migrations complexes, des chaînes d'outils disparates et des exigences de sécurité croissantes en plus de leur travail de création et de livraison de logiciels.

Les partenaires MSP de GitLab gèrent l'aspect opérationnel de la plateforme, y compris le déploiement, la migration, l'administration et l'assistance continue, afin que les équipes de développement puissent se concentrer sur leur cœur de métier.

Avantages pour les partenaires MSP

Avantages financiers : les partenaires MSP bénéficient des marges partenaires de GitLab ainsi que d'une prime MSP supplémentaire sur toutes les transactions, les nouveaux contrats et les renouvellements. Ils conservent également 100 % des frais de service facturés aux clients pour le déploiement, la migration, la formation, l'activation et le conseil stratégique.

Formation : les partenaires ont accès à des bootcamps techniques trimestriels qui couvrent les mises à jour de version, les nouvelles fonctionnalités, les meilleures pratiques, les mises à jour continues de la roadmap et le partage entre pairs. Les certifications cloud recommandées (AWS Solutions Architect Associate, GCP Associate Cloud Engineer) complètent la base technique.

Assistance à la commercialisation : les MSP reçoivent un badge GitLab Certified MSP Partner, des ressources co-brandées, la possibilité de participer à des études de cas clients conjointes, une inscription au répertoire Partner Locator et l'accès à des fonds de développement marketing (MDF) pour les activités de génération de demande qualifiées.

Avantages pour les clients

Les clients qui travaillent avec un partenaire MSP GitLab bénéficient d'une expérience DevSecOps structurée et gérée, de méthodologies de mise en œuvre documentées et reproductibles, d'examens réguliers de leurs activités et d'une assistance avec des procédures de réponse et d'escalade clairement définis.

Résultat : les équipes de développement peuvent se concentrer sur la création de logiciels performants tandis que leur partenaire MSP gère l'exécution et l'optimisation de la plateforme.

L'IA, une nouvelle opportunité

Les organisations cherchent de plus en plus à intégrer l'IA de manière sécurisée dans leurs workflows de développement logiciel, et même les équipes expérimentées peuvent bénéficier d'une approche structurée pour la déployer à grande échelle. Les partenaires MSP de GitLab sont bien placés pour guider les clients dans l'utilisation de GitLab Duo Agent Platform dans le cadre d'une offre plus large de services gérés.

En combinant la plateforme DevSecOps de GitLab avec l'expertise opérationnelle fournie par les MSP, les clients peuvent tester des workflows assistés par l'IA dans un environnement contrôlé, répondre aux exigences en matière de résidence des données et de conformité, et étendre l'adoption de l'IA à toutes les équipes sans surcharger les ressources internes.

Ce programme est-il adapté à mon entreprise ?

Le programme partenaire MSP de GitLab est le choix idéal si vous :

• Fournissez déjà des services gérés dans le cloud, des infrastructures ou des opérations applicatives.
• Souhaitez ajouter une approche DevSecOps à forte valeur ajoutée à votre portefeuille.
• Disposez ou souhaitez développer des talents techniques intéressés par les plateformes de développement modernes.
• Préférez les relations clients à long terme aux transactions ponctuelles.

Si vous êtes déjà un partenaire GitLab Select et Professional Services, le programme MSP vous offre un moyen structuré de transformer votre expertise en une offre gérée reproductible.

Commencez dès maintenant

Le programme est lancé avec la désignation Partenaire MSP certifié. Il n'y a pas de minimum requis en matière de revenu annuel récurrent (ARR) ou de nombre de clients pour rejoindre le programme.

Voici comment rejoindre le programme :

1. Confirmez les prérequis : vérifiez que vous répondez aux exigences commerciales et techniques décrites dans notre manuel.
2. Postulez via le portail partenaire de GitLab : envoyez les documents commerciaux et techniques requis.
3. Suivez la formation de 90 jours : un parcours d'intégration structuré couvre les contrats, les compétences techniques, la formation commerciale et votre premier engagement client.
4. Lancez votre offre : créez vos offres de services, définissez vos accords de niveau de service (SLA) et commencez à échanger avec les clients.

Les candidatures complètes sont examinées dans un délai d'environ trois jours ouvrés.

Vous souhaitez développer une activité de services gérés GitLab ? Les nouveaux partenaires peuvent demander à devenir partenaire GitLab. Les partenaires existants peuvent contacter leur représentant GitLab pour en savoir plus sur le programme et nous faire part des solutions qu'ils proposent actuellement à leurs clients dans le cadre de leur activité MSP.

La clé actuelle utilisée pour la signature des métadonnées, avec l'empreinte F640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3F, devait expirer le 27 février 2026 et a été prolongée jusqu'au 6 février 2028.

Pourquoi prolongeons-nous cette date d'expiration ?

La date d'expiration de la clé de signature des métadonnées du dépôt est prolongée périodiquement pour satisfaire aux politiques de sécurité de GitLab et pour limiter l'exposition en cas de compromission de la clé. Au lieu de remplacer la clé, la date d'expiration de cette dernière est prolongée afin de limiter les perturbations pour les utilisateurs, car un remplacement obligerait tous les utilisateurs à mettre à jour leur clé.

Que dois-je faire ?

Si vous avez configuré les dépôts GitLab sur votre machine avant le 17 février 2026, veuillez consulter la documentation officielle : Comment récupérer et ajouter la nouvelle clé.

Si vous êtes un nouvel utilisateur, vous n'avez rien à faire, si ce n'est de consulter la page d'installation de GitLab ou la documentation d'installation de gitlab-runner.

Des informations supplémentaires concernant la vérification des signatures des métadonnées du dépôt sont disponibles dans la documentation Omnibus. Si vous avez simplement besoin d'actualiser une copie de la clé publique, vous pouvez la trouver sur l'un des serveurs de clés GPG en recherchant support@gitlab.com ou en utilisant l'ID de clé F640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3F.

Vous pouvez également la télécharger directement depuis packages.gitlab.com en accédant à l'URL https://packages.gitlab.com/gpg.key.

Que faire si j'ai besoin d'aide supplémentaire ?

Veuillez ouvrir un ticket dans le suivi des tickets omnibus-gitlab.

Cet article de blog est un résumé de notre webinaire sur la Collaboration entre agents d’IA et développeurs animé par Lucas Rangeard (Solutions Architect) et Chloé Cartron (Senior Solutions Architect). Pour visionner le replay, cliquez ici.

Structurer un besoin client en ticket, diviser un ticket en sous-tâches assignables, et implémenter la fonctionnalité : trois opérations qui, dans un cycle de développement traditionnel, s'enchaînent de manière séquentielle entraînant un goulot d'étranglement bien connu des équipes DevOps.

Grâce à GitLab Duo Agent Platform, ces trois tâches sont exécutées en parallèle, avec une merge request prête à être revue en quelques minutes.

Découvrez dans cet article les capacités de GitLab Duo Agent Platform conçue pour transformer la collaboration entre équipes de développement et agents intelligents et apprenez comment mettre en place des flows, de la création d’un ticket au développement d’une application à travers trois cas d’usage.

GitLab Duo Agent Platform : une orchestration agentique native

GitLab Duo Agent Platform représente une évolution majeure dans notre approche du DevSecOps. En disponibilité générale depuis janvier 2026 pour les clients GitLab Premium et GitLab Ultimate (GitLab.com et GitLab Self-Managed), GitLab Duo Agent Platform permet aux équipes de développement de collaborer avec des agents d’IA sur l'ensemble du cycle de développement logiciel (SDLC).

🎯 Essayez GitLab Duo Agent Platform dès aujourd'hui !

L’orchestration agentique au coeur du SDLC

Notre approche repose sur trois piliers interconnectés :

• Nous conservons ce qui fait notre force : une plateforme unifiée avec un système de données centralisé et des APIs.
• Nous ajoutons une couche d'intelligence agentique : des agents spécialisés travaillant ensemble et de manière autonome.
• Nous créons un graphe de connaissances reliant l'ensemble des données entre elles : votre code, vos tickets, vos déploiements, vos scans de sécurité. Cette interconnexion permet aux agents de comprendre votre contexte complet et de prendre des décisions éclairées rapidement.

Des agents spécialisés tout au long du SDLC

GitLab Duo Agent Platform ne vise pas à remplacer les équipes de développement, mais à leur fournir des partenaires capables d'exécuter des tâches en parallèle.

Les utilisateurs ont accès à trois types d’agents différents : les agents par défaut comme Planner, Security Analyst et Data Analyst pour les tâches courantes de développement, les agents personnalisables pour les workflows spécifiques à votre équipe, ainsi que les agents externes comme Claude Code ou OpenAI Codex. Pour en savoir plus sur les agents, consultez notre article de blog GitLab Duo Agent Platform : comprendre les agents.

Ces agents partagent un contexte unifié. Ils peuvent accéder aux tickets, au code source, aux pipelines CI/CD, aux merge requests et à l'historique de déploiement, selon les permissions données.

Chez NatWest, l'intégration des agents d’IA dans le cycle de développement logiciel a permis d'améliorer « la productivité, la vélocité et l'efficacité » des équipes, selon Bal Kang, Engineering Platform Lead.

Comment l'IA agentique réduit les temps d'attente entre chaque étape ?

Dans un cycle de développement traditionnel, les étapes s'enchaînent les unes après les autres. Rédaction des spécifications, découpage en tâches, implémentation, tests, revue de code : chaque phase attend la précédente. Ce modèle séquentiel génère des temps morts et limite la capacité des équipes à traiter plusieurs demandes simultanément.

L'approche agentique change cette dynamique. En déléguant des tâches à des agents autonomes, les équipes de développement peuvent avancer sur plusieurs fronts en parallèle. Pendant qu'un agent implémente une fonctionnalité, un autre structure une nouvelle demande, et un troisième prépare une analyse de sécurité. Le cycle de développement global est raccourci.

L'objectif : permettre aux équipes de développement de déléguer certaines tâches à des agents pendant qu'ils se concentrent sur d'autres tâches à plus forte valeur ajoutée, tout en gardant le contrôle sur les résultats.

3 exemples de flows à tester

Découvrez comment GitLab Duo Agent Platform transforme le quotidien des équipes grâce à ces trois cas d'usage qui peuvent être exécutés simultanément.

Transformer une idée en ticket structuré

Avec GitLab Duo Agentic Chat, les utilisateurs peuvent générer un ticket complet et personnalisable à partir d'une idée en formulant leur demande en langage naturel à l’aide du modèle IA de leur choix.

Ce ticket comprend le titre correspondant au besoin, la user story, les critères d'acceptance, les contraintes techniques, la « definition of done », ainsi que tout autre élément de gestion de projet propre aux équipes : personnes assignées, labels, date de début et date de fin de la tâche, confidentialité du ticket, etc.

L'action proposée est soumise à validation. Une fois approuvé, le ticket apparaît dans le backlog en quelques secondes.

Diviser un ticket en sous-tâches

Un ticket couvrant plusieurs fonctionnalités peut être divisé automatiquement en sous-tickets distincts. L'agent crée les sous tickets, maintient les références avec le ticket parent, et préserve la cohérence des critères d'acceptance. Ce mécanisme transforme un besoin business global en un ensemble de tâches assignables aux équipes.

Générer une merge request depuis un ticket

À partir d’un ticket décrivant une fonctionnalité à implémenter, l'agent analyse le contexte du projet, comprend l'architecture existante, et génère le code correspondant. Il modifie les fichiers nécessaires, crée une merge request et le pipeline CI/CD se lance automatiquement.

Il est également possible d'assigner GitLab Duo comme relecteur sur une merge request. L'agent analyse les changements, identifie les points d'attention et laisse des commentaires dans la merge request, offrant un premier niveau de revue avant la sollicitation des pairs.

Une collaboration entre humains et IA

Un aspect distingue GitLab Duo Agent Platform des approches purement automatisées : chaque action proposée par un agent nécessite une validation explicite. L'utilisateur visualise ce que l'agent souhaite exécuter et approuve ou ajuste le travail effectué par l’agent avant d’effectuer une action. Cette approche répond aux exigences des équipes en matière de gouvernance. L'agent accélère l'exécution, mais les décisions restent sous contrôle humain. Une approche indispensable dans un contexte où la qualité du code et la sécurité ne peuvent être compromises.

Le catalogue d’IA : un écosystème agentique

Au-delà des agents natifs, GitLab développe un écosystème ouvert : le catalogue d’IA. Ce dernier permet de découvrir, utiliser et partager des agents et des flows développés par GitLab, ainsi que par toute la communauté.

Les options de partage sont flexibles : ouverture à la communauté ou restriction à des usages internes selon les besoins de gouvernance.

Cette approche permet d'imaginer un agent expert en migration de bases de données, ou encore un flow d’optimisation de performance tous intégrés nativement dans GitLab.

Ces agents et flows s'intègrent à votre interface GitLab et identifient rapidement votre contexte et vos projets.

Prérequis

Pour utiliser GitLab Duo Agent Platform, plusieurs conditions sont requises :

• Disposer de la version 18.8 ou ultérieure de GitLab ou d’un compte GitLab.com.
• Être abonné à GitLab Premium ou GitLab Ultimate

GitLab Duo Agent Platform utilise par défaut les modèles d'IA fournis par GitLab. Une configuration alternative utilisant les modèles des clients est disponible pour les installations auto hébergées. Pour en savoir plus, consultez notre article IA agentique avec contrôle d'entreprise : GitLab Duo Agent Platform Self-Hosted et BYOM.

Perspectives : l'IA agentique au coeur du DevSecOps

GitLab Duo Agent Platform marque une évolution dans l'intégration de l'IA dans le cycle de développement DevSecOps. Il ne s'agit plus uniquement de suggestions de code, mais d'une véritable orchestration agentique où des agents spécialisés prennent en charge des workflows complets.

Vous souhaitez en savoir plus sur les flows ? Consultez notre article Comprendre les flows : workflows multi-agents et découvrez comment utiliser les flows par défaut et les flows personnalisables.

🎯 Essayez GitLab Duo Agent Platform dès aujourd'hui !

Mesurer la correction, pas seulement la détection

Les équipes chargées de la sécurité des applications ne peinent pas à trouver des vulnérabilités. En revanche, elles peinent à les comprendre. La plupart des tableaux de bord affichent des décomptes bruts sans contexte, ce qui les force à passer des heures à mettre en œuvre des mesures correctives sans comprendre quelles vulnérabilités les exposent aux risques les plus importants.

Le tableau de bord de sécurité de GitLab regroupe toutes les données relatives aux vulnérabilités en une vue unique qui couvre l'ensemble des projets, groupes et unités commerciales.

Dans la version 18.6, nous avons introduit la première mise à jour du tableau de bord de sécurité, où les équipes pouvaient visualiser les vulnérabilités au fil du temps et les filtrer en fonction du type de projet ou de rapport. Dans le cadre de la version 18.9, les clients pourront profiter de nouveaux filtres et graphiques qui facilitent le découpage des données par gravité, statut, scanner ou projet et visualiser les tendances (vulnérabilités ouvertes, vitesse de correction, répartition des vulnérabilités en fonction de leur ancienneté et score de risque au fil du temps).

Les scores de risque aident les équipes à prioriser la correction de leurs vulnérabilités les plus critiques. Le score de risque est calculé au moyen de facteurs tels que l'âge de la vulnérabilité, le système EPSS (Exploit Prediction Scoring System) et les scores KEV (Known Exploited Vulnerabilities) pour les dépôts associés et leurs postures de sécurité. Avec ces données, les équipes de sécurité des applications peuvent identifier les domaines à prioriser.

Le tableau de bord de sécurité de GitLab aide les équipes chargées de la sécurité et du développement des applications à :

• Suivre l'efficacité des programmes : surveiller la vitesse de correction, l'adoption des scanners et la posture de risque pour montrer une amélioration mesurable.
• Se concentrer sur les corrections ciblées : corriger les vulnérabilités qui représentent le plus grand risque pour les systèmes de production.
• Identifier les domaines nécessitant une formation à la correction : identifier les équipes qui ont des difficultés à corriger les vulnérabilités conformément à la politique de l'entreprise afin d'investir dans des formations supplémentaires.
• Réduire les rapports manuels : éliminer le recours à des tableaux de bord et de feuilles de calcul externes en suivant tout depuis GitLab.

Cette mise à jour reflète l'engagement continu de GitLab en faveur de la sécurité mesurable, contextuelle et intégrée dans les workflows de développement quotidiens. Le tableau de bord de sécurité de GitLab transforme les résultats bruts en informations exploitables afin que les équipes de sécurité et de développement puissent fixer des priorités, réduire les risques plus rapidement et étayer leurs progrès.

Découvrez le tableau de bord de sécurité de GitLab en action

Imaginez un responsable en charge de la sécurité des applications qui se prépare pour une réunion avec sa direction. Il peut maintenant montrer si les investissements réalisés réduisent les risques à l'aide des points de tendance clairs : vulnérabilités ouvertes en baisse, ancienneté des vulnérabilités en baisse, types de failles CWE autrefois fréquentes en baisse, score de risque satisfaisant. Au lieu de présenter des informations bruts, il peut afficher la diminution du backlog et l'amélioration de la posture de risque d'un trimestre à l'autre.

Parallèlement, les équipes de développement peuvent accéder au même tableau de bord, où les vulnérabilités critiques sont mises en évidence dans leurs projets actifs, afin de concentrer leurs efforts de correction sans avoir à exporter de données ni à jongler entre plusieurs outils.

Pour plus d’informations sur l'utilisation du tableau de bord de sécurité de GitLab, consultez notre documentation.

Avec GitLab 18.9, nous proposons deux fonctionnalités qui comblent une lacune stratégique critique pour ces organisations et transformons GitLab Duo Agent Platform en un plan de contrôle d'IA prêt à être déployé et gouvernable pour les environnements réglementaires les plus stricts.

GitLab Duo Agent Platform Self-Hosted pour les licences cloud en ligne

Avec GitLab Duo Agent Platform, les équipes d'ingénierie créent des flows alimentés par l'IA qui automatisent des séquences de tâches, allant de la refactorisation des services au renforcement des pipelines CI/CD en passant par la hiérarchisation des vulnérabilités. Jusqu'à présent, l'utilisation de GitLab Duo Agent Platform en production avec des modèles auto-hébergés était principalement alignée sur des chemins de licence hors ligne ou complémentaires et n'était pas conçue pour les clients disposant de licences cloud en ligne qui opèrent dans des environnements avec des réglementations strictes.

Désormais en disponibilité générale, GitLab Duo Agent Platform Self-Hosted pour les licences cloud en ligne introduit un modèle de facturation basé sur l'usage alimenté par les GitLab Credits. Cette approche offre la mesure transparente et prévisible dont les entreprises ont besoin pour instaurer la confiance et la refacturation interne.

• Résidence et contrôle des données : vous pouvez désormais exécuter GitLab Duo Agent Platform en production sur des licences cloud en ligne tout en utilisant des modèles hébergés sur votre propre infrastructure ou dans des environnements cloud approuvés. Vous contrôlez ainsi le lieu d'exécution des modèles et la façon dont le trafic d'inférence est acheminé dans vos environnements approuvés.
• Transparence des coûts et refacturation : bénéficiez d'une transparence granulaire des coûts grâce aux GitLab Credits et au décompte par requête, deux éléments essentiels pour une refacturation interne précise et le respect des normes réglementaires en matière de reporting.
• Accélération de l'adoption : supprime un obstacle majeur au déploiement de l'IA agentique dans des secteurs comme les services financiers, les administrations publiques et les infrastructures critiques, où l'acheminement des données via des fournisseurs d'IA externes n'est tout simplement pas envisageable. Avec GitLab 18.9, GitLab Duo Agent Platform devient un environnement de déploiement de premier ordre pour les licences cloud en ligne.

Bring Your Own Model

L'auto-hébergement de la couche d'orchestration n'est qu'une partie de la solution. De nombreux clients de secteurs réglementés ont déjà investi massivement dans leurs propres modèles : des LLM adaptés à leur domaine, des déploiements dans une région dédiée ou air-gapped pour la souveraineté des données, et des modèles fermés et internes conçus en fonction d'un profil de risque spécifique.

Bring Your Own Model (BYOM) renforce la flexibilité de GitLab Duo Agent Platform. Les administrateurs peuvent connecter des modèles tiers ou auto-hébergés via la passerelle d'IA (AI-Gateway) de GitLab, et les clients choisissent et contrôlent le modèle.

• Intégration et gouvernance : les modèles BYOM apparaissent aux côtés des modèles gérés par GitLab dans le plan de contrôle d'IA de GitLab. GitLab Duo Agent Platform peut ainsi les traiter comme des options prêtes à l'emploi pour l'entreprise.
• Mappage granulaire : une fois enregistrés via la passerelle d'IA, les modèles peuvent être mappés à des flows ou des fonctionnalités spécifiques de GitLab Duo Agent Platform. Vous pouvez ainsi exercer un contrôle étroit sur les agents et les flows, ainsi que sur les modèles utilisés. Les administrateurs restent toujours responsables de la validation des modèles, des performances et de l'évaluation des risques. Vous êtes responsable de la compatibilité, des performances et de l'évaluation des risques pour les modèles que vous apportez.

Ensemble, ces fonctionnalités donnent aux responsables d'ingénierie un contrôle complet sur l'IA agentique. Ce plan de contrôle unique et gouverné pour l'IA agentique remplace l'ensemble fragmenté de solutions ponctuelles et d'outils d'IA non gérés sur lesquels de nombreuses organisations s'appuient aujourd'hui. Il s'agit d'une combinaison que les organisations réglementées réclamaient depuis longtemps : la liberté de choisir son modèle accompagnée d'une gouvernance forte, au sein de la même plateforme DevSecOps en laquelle elles ont déjà confiance.

Vous souhaitez essayer GitLab Duo Agent Platform ? Contactez-nous ou commencez un essai gratuit dès aujourd'hui.

Cet article de blog contient des « déclarations prospectives » au sens de la section 27A du Securities Act de 1933, tel que modifié, et de la section 21E du Securities Exchange Act de 1934. Bien que nous croyions que les attentes reflétées dans ces déclarations sont raisonnables, elles sont soumises à des risques, incertitudes, hypothèses et autres facteurs connus et inconnus qui peuvent entraîner des résultats ou des issues réels sensiblement différents. Des informations supplémentaires sur ces risques et autres facteurs sont incluses sous la rubrique « Facteurs de risque » dans nos dépôts auprès de la SEC. Nous ne nous engageons pas à mettre à jour ou à réviser ces déclarations après la date de cet article de blog, sauf si la loi l'exige.

Votre confiance, notre priorité

La livraison logicielle moderne évolue à un rythme soutenu : les équipes effectuent des push de code, ouvrent des merge requests et suivent les tickets en continu tout au long de la journée. Les opérations Git (push, pull, clone) se produisent des milliers de fois par heure au sein d’équipes distribuées. Lorsque l'une de ces actions essentielles devient indisponible, l'ensemble de votre workflow de livraison de logiciels est impacté.

L'accord de niveau de service (SLA) garantissant une disponibilité de 99,9 % vous assure que votre rythme de développement accéléré ne se heurte pas à des obstacles liés à l’infrastructure. Les crédits de service témoignent de notre responsabilité. Ils lient notre réussite à la fiabilité de la plateforme et alignent nos intérêts sur les vôtres. Nous nous tenons responsables de vos résultats commerciaux, et pas seulement des objectifs de disponibilité.

L'engagement SLA de GitLab couvre les services de base de la plateforme essentiels à vos workflows DevSecOps.

Au lancement, les expériences couvertes sont les suivantes :

• Tickets et merge requests
• Opérations Git (push, pull, clone via HTTPS et SSH)
• Opérations du registre de conteneurs
• Opérations du registre de paquets
• Requêtes API (limitées aux éléments ci-dessus)

La liste actualisée des expériences couvertes et exclues est disponible dans le manuel de GitLab.

La disponibilité du service est mesurée à l'aide d'une surveillance automatisée couvrant plusieurs zones géographiques, offrant une représentation précise de la disponibilité réelle du service telle qu’elle est expérimentée par les clients. Lorsque la disponibilité passe sous le seuil de 99,9 %, les clients sont éligibles à des crédits proportionnels à la durée et à la sévérité de l’indisponibilité.

Comprendre les minutes d'indisponibilité

Lorsque le service de GitLab enregistre une disponibilité dégradée affectant 5 % ou plus des requêtes clients valides pour les expériences couvertes au cours d'une minute donnée, entraînant des erreurs serveur, cette période est appelée une minute d'indisponibilité. Les erreurs serveur sont définies comme des codes de statut HTTP 5xx ou des délais d'expiration de connexion dépassant 30 secondes, tels que déterminés par les systèmes de surveillance internes et externes de GitLab.

Le SLA mesure les défaillances côté serveur, mais certains problèmes peuvent ne pas générer d'erreurs 5xx, comme les bogues applicatifs qui rendent des fonctionnalités inutilisables, les interruptions du traitement des jobs Sidekiq ou les problèmes d'infrastructure qui dégradent les performances sans provoquer des échecs de requêtes.

Voici comment réclamer des crédits de service lorsque les conditions requises sont remplies :

1. Soumettez une demande d'assistance sur support.gitlab.com dans les trente (30) jours suivant la fin du mois affecté.
2. L'équipe de GitLab examine la demande, valide l'indisponibilité et traite le crédit le cas échéant.
3. Les crédits de service seront appliqués sur votre prochaine facture émise.

Consultez notre manuel pour en savoir plus sur le calcul de la disponibilité mensuelle, les crédits de service offerts le cas échéant et les procédures de réclamation de crédits.

Bien que notre système de surveillance soit conçu pour détecter la grande majorité des interruptions de service, si votre expérience ne correspond pas à la disponibilité rapportée, nous vous encourageons à soumettre une demande de crédit de service. GitLab examinera la demande dans sa globalité, y compris les problèmes susceptibles de ne pas être reflétés dans la surveillance automatisée.

Une fiabilité sur laquelle vous pouvez compter

Le SLA à 99,9 % assorti de crédits de service traduit notre engagement à être une base fiable pour vos workflows de livraison logicielle. Vos équipes comptent sur GitLab pour continuer à livrer des logiciels, et nous sommes là pour vous soutenir.

Des questions sur le SLA ? Contactez votre chargé de compte GitLab ou soumettez une demande via le support de GitLab.

Dans le secteur des technologies de l'information, le respect des normes va au-delà de la livraison du produit final ; il englobe l'ensemble du cycle de vie de la solution. Étant donné que tous les secteurs d'activité exploitent de plus en plus diverses formes de technologies afin d'accélérer les processus et d'améliorer l'efficacité, de vastes quantités de données souvent sensibles sont générées, stockées et transmises au moyen d'outils et de services informatiques. Le traitement inapproprié de ces données peut entraîner de graves conséquences et conduire à des pertes financières de l'ordre de centaines de millions de dollars.

Ce guide complet présente des normes de conformité du monde entier et explique comment respecter les normes réglementaires avec la gestion des politiques de conformité et de sécurité de GitLab.

Normes de conformité informatiques courantes

Les normes de conformité réglementaire prennent diverses formes et dépendent du secteur d'activité ou de la région dans laquelle une organisation opère. Nous examinerons d'abord les normes de conformité courantes, suivies des normes spécifiques à certaines régions et à certains secteurs.

RGPD

Le Règlement général sur la protection des données (RGPD) est une loi importante de l'Union européenne qui régit la protection des données personnelles. Mis en œuvre en 2018, le RGPD établit des directives strictes pour les organisations qui traitent les informations personnelles des résidents de l'UE. Il accorde aux individus un contrôle accru sur leurs données, notamment le droit d'accéder, de rectifier et d'effacer les informations personnelles détenues par les entreprises. Le RGPD exige que les organisations obtiennent un consentement explicite avant de collecter ou de traiter des données personnelles et qu'elles expliquent clairement l'objectif de la collecte de données. Le non-respect peut entraîner des sanctions financières importantes.

Bien qu'il s'agisse d'une réglementation de l'UE, le RGPD a des implications dans le monde entier et concerne toute organisation qui traite les données des résidents de l'UE. Cette législation a entraîné des changements généralisés dans les pratiques de traitement des données et a sensibilisé le monde entier aux questions de confidentialité.

NIST SSDF

Le framework relatif au développement de logiciels sécurisés NIST, SSDF (NIST Secure Software Development Framework, SSDF) est un guide qui aide les organisations à créer des logiciels plus sûrs. Créé par le National Institute of Standards and Technology, ce framework propose des pratiques de base pour le développement sécurisé de logiciels.

Le SSDF se concentre sur quatre domaines principaux : préparer l'organisation, protéger le logiciel, créer des logiciels sécurisés et gérer les vulnérabilités. Il aide les entreprises à intégrer la sécurité, y compris les protocoles de sécurité, pendant le développement et tout au long de la chaîne d'approvisionnement logicielle.

En suivant ces directives, les organisations peuvent créer des logiciels avec moins de points faibles et gérer les problèmes plus efficacement. Le SSDF est flexible et peut fonctionner avec différentes méthodes de développement logiciel, il est donc utile pour de nombreuses organisations.

PCI DSS

La norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard, PCI DSS) représente un ensemble de règles de sécurité pour les organisations qui traitent des informations de cartes de crédit. Créée par les principales sociétés de cartes de crédit, elle vise à protéger les données des titulaires de cartes et à prévenir la fraude. La norme PCI DSS exige que les entreprises mettent en place et maintiennent un réseau sécurisé, protègent les données des titulaires de cartes, utilisent des mesures strictes de contrôle d'accès, surveillent et testent régulièrement les réseaux et maintiennent une politique de sécurité de l'information. Ces règles s'appliquent à toute entreprise qui accepte, traite, stocke ou transmet des données de cartes de crédit.

La conformité à la norme PCI DSS est obligatoire pour ces entreprises, quelle que soit leur taille ou leur volume de transactions. En suivant cette norme, les entreprises peuvent mieux protéger les informations financières sensibles, réduire le risque de violations de données et maintenir la confiance des clients. Des audits réguliers garantissent le respect continu de ces mesures de sécurité importantes.

ISO 27000

La norme ISO/IEC 27000 fournit le cadre fondamental de la famille de normes ISO/IEC 27000 et offre un aperçu complet des systèmes de gestion de la sécurité de l'information. Elle établit un vocabulaire normalisé grâce à des termes et concepts clés qui garantissent une compréhension cohérente entre les organisations dans le domaine de la sécurité de l'information.

La norme décrit les composants et processus essentiels qui établissent et maintiennent des systèmes de gestion de la sécurité de l'information efficaces. Ces directives permettent aux organisations de gérer systématiquement les risques liés à la sécurité de l'information et protègent les données confidentielles ainsi que la propriété intellectuelle.

L'adhésion à la norme ISO/IEC 27000 permet aux organisations de construire des systèmes de gestion de la sécurité de l'information robustes, de renforcer leur résilience face aux menaces liées à la cybersécurité, de protéger des informations précieuses et de favoriser la confiance des parties prenantes.

Découvrez comment GitLab peut vous aider dans votre parcours de conformité à la norme ISO 27001.

HIPAA

La loi sur la portabilité et la responsabilité des assurances-maladie (Health Insurance Portability and Accountability Act, HIPAA) est une législation importante qui a un impact sur le secteur de la santé aux États-Unis. L'objectif principal de la loi HIPAA, adoptée en 1996, est de protéger les informations sensibles de santé des patients contre toute divulgation sans qu'ils n'y aient consenti ou n'en aient connaissance.

Il est essentiel de préserver la confidentialité des patients, de garantir la sécurité des données et de normaliser les transactions électroniques des soins de santé. La loi HIPAA a contraint les prestataires de soins de santé, les assureurs et les entités connexes à mettre en œuvre des mesures strictes de protection des données afin de réduire considérablement l'accès non autorisé aux dossiers médicaux et de renforcer la confiance des patients.

Normes de conformité mondiales et régionales

Réglementations nationales/régionales

Bien que des normes de conformité comme la loi HIPAA et le RGPD soient connues dans le monde entier, il s'agit respectivement de normes américaines et européennes. Elles influencent d'autres normes régionales dans le monde, mais ne sont requises que pour les entreprises qui traitent des données provenant, par exemple, de l'UE. Plusieurs pays ont des normes de conformité qui doivent être respectées si une entreprise opère dans ces pays. Voici quelques autres normes spécifiques à certains pays :

• SOX (États-Unis, sociétés cotées) : Sarbanes-Oxley Act. Cette loi impose une tenue et une déclaration appropriées des documents comptables pour les sociétés cotées.
• LPRPDE (Canada, entreprises commerciales) : Loi sur la protection des renseignements personnels et les documents électroniques. Elle régit la manière dont les organisations du secteur privé collectent, utilisent et divulguent les informations personnelles.
• PDPA (Singapour, toutes les organisations) : Personal Data Protection Act. Cette loi sur la protection des données personnelles régit la collecte, l'utilisation et la divulgation de données personnelles par les organisations.
• APPI (Japon, tous les secteurs) : Act on the Protection of Personal Information. Cette loi sur la protection des informations personnelles réglemente l'utilisation d'informations personnelles au Japon.
• LGPD (Brésil, tous les secteurs) : Lei Geral de Proteção de Dados. La loi brésilienne sur la protection des données est similaire au RGPD.
• FISMA (États-Unis, agences fédérales) : Federal Information Security Management Act. Cette loi sur la gestion de la sécurité des informations fédérales définit un cadre pour la gestion de la sécurité de l'information des systèmes d'information fédéraux.
• POPI Act (Afrique du Sud, tous les secteurs) : Protection of Personal Information Act. Cette loi sur la protection des données personnelles promeut la protection des informations personnelles traitées par des organismes publics et privés.
• PDPA (Thaïlande, tous les secteurs) : Personal Data Protection Act. Comme le RGPD, cette loi sur la protection des données personnelles réglemente la collecte, l'utilisation et la divulgation de données personnelles en Thaïlande.
• PIPL (Chine, tous les secteurs) : Personal Information Protection Law. La première loi complète sur la protection des données de la Chine est similaire au RGPD.
• NDPR (Nigeria, tous les secteurs) : Nigeria Data Protection Regulation. Ce règlement sur la protection des données au Nigéria protège les droits des personnes physiques à la confidentialité des données.
• DIFC Data Protection Law (Dubaï, entreprises du Dubai International Financial Centre) : cette loi sur la protection des données du DIFC réglemente le traitement des données personnelles dans la zone franche du DIFC.
• PDPA (Malaisie, transactions commerciales) : Personal Data Protection Act. Cette loi sur la protection des données personnelles réglemente le traitement des données personnelles dans les transactions commerciales.
• Privacy Act (Australie, agences gouvernementales et certaines organisations du secteur privé). Cette loi relative à la confidentialité réglemente la manière dont les informations personnelles sont traitées par les agences gouvernementales australiennes et certaines organisations du secteur privé.
• KVKK (Turquie, tous les secteurs) : Turkish Personal Data Protection Law. La loi sur la protection des données personnelles turque réglemente le traitement des données personnelles et protège les droits individuels.

Ces normes reflètent la préoccupation croissante concernant la confidentialité et la sécurité des données. De nombreux pays développent leurs propres frameworks inspirés de réglementations établies comme le RGPD. Chaque norme est adaptée au contexte juridique, culturel et économique spécifique de son pays.

Normes spécifiques aux secteurs

• PCI DSS (services financiers) : cette norme s'applique à toutes les organisations qui traitent des informations de cartes de crédit dans le monde entier.
• ISO 27001 (tous les secteurs) : cette norme de système de gestion de la sécurité de l'information fournit un framework pour les pratiques de gestion de la sécurité de l'information.
• GAMP 5 (secteur pharmaceutique) : Good Automated Manufacturing Practice. Directives pour les systèmes informatiques dans la fabrication pharmaceutique.
• ISO 13485 (dispositifs médicaux) : cette norme précise les exigences d'un système de gestion de la qualité pour les fabricants de dispositifs médicaux.
• COBIT (gestion informatique) : Control Objectives for Information and Related Technologies. Framework pour la gestion informatique et la gouvernance informatique.
• ITIL (services informatiques) : Information Technology Infrastructure Library. Ensemble de pratiques détaillées pour la gestion des services informatiques.
• NIST CSF (cybersécurité) : National Institute of Standards and Technology Cybersecurity Framework. Conseils pour gérer et réduire les risques liés à la cybersécurité.
• WCAG (accessibilité Web) : Web Content Accessibility Guidelines. Ces directives dédiées à l’accessibilité des contenus Web visent à rendre le Web plus accessible aux personnes handicapées.
• Basel III (secteur bancaire). Dispositif réglementaire international pour les banques, qui comprend des exigences de gestion des risques informatiques.
• TISAX (secteur automobile) : Trusted Information Security Assessment Exchange. Mécanisme d'évaluation et d'échange de sécurité de l'information pour l'industrie automobile.

Ces normes s'appliquent dans le monde entier à des secteurs spécifiques, et garantissent des pratiques cohérentes et des mesures de sécurité dans leurs domaines respectifs.

Importance de la conformité continue

Les organisations doivent mettre en œuvre des systèmes qui assurent la conformité aux exigences réglementaires pertinentes. Elles peuvent y parvenir grâce à la conformité continue des logiciels, un principe essentiel à tous les secteurs qui garantit la surveillance, l'évaluation et l'ajustement continus des systèmes, processus et pratiques d'une organisation afin de garantir que ces derniers respectent à tout moment les normes et réglementations pertinentes.

La conformité continue n'est pas seulement une case à cocher en matière de réglementation, mais une nécessité stratégique pour le développement logiciel aujourd'hui. Elle permet aux organisations de naviguer de manière proactive face aux menaces émergentes, aux changements technologiques et aux évolutions réglementaires, tout en favorisant la confiance des parties prenantes, l'efficacité opérationnelle et l'avantage concurrentiel dans un environnement commercial de plus en plus complexe.

Conformité réglementaire ou normes auto-imposées ?

La conformité réglementaire et les normes auto-imposées sont deux approches distinctes de la gouvernance organisationnelle. La conformité réglementaire implique le respect de lois et de réglementations obligatoires établies par des autorités externes, qui ont une portée large et des conséquences juridiques potentielles en cas de non-respect. Elle se concentre sur le respect des exigences légales minimales et est généralement moins flexible. Le RGPD et la loi HIPAA en sont des exemples.

En revanche, les normes auto-imposées sont des directives volontaires adoptées par les organisations pour améliorer la qualité, la sécurité ou les performances. Elles peuvent être adaptées à des besoins spécifiques et visent généralement à dépasser les exigences minimales. Bien que le non-respect des normes auto-imposées puisse avoir un impact sur la réputation d'une organisation, il n'entraîne généralement pas de conséquences juridiques. Les principales différences résident dans leur origine, leur motivation, leur adaptabilité et leur portée. De nombreuses organisations mettent en œuvre les deux approches pour créer une stratégie complète de gestion de la qualité, de la sécurité et des performances.

Gestion de la conformité

Pour respecter des normes, les organisations doivent évaluer les indicateurs de conformité appropriés et les intégrer dans leurs procédures opérationnelles standard. L'objectif est de fournir des informations permettant la détection et la prévention précoces des risques de conformité actuels et futurs. La gestion de la conformité doit être efficace et représente bien plus qu'une simple liste de contrôle avec des tâches à effectuer périodiquement ; il s'agit d'un processus continu complet à l'échelle de l'organisation.

Gestion de la conformité avec GitLab

Avec GitLab, les organisations peuvent créer des frameworks de conformité, des politiques de sécurité et une gestion des audits. GitLab permet également aux équipes de conformité ou de direction de surveiller les indicateurs de conformité avec les rapports de conformité.

Frameworks et pipelines de conformité

Les organisations peuvent créer un framework de conformité qui identifie les projets dans GitLab avec des exigences de conformité définies, qui peuvent être appliquées au moyen de pipelines de conformité. Par exemple, une entreprise FinTech peut créer un framework de conformité par défaut pour tous les projets afin de garantir que chaque étape de son cycle de développement logiciel respecte les exigences PCI DSS pour le traitement des données des titulaires de cartes.

Ces exigences sont ensuite appliquées en veillant à ce que chaque modification introduite dans le code source soit suffisamment testée automatiquement avec les fonctionnalités de sécurité des applications de GitLab, qui couvrent le code source, les dépendances, les licences, les vulnérabilités dans l'application en cours d'exécution et les configurations d'infrastructure. Vous pouvez en savoir plus sur la façon dont GitLab vous aide à atteindre la conformité PCI et d'autres normes de conformité réglementaires avec les frameworks de conformité.

Les vidéos suivantes vous aident à configurer et à utiliser des frameworks et pipelines de conformité.

Tutoriel vidéo : créer des frameworks de conformité

Tutoriel vidéo : appliquer des pipelines de conformité

Gestion des politiques de sécurité

Les équipes de sécurité et de conformité peuvent utiliser GitLab pour appliquer les exigences de conformité en veillant à ce que des scanners de sécurité s'exécutent dans certains pipelines ou exigent une approbation sur les merge requests lorsque les politiques de sécurité sont enfreintes. GitLab prend en charge les politiques d'exécution des scans et de résultats des scans. Ces politiques sont définies dans un projet de politique de sécurité dédié qui sépare les responsabilités entre les équipes de sécurité et de développement. Les politiques de sécurité peuvent être appliquées de manière granulaire au niveau du groupe, du sous-groupe et du projet. Les politiques peuvent être modifiées en mode règle, qui utilise l'éditeur de politique, ou en mode yaml.

Politiques d'exécution des scans

Les politiques d'exécution des scans peuvent être configurées pour s'exécuter sur un GitLab Runner spécifié :

• Test statique de sécurité des applications (SAST)
• Infrastructure as Code
• Test dynamique de sécurité des applications (DAST)
• Détection des secrets
• Analyse des conteneurs
• Analyse des dépendances

Les jobs de scans peuvent être exécutés selon un calendrier ou chaque fois qu'un pipeline s'exécute. Les équipes de conformité et de sécurité peuvent utiliser les politiques d'exécution des analyses pour vérifier périodiquement et prévenir de manière proactive l'escalade des vulnérabilités dans le cadre d'une stratégie de gestion des vulnérabilités. Elles peuvent également renforcer les contrôles lorsque de nouvelles tendances sont observées à partir des résultats des scans.

Tutoriel vidéo : configurer des politiques d'analyse de sécurité dans GitLab

Politiques de résultats des scans

Les politiques de résultats des scans ajoutent une révision et une approbation requises pour les merge requests lorsque les résultats des analyses de sécurité spécifiées enfreignent les règles des politiques. Par exemple, une politique peut exiger qu'un membre de l'équipe de sécurité prenne des mesures lorsqu'une nouvelle vulnérabilité SAST critique est détectée. De cette façon, les membres des équipes de sécurité et de conformité peuvent venir en aide aux développeurs tout en veillant à ce que les modifications introduites dans la base de code soient sécurisées et respectent les exigences de conformité.

Tutoriel vidéo : aperçu des politiques de résultats des scans de GitLab

Politiques d'approbation des licences

Lors de la sélection des types de scans pour les règles de politique de résultats des scans, vous pouvez choisir entre le scan de sécurité, le comportement par défaut pour les politiques de résultats d'analyse, et l'analyse de licence, qui aide à garantir la conformité des licences. L'analyse des licences dépend des résultats du job CI/CD d'analyse des dépendances qui vérifie si les licences identifiées correspondent aux critères spécifiés, puis ajoute des exigences d'approbation avant qu'une merge request ouverte puisse être fusionnée. Cette étape est cruciale pour garantir que seules les dépendances avec des licences approuvées sont utilisées dans votre organisation.

Démonstration vidéo : politiques d'approbation des licences

Gestion des audits

Préparation aux audits

Les audits sont essentiels pour la gestion de la conformité, car ils permettent de comprendre la posture de sécurité et de conformité de votre organisation. Les audits externes requis par les régulateurs sont souvent détaillés et exhaustifs. Pour s'y préparer, les organisations doivent :

• Déterminer les réglementations ou normes qui seront évaluées et les domaines de l'organisation qui seront examinés.
• Analyser les résultats d'audit passés et s'assurer que tous les problèmes précédemment identifiés ont été résolus.
• Collecter toutes les politiques, procédures et dossiers pertinents qui démontrent la conformité.
• Effectuer un audit interne avant l'audit officiel pour identifier et combler toute lacune de conformité potentielle.
• Informer les employés du processus d'audit et de leurs rôles. Effectuer une formation si nécessaire.
• S'assurer que toute la documentation requise est facilement accessible et bien organisée.
• Veiller à ce que toutes les politiques et procédures liées à la conformité soient à jour et alignées sur les réglementations actuelles.
• Vérifier que toutes les mesures de protection techniques et tous les contrôles sont en place et fonctionnent correctement.
• Identifier le personnel clé qui pourrait être interrogé et le briefer sur les questions potentielles.
• Traiter les problèmes connus : s'il existe des problèmes de conformité connus, élaborer et documenter des plans d'action pour y remédier.

Pour faciliter votre préparation, les événements d'audit et le Centre de conformité de GitLab offrent une vue détaillée de la conformité de l'organisation.

Utilisation efficace des journaux d'audit GitLab

Les événements d'audit vous permettent de connaître chaque action effectuée sur l'instance GitLab. Les rapports d'audit indiquent chaque événement significatif avec son auteur et le moment où il a été effectué. Vous pouvez également générer des rapports détaillés à partir des événements d'audit en utilisant les rapports d'audit, ce qui vous permet de prouver votre conformité aux auditeurs ou aux régulateurs.

Le Centre de conformité est un composant important de la gestion des audits dans GitLab qui offre une visibilité sur la posture de conformité de votre organisation. Les rapports de conformité détaillent chaque violation découverte avec le rapport sur les violations de conformité et les frameworks utilisés par les projets au sein de votre organisation avec le rapport sur les frameworks de conformité.

Streaming des événements d'audit

La plupart des organisations disposent de systèmes pour surveiller les activités dans leurs systèmes en temps réel. Avec le streaming des événements d'audit de GitLab, vous pouvez intégrer des solutions tierces comme Splunk pour la surveillance d'infrastructure ou DataDog pour la surveillance des flux afin d'obtenir des analyses des événements d'audit en temps réel. Toutes les données d'événements d'audit sont envoyées à la destination de streaming (il est essentiel de diffuser vers un service de confiance). Le streaming des événements d'audit peut être configuré au niveau des groupes principaux et au niveau de l'instance pour les instances GitLab autogérées.

Bonnes pratiques pour la gestion de la conformité

Voici quelques bonnes pratiques pour une gestion efficace de la conformité :

• Établissez une solide culture de conformité qui favorise la sensibilisation à la conformité au sein de l'organisation et garantit l'engagement et le soutien de la direction.
• Développez un programme de conformité complet avec des politiques et procédures claires et révisez-le régulièrement pour refléter les changements réglementaires.
• Mettez en œuvre l'évaluation et la gestion des risques pour identifier et évaluer régulièrement les risques de conformité, en hiérarchisant les risques en fonction de l'impact potentiel et de la probabilité.
• Organisez régulièrement des formations sur la conformité adaptée aux rôles et responsabilités spécifiques pour tous les employés.
• Mettez en œuvre une gestion de la conformité pour automatiser la surveillance de la conformité et les rapports de conformité dans la mesure du possible.
• Effectuez des audits internes pour identifier les lacunes et les domaines d'amélioration. Il est également essentiel de considérer les audits externes de manière impartiale et d'utiliser les résultats d'audit pour affiner et améliorer les processus de conformité.
• Tenez-vous informé des changements réglementaires en assignant à une personne ou équipe la surveillance des mises à jour réglementaires et en rejoignant des associations ou en participant à des forums du secteur.
• Intégrez la conformité dans les processus métier, intégrez des contrôles de conformité dans les workflows opérationnels et prenez en compte la conformité dans la prise de décision stratégique. Alignez les objectifs de conformité avec les objectifs commerciaux.
• Développez des plans de réponse pour les violations potentielles de conformité et effectuez des scénarios fictifs pour tester la préparation aux incidents et violations.

En savoir plus

La conformité est un processus continu de gestion efficace des risques, qui implique la mise en œuvre de garde-fous et la surveillance des indicateurs de conformité. GitLab permet aux organisations de respecter les normes réglementaires avec des fonctionnalités de gestion de la conformité. Avec GitLab, vous pouvez améliorer l'expérience de la chaîne d'approvisionnement logicielle, créer des logiciels plus sécurisés plus rapidement et maintenir la confiance de vos utilisateurs, de vos clients et de votre communauté.

Pour en savoir plus sur la conformité et la gestion des politiques de sécurité, consultez le tutoriel GitLab DevSecOps, qui couvre le cycle de vie complet de la sécurité des applications dans GitLab.

Pour aller plus loin

• GitLab Dedicated pour le secteur public
• Comment garantir la séparation des tâches et appliquer la conformité avec GitLab
• Accès avec le principe de moindre privilège avec GitLab : notre guide

Pourquoi choisir GKE pour déployer vos agents d'IA ?

GKE offre une orchestration d'entreprise qui s'intègre parfaitement aux pipelines CI/CD de GitLab grâce à l'authentification OpenID Connect (OIDC). Votre équipe de développement peut déployer des agents d'IA tout en conservant une visibilité, une conformité et un contrôle complets sur votre infrastructure cloud. Ce guide utilise l'Agent Development Kit (ADK) de Google afin de créer l'application, ce qui garantit une intégration fluide lors du déploiement avec GitLab.

Voici trois avantages clés de cette approche :

Contrôle total de l'infrastructure : vos données, vos règles, votre environnement. Vous conservez un contrôle complet sur l'emplacement d'exécution de vos agents d'IA et de leur configuration.

Intégration native avec GitLab : pas de solution de contournement complexe. Vos pipelines existants fonctionnent immédiatement grâce à l'intégration native de GitLab avec Google Cloud.

Mise à l'échelle de niveau production : GKE gère automatiquement la mise à l'échelle et l'orchestration interne à mesure que vos charges de travail d'IA augmentent.

Avec GKE, GitLab offre la fiabilité d'entreprise dont vos déploiements d'IA ont besoin sans sacrifier l'expérience développeur que vos équipes attendent.

Prérequis

Avant de commencer, assurez-vous d'avoir activé ces API :

• API GKE
• API Artifact Registry
• API Vertex AI

Assurez-vous également de disposer des éléments suivant :

• Un projet GitLab créé
• Un cluster GKE provisionné
• Un dépôt Artifact Registry créé

Le processus de déploiement

1. Configurer IAM et les autorisations sur GitLab

Accédez à vos intégrations GitLab afin de configurer l'authentification Google Cloud (IAM).

Accédez à Paramètres > Intégrations et configurez l'intégration Google Cloud. Si vous utilisez une intégration au niveau du groupe, notez que les paramètres par défaut sont déjà hérités par les projets. Il vous suffit donc de configurer vos paramètres une fois au niveau du groupe pour que tous les projets en bénéficient et les héritent.

Pour configurer les paramètres, vous devez fournir les éléments suivants :

• ID du projet
• Numéro du projet
• ID du pool d'identités de charge de travail
• ID du fournisseur

Une fois ces informations renseignées, GitLab fournit un script à exécuter dans Google Cloud Console via Cloud Shell. Le résultat de l'exécution de ce script est un pool de fédération d'identité de charge de travail avec l'identité de service de compte principal nécessaire pour permettre l'accès approprié.

2. Configurer l'intégration à Artifact Registry

Toujours dans les paramètres d'intégration de GitLab, configurez la gestion des artefacts :

1. Cliquez sur Gestion des artefacts.
2. Sélectionnez Google Artifact Registry.
3. Indiquez les éléments suivants :
   • ID du projet
   • Nom du dépôt (créé au préalable)
   • Emplacement du dépôt

GitLab fournit un autre script à exécuter dans Google Cloud Console.

Important : avant de continuer, ajoutez ces rôles supplémentaires au pool de fédération d'identité de charge de travail :

• Utilisateur de compte de service
• Développeur Kubernetes
• Observateur de cluster Kubernetes

Ces autorisations permettent à GitLab de déployer vers GKE dans les étapes suivantes.

3. Créer le pipeline CI/CD

Voici maintenant la partie essentielle : la création du pipeline CI/CD pour le déploiement.

Accédez à Compilation > Éditeur de pipeline et définissez votre pipeline en quatre étapes :

• Build : Docker crée l'image de conteneur.
• Test : GitLab Auto DevOps fournit des scans de sécurité intégrés afin de garantir l'absence de vulnérabilités.
• Importation : utilise le composant CI/CD intégré de GitLab pour effectuer un push vers Google Artifact Registry.
• Déploiement : utilise la configuration Kubernetes pour déployer vers GKE.

Voici le fichier .gitlab-ci.yml complet :

default:
  tags: [ saas-linux-2xlarge-amd64 ]

stages:
  - build
  - test
  - upload
  - deploy

variables:
  GITLAB_IMAGE: $CI_REGISTRY_IMAGE/main:$CI_COMMIT_SHORT_SHA
  AR_IMAGE: $GOOGLE_ARTIFACT_REGISTRY_REPOSITORY_LOCATION-docker.pkg.dev/$GOOGLE_ARTIFACT_REGISTRY_PROJECT_ID/$GOOGLE_ARTIFACT_REGISTRY_REPOSITORY_NAME/main:$CI_COMMIT_SHORT_SHA
  GCP_PROJECT_ID: "your-project-id"
  GKE_CLUSTER: "your-cluster"
  GKE_REGION: "us-central1"
  KSA_NAME: "ai-agent-ksa"

build:
  image: docker:24.0.5
  stage: build
  services:
    - docker:24.0.5-dind
  before_script:
    - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
  script:
    - docker build -t $GITLAB_IMAGE .
    - docker push $GITLAB_IMAGE

include:
  - template: Jobs/Dependency-Scanning.gitlab-ci.yml
  - template: Jobs/Container-Scanning.gitlab-ci.yml
  - template: Jobs/Secret-Detection.gitlab-ci.yml
  - component: gitlab.com/google-gitlab-components/artifact-registry/upload-artifact-registry@main
    inputs:
      stage: upload
      source: $GITLAB_IMAGE
      target: $AR_IMAGE

deploy:
  stage: deploy
  image: google/cloud-sdk:slim
  identity: google_cloud
  before_script:
    - apt-get update && apt-get install -y kubectl google-cloud-sdk-gke-gcloud-auth-plugin
    - gcloud container clusters get-credentials $GKE_CLUSTER --region $GKE_REGION --project $GCP_PROJECT_ID
  script:
    - |
      kubectl apply -f - <<EOF
      apiVersion: apps/v1
      kind: Deployment
      metadata:
        name: ai-agent
        namespace: default
      spec:
        replicas: 2
        selector:
          matchLabels:
            app: ai-agent
        template:
          metadata:
            labels:
              app: ai-agent
          spec:
            serviceAccountName: $KSA_NAME
            containers:
            - name: ai-agent
              image: $AR_IMAGE
              ports:
              - containerPort: 8080
              resources:
                requests: {cpu: 500m, memory: 1Gi}
                limits: {cpu: 2000m, memory: 4Gi}
              livenessProbe:
                httpGet: {path: /health, port: 8080}
                initialDelaySeconds: 60
              readinessProbe:
                httpGet: {path: /health, port: 8080}
                initialDelaySeconds: 30
      ---
      apiVersion: v1
      kind: Service
      metadata:
        name: ai-agent-service
        namespace: default
      spec:
        type: LoadBalancer
        ports:
        - port: 80
          targetPort: 8080
        selector:
          app: ai-agent
      ---
      apiVersion: autoscaling/v2
      kind: HorizontalPodAutoscaler
      metadata:
        name: ai-agent-hpa
        namespace: default
      spec:
        scaleTargetRef:
          apiVersion: apps/v1
          kind: Deployment
          name: ai-agent
        minReplicas: 2
        maxReplicas: 10
        metrics:
        - type: Resource
          resource:
            name: cpu
            target: {type: Utilization, averageUtilization: 70}
      EOF
      
      kubectl rollout status deployment/ai-agent -n default --timeout=5m
      EXTERNAL_IP=$(kubectl get service ai-agent-service -n default -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
      echo "Deployed at: http://$EXTERNAL_IP"
  only:
    - main

Configuration essentielle pour GKE

Pour que tout fonctionne, et c'est la raison pour laquelle nous avons besoin de cette configuration supplémentaire pour GKE, nous devons disposer d'un compte de service Kubernetes dans le cluster qui peut fonctionner avec Vertex AI. Ce compte de service doit être autorisé à accéder aux capacités d'IA de Google Cloud.

Sans cela, nous pouvons déployer l'application, mais l'agent d'IA ne fonctionnera pas. Nous devons créer un compte de service Kubernetes capable d'accéder à Vertex AI.

Exécutez cette configuration ponctuelle :

#!/bin/bash



PROJECT_ID="your-project-id"



GSA_NAME="ai-agent-vertex"



GSA_EMAIL="${GSA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com"



KSA_NAME="ai-agent-ksa"



CLUSTER_NAME="your-cluster"



REGION="us-central1"




# Create GCP Service Account



gcloud iam service-accounts create $GSA_NAME \
    --display-name="AI Agent Vertex AI" \
    --project=$PROJECT_ID

# Grant Vertex AI permissions



gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member="serviceAccount:${GSA_EMAIL}" \
    --role="roles/aiplatform.user"

# Get cluster credentials



gcloud container clusters get-credentials $CLUSTER_NAME \
    --region $REGION --project $PROJECT_ID

# Create Kubernetes Service Account



kubectl create serviceaccount $KSA_NAME -n default




# Link accounts



kubectl annotate serviceaccount $KSA_NAME -n default \
    iam.gke.io/gcp-service-account=${GSA_EMAIL}

gcloud iam service-accounts add-iam-policy-binding ${GSA_EMAIL} \
    --role=roles/iam.workloadIdentityUser \
    --member="serviceAccount:${PROJECT_ID}.svc.id.goog[default/${KSA_NAME}]" \
    --project=$PROJECT_ID

4. Déployer vers GKE

Une fois que vous avez terminé, effectuez un push vers le pipeline et le tour est joué.

Le pipeline vient d'être déployé. Accédez à CI/CD > Pipelines pour voir les quatre étapes :

• Build
• Test (avec tous les scans de sécurité définis)
• Importation vers Artifact Registry (réussie)
• Déploiement vers Kubernetes dans GKE (réussi)

Résumé

Avec GitLab et Google Cloud, vous êtes en mesure de déployer votre agent d'IA vers GKE en toute simplicité et sécurité en quelques étapes seulement grâce à l'intégration native de GitLab avec Google Cloud.

Regardez cette démo :

Utilisez l'exemple de code complet de ce tutoriel pour commencer dès maintenant. Vous n’utilisez pas encore GitLab ? Découvrez la plateforme DevSecOps et profitez d'un essai gratuit. Les startups hébergées sur Google Cloud disposent d'une offre spéciale pour essayer et utiliser GitLab.

Prise en charge du rempaquetage géométrique avec les dépôts distants promisor

Les objets qui viennent d'être créés dans un dépôt Git sont souvent stockés sous forme de fichiers libres individuels. Pour garantir de bonnes performances et une utilisation optimale de l'espace disque, ces objets libres sont régulièrement compressés dans ce qu'on appelle des fichiers d'empaquetage (« packfiles »). Le nombre de fichiers d'empaquetage dans un dépôt augmente au fil du temps en raison des tâches effectuées, comme la création de nouveaux commits ou la récupération depuis un dépôt distant. À mesure que le nombre de fichiers d'empaquetage augmente dans un dépôt, Git doit effectuer davantage de travail pour rechercher des objets individuels. Par conséquent, pour préserver les performances optimales du dépôt, les fichiers d'empaquetage sont périodiquement rempaquetés via git-repack(1) afin de consolider les objets dans un nombre réduit de fichiers d'empaquetage. Lors du rempaquetage, deux stratégies existent : « tout-en-un » et « géométrique ».

La stratégie tout-en-un est assez simple et constitue la stratégie par défaut actuelle. Comme son nom l'indique, tous les objets du dépôt sont empaquetés dans un seul fichier. Cette approche est idéale pour le dépôt d'un point de vue des performances, car Git n'a besoin de parcourir qu'un seul fichier d'empaquetage lors de la recherche d'objets. Le principal inconvénient ? Le calcul d'un fichier d'empaquetage unique pour un dépôt peut prendre beaucoup de temps en cas de dépôt volumineux.

La stratégie géométrique permet d'atténuer ce problème en maintenant une progression géométrique des fichiers d'empaquetage en fonction de leur taille, au lieu de toujours rempaqueter dans un seul fichier. Lors du rempaquetage, Git maintient un ensemble de fichiers d'empaquetage classés par taille, où chaque fichier de la séquence doit avoir au moins deux fois la taille du fichier d'empaquetage précédent. Si un fichier d'empaquetage de la séquence enfreint cette propriété, les fichiers d'empaquetage sont combinés selon les besoins jusqu'à ce que la progression soit rétablie. Cette stratégie permet de limiter le nombre de fichiers d'empaquetage dans un dépôt tout en minimisant également la quantité de travail à effectuer pour la plupart des opérations de rempaquetage.

Toutefois, la stratégie de rempaquetage géométrique n'était pas compatible avec les clones partiels. Ces derniers permettent de cloner uniquement certaines parties d'un dépôt (par exemple en ignorant tous les blobs de plus de 1 mégaoctet). Cette approche peut réduire considérablement la taille d'un dépôt, et Git sait comment récupérer les objets manquants auxquels il doit accéder ultérieurement.

Résultat : nous obtenons un dépôt dans lequel il manque certains objets. Tout objet qui pourrait ne pas être entièrement connecté est stocké dans un fichier d'empaquetage « promisor ». Lors du rempaquetage, cette propriété promisor doit être conservée pour les fichiers d'empaquetage contenant un objet promisor, afin qu'il soit possible de déterminer si un objet manquant est attendu et peut être récupéré depuis le dépôt distant promisor. Avec une stratégie de rempaquetage tout-en-un, Git sait gérer correctement les objets promisor et les stocke dans un fichier d'empaquetage promisor distinct. Malheureusement, la stratégie de rempaquetage géométrique ne savait pas comment accorder un traitement spécial aux fichiers d'empaquetage promisor et les fusionnait avec des fichiers d'empaquetage normaux sans tenir compte de la présence d'objets promisor. Heureusement, en raison d'un bogue, la commande git-pack-objects(1) sous-jacente échoue lors de l'utilisation du rempaquetage géométrique dans un dépôt de clone partiel. Les dépôts dans cette configuration ne pouvaient donc de toute façon pas être rempaquetés. Ce n'est pas idéal, mais c'est un résultat préférable à une corruption du dépôt.

Avec la sortie de Git 2.53, le rempaquetage géométrique fonctionne désormais avec les dépôts de clones partiels. Lors d'un rempaquetage géométrique, les fichiers d'empaquetage promisor sont gérés séparément afin de préserver le marqueur promisor et sont rempaquetés selon une progression géométrique distincte. Avec ce correctif, la stratégie géométrique suit une progression logique en vue de s'imposer comme la stratégie de rempaquetage par défaut. Pour plus d'informations, consultez le fil de discussion de la liste de diffusion correspondant.

Ce projet a été mené par Patrick Steinhardt.

git-fast-import(1) : préservation des signatures valides uniquement

Dans notre article de blog consacré à la version Git 2.52, nous avons abordé les améliorations liées aux signatures apportées à git-fast-import(1) et git-fast-export(1). Consultez cet article pour une explication plus détaillée de ces commandes, de leur utilisation et des modifications apportées concernant les signatures.

Pour résumer brièvement, git-fast-import(1) fournit un backend qui permet d'importer efficacement des données dans un dépôt et qui est utilisé par des outils tels que git-filter-repo(1) pour aider à réécrire l'historique d'un dépôt en masse. Dans la version Git 2.52, git-fast-import(1) a appris l'option --signed-commits=<mode>, qui est similaire à la même option dans git-fast-export(1). Avec cette option, il est devenu possible de conserver ou de supprimer de façon inconditionnelle les signatures des commits et des tags.

Dans les situations où seule une partie de l'historique du dépôt a été réécrite, toute signature pour les commits ou tags réécrits devient invalide. Cela signifie que git-fast-import(1) est limité : la commande peut soit supprimer toutes les signatures, soit les conserver même si elles sont devenues invalides. Mais conserver des signatures invalides n'est pas vraiment utile, c'est pourquoi la réécriture de l'historique avec git-repo-filter(1) entraîne la suppression de toutes les signatures, même si le commit ou tag sous-jacent n'est pas réécrit. Cette approche n'est pas idéale : si le commit ou tag ne change pas, sa signature est toujours valide et il n'y a donc aucune raison réelle de la supprimer. Nous avons en réalité besoin de préserver les signatures pour les objets inchangés, et de supprimer les signatures invalides.

Avec la sortie de Git 2.53, l'option --signed-commits=<mode> de git-fast-import(1) a appris un nouveau mode strip-if-invalid qui, lorsqu'il est utilisé, supprime seulement les signatures devenues invalides des commits réécrits. Ainsi, avec cette option, il devient possible de préserver certaines signatures de commits lors de l'utilisation de git-fast-import(1). Il s'agit d'une étape critique vers la mise en place des bases qui permettent à des outils comme git-repo-filter(1) de préserver les signatures valides et, plus tard, de signer à nouveau les signatures invalides.

Ce projet a été mené par Christian Couder.

Plus de données collectées dans git-repo-structure

Dans la version Git 2.52, la sous-commande « structure » a été introduite dans git-repo(1). L'objectif de cette commande était de collecter des informations sur le dépôt et de remplacer éventuellement nativement des outils tels que git-sizer(1). Chez GitLab, nous hébergeons des dépôts extrêmement volumineux, et disposer d'informations sur la structure générale d'un dépôt est essentiel pour comprendre ses performances. Dans cette version, la commande collecte désormais également des informations sur la taille totale des objets accessibles dans un dépôt afin d'aider à comprendre la taille globale du dépôt. Dans les données de sortie ci-dessous, vous pouvez voir que la commande collecte désormais à la fois les tailles totales décompressées et sur disque des objets accessibles par type.

$ git repo structure

| Repository structure | Value      |
| -------------------- | ---------- |
| * References         |            |
|   * Count            |   1.78 k   |
|     * Branches       |      5     |
|     * Tags           |   1.03 k   |
|     * Remotes        |    749     |
|     * Others         |      0     |
|                      |            |
| * Reachable objects  |            |
|   * Count            | 421.37 k   |
|     * Commits        |  88.03 k   |
|     * Trees          | 169.95 k   |
|     * Blobs          | 162.40 k   |
|     * Tags           |    994     |
|   * Inflated size    |   7.61 GiB |
|     * Commits        |  60.95 MiB |
|     * Trees          |   2.44 GiB |
|     * Blobs          |   5.11 GiB |
|     * Tags           | 731.73 KiB |
|   * Disk size        | 301.50 MiB |
|     * Commits        |  33.57 MiB |
|     * Trees          |  77.92 MiB |
|     * Blobs          | 189.44 MiB |
|     * Tags           | 578.13 KiB |

Vous aurez peut-être également remarqué que les valeurs de taille dans le tableau des données de sortie sont désormais également affichées de manière plus conviviale avec des unités. Dans les versions suivantes, nous espérons étendre davantage les données de sortie de cette commande pour fournir des éléments supplémentaires, tels que les objets individuels les plus volumineux du dépôt.

Ce projet a été mené par Justin Tobler.

Pour en savoir plus

Cet article n'a mis en évidence que quelques-unes des contributions apportées par GitLab et la communauté Git pour cette dernière version. Vous pouvez en apprendre davantage sur ces contributions dans l'annonce de version officielle du projet Git. Consultez également nos articles de blog précédents sur les versions de Git pour découvrir d'autres contributions des membres de l'équipe GitLab.

🎯 Essayez GitLab Duo Agent Platform dès aujourd'hui !

Introduction à la personnalisation

GitLab Duo Agent Platform offre des fonctionnalités puissantes, et vous pouvez l'exploiter encore davantage en l'adaptant aux besoins spécifiques de votre équipe. GitLab propose des options de personnalisation flexibles à plusieurs niveaux :

• Au niveau de l'utilisateur : préférences personnelles qui s'appliquent à tous les projets (règles personnalisées, AGENTS.md, configuration MCP)
• Au niveau du workspace : configurations spécifiques au projet (règles personnalisées, AGENTS.md, configuration MCP)
• Au niveau du projet : agents et flows personnalisés que vous créez et gérez au sein d'un projet spécifique

Partie 1 : personnaliser le comportement des agents

Règles personnalisées

Les règles personnalisées fournissent des instructions aux agents et flows afin de garantir un comportement cohérent au sein de votre équipe sans nécessiter de répétitions (exemples : guides de style relatifs au développement ou manière d'exécuter les tests).

Accédez au répertoire de configuration de votre workspace IDE ou utilisateur.

Règles personnalisées au niveau de l'utilisateur

Les règles au niveau de l'utilisateur s'appliquent à tous vos projets et workspaces.

Pour des instructions détaillées sur la création de règles personnalisées au niveau de l'utilisateur, consultez la documentation de GitLab.

Créez le fichier ~/.gitlab/duo/chat-rules.md dans votre répertoire personnel.

Exemples de règles :

- Include JSDoc comments for all functions
- Use single quotes for strings
- Follow the existing code style in the repository
- Write concise explanations, avoid lengthy descriptions
- Suggest tests for any code changes
- Use async/await instead of promises

Règles personnalisées au niveau du workspace

Les règles du workspace s'appliquent uniquement à un projet spécifique. Elles remplacent les règles au niveau de l'utilisateur pour ce projet.

Créez le fichier .gitlab/duo/chat-rules.md à la racine de votre projet.

Exemples de règles pour un projet Vue.js :

- Use Vue 3 Composition API with `<script setup>`
- Always include TypeScript types for props
- Use scoped styles with SCSS
- Follow the Slippers UI design system
- Keep components under 300 lines
- Use kebab-case for component names
- Include accessibility attributes (aria-*, role)

Bonnes pratiques pour les règles personnalisées

• Soyez précis : « utilise des guillemets simples » est mieux que « suis le guide de style ».
• Priorisez : indiquez les règles les plus importantes en premier.
• Concentrez-vous sur votre équipe : les règles doivent refléter les standards de votre équipe, pas vos préférences personnelles.
• Misez sur des règles exploitables : les règles doivent être suffisamment claires pour qu'un agent d’IA puisse les suivre.
• Maintenez vos règles : mettez à jour les règles lorsque vos standards évoluent.
• Évitez les conflits : ne contredisez pas le style de votre code source.

Astuce : utilisez la fonctionnalité Code Owners pour gérer qui approuve les modifications de .gitlab/duo/chat-rules.md.

Pour un tutoriel détaillé d'un cas d'utilisation des règles personnalisées, consultez l'article sur les règles personnalisées dans GitLab Duo Agentic Chat pour renforcer l'efficacité des équipes de développement.

AGENTS.md : personnaliser le comportement des agents

AGENTS.md est un fichier standard qui permet de personnaliser le comportement des agents. Il vous aide à définir comment les agents doivent se comporter dans vos conversations de chat, vos flows de base et vos flows personnalisés sans modifier les agents eux-mêmes.

Différence avec les règles personnalisées : le fichier AGENTS.md est utilisé par tous les agents et flows (de base et personnalisables). Il suit également une norme que d'autres outils d'IA peuvent utiliser, par exemple Claude Code en tant qu'agent externe. Utilisez AGENTS.md lorsque vous souhaitez que vos instructions s'appliquent à plusieurs contextes.

Niveau de l'utilisateur (s'applique à tous vos projets et workspaces) :

• macOS/Linux : ~/.gitlab/duo/AGENTS.md
• Windows : %APPDATA%\GitLab\duo\AGENTS.md

Niveau du workspace (s'applique à un projet spécifique) :

• Créez le fichier AGENTS.md à la racine de votre projet.

Niveau du sous-répertoire (s'applique à des répertoires spécifiques dans les monorepos) :

• Créez le fichier AGENTS.md dans les sous-répertoires pour des instructions contextuelles spécifiques.

Fonctionnement :

• Le fichier AGENTS.md au niveau de l'utilisateur s'applique à tous les projets.
• Le fichier AGENTS.md au niveau du workspace s'applique à un projet spécifique.
• Les fichiers AGENTS.md au niveau du sous-répertoire fournissent un contexte pour des parties spécifiques de votre code source.
• Les agents et flows combinent les instructions de tous les niveaux applicables.
• Les instructions AGENTS.md (nouvelles ou mises à jour) nécessitent de déclencher de nouveaux flows ou de démarrer un nouveau chat avec un agent (personnalisé).

Contrôles du fichier AGENTS.md

• La personnalité et le ton de l'agent
• Les instructions spécifiques au projet
• Les normes et conventions de codage
• Les préférences d'utilisation des outils
• Les exigences de formatage des données de sortie
• La structure et l'organisation du dépôt

Exemple d'un fichier AGENTS.md

# Agent Customization for Our Project
## General Guidelines
- Always prioritize code quality over speed
- Follow our project's architecture patterns
- Reference existing code examples when suggesting changes
- Ask for clarification if requirements are ambiguous
## Code Style
- Use TypeScript for all new code
- Follow ESLint configuration in the project
- Include unit tests for all new functions
- Use descriptive variable names (no single letters except loops)
## Documentation
- Add JSDoc comments to all public functions
- Update README.md if adding new features
- Include examples in code comments
## Security
- Never suggest hardcoding secrets or API keys
- Always validate user input
- Use parameterized queries for database operations
- Flag potential security issues immediately

Bonnes pratiques pour le fichier AGENTS.md

• Soyez précis : incluez des exemples concrets de votre projet.
• Restez concis : concentrez-vous sur ce qui est unique à votre projet.
• Utilisez le contrôle de version : effectuez un commit dans votre dépôt et utilisez le suivi des modifications.
• Soyez aligné avec votre équipe : discutez avec votre équipe avant de finaliser votre fichier.
• Mettez à jour votre fichier régulièrement : affinez à mesure que votre projet évolue.
• Documentez la structure du dépôt : aidez les agents à comprendre l'organisation de votre code source.

Prérequis

• GitLab 18.8 ou version ultérieure
• Pour VS Code : extension GitLab Workflow 6.60 ou version ultérieure
• Pour JetBrains : plugin GitLab 3.26.0 ou version ultérieur
• Pour les flows : mettez à jour la configuration du flow pour accéder au contexte user_rule

En savoir plus sur AGENTS.md.

Instructions de revue personnalisées

Les instructions de revue personnalisées fournissent des directives spécifiques pour le flow de base Code Review. Ces instructions garantissent des standards de revue de code cohérents et peuvent être adaptées à des types de fichiers spécifiques dans votre projet.

Créez le fichier .gitlab/duo/mr-review-instructions.yaml à la racine de votre projet.

Exemples d'instructions de revue :

instructions:
  - name: Ruby Style Guide
    fileFilters:
      - "*.rb"           # Ruby files in the root directory
      - "lib/**/*.rb"    # Ruby files in lib and its subdirectories
      - "!spec/**/*.rb"  # Exclude test files
    instructions: |
      1. Ensure all methods have proper documentation
      2. Follow Ruby style guide conventions
      3. Prefer symbols over strings for hash keys

  - name: TypeScript Source Files
    fileFilters:
      - "**/*.ts"        # TypeScript files in any directory
      - "!**/*.test.ts"  # Exclude test files
    instructions: |
      1. Ensure proper TypeScript types (avoid 'any')
      2. Follow naming conventions
      3. Document complex functions

Bonnes pratiques pour les instructions de revue personnalisées :

• Soyez précis et concret : des instructions claires et numérotées fonctionnent mieux.
• Utilisez des modèles glob : ciblez des types de fichiers spécifiques avec fileFilters.
• Concentrez-vous sur les normes importantes : priorisez les points de revue les plus critiques.
• Expliquez le « pourquoi » : aidez les relecteurs à comprendre le raisonnement.
• Testez les modèles : assurez-vous que les modèles glob correspondent aux fichiers visés.

Astuce : utilisez la fonctionnalité Code Owners pour protéger les modifications apportées à .gitlab/duo/mr-review-instructions.yaml.

Pour obtenir des instructions de configuration détaillées et des exemples, consultez la documentation relative aux instructions de revue personnalisées.

Partie 2 : étendre les fonctionnalités avec le MCP

Le Model Context Protocol (MCP) permet aux agents d'accéder à des systèmes externes comme Jira, Slack, AWS et plus encore. Cette section couvre la configuration du MCP pour étendre les capacités des agents.

🎯 Découvrez maintenant une démo interactive du MCP pour apprendre à l'utiliser.

Configuration du MCP pour les intégrations externes

Le Model Context Protocol (MCP) permet aux agents d'accéder à des systèmes externes comme Jira, Slack, AWS et plus encore.

Portée : niveau de l'utilisateur (s'applique à tous les workspaces) ou niveau du workspace (spécifique au projet, remplace la configuration utilisateur)

Créer une configuration utilisateur :

• macOS/Linux : ~/.gitlab/duo/mcp.json
• Windows : C:\Users\<username>\AppData\Roaming\GitLab\duo\mcp.json
• VS Code : exécutez la commande GitLab MCP: Open User Settings (JSON)

Créer une configuration workspace :

• Créez le fichier : .gitlab/duo/mcp.json à la racine de votre projet

Bonnes pratiques :

• Sécurité avant tout : utilisez des serveurs MCP qui nécessitent OAuth et non des tokens en texte brut.
• Portée minimale : activez uniquement les serveurs MCP que vous utilisez réellement et en qui vous avez confiance.
• Tests locaux : vérifiez que les connexions et l'autorisation au MCP fonctionnent avant de les partager avec les équipes.
• Documentation des intégrations : expliquez ce que fournit chaque serveur MCP.
• Contrôle de version : stockez la configuration dans .gitlab/duo/mcp.json avec l'approbation de la fonctionnalité Code Owners.

Pour obtenir des instructions de configuration détaillées et des exemples, consultez la partie 7 : intégrer le Model Context Protocol (MCP).

Partie 3 : créer des agents et flows personnalisés

Les agents et flows personnalisés vous permettent d'automatiser les workflows spécifiques de votre équipe. Avant de vous lancer dans la personnalisation, il est utile de comprendre leurs caractéristiques et leur fonctionnement : consultez le guide Démarrer avec GitLab Duo Agent Platform pour en savoir plus.

• Partie 3 : comprendre les agents. Découvrez les agents de base, personnalisés et externes, et quand les utiliser.
• Partie 4 : comprendre les flows. Découvrez comment les flows orchestrent plusieurs agents pour résoudre des problèmes complexes.
• Partie 5 : découvrir le catalogue d'IA. Apprenez à créer et partager des agents et flows au sein de votre organisation. Une fois que vous comprenez les bases, cette section fournit un aperçu des options de personnalisation avec des liens vers des guides détaillés.

Prompts système pour les agents personnalisés

Les prompts système définissent la personnalité, les compétences et le comportement d'un agent. Un prompt bien conçu renforce l'efficacité des agents et les aligne avec les besoins de votre équipe.

Qu'est-ce qu'un prompt système ? Les prompts système sont des instructions qui indiquent à un agent comment se comporter, quelles compétences il possède et comment répondre aux demandes. Ils constituent la base du comportement des agents personnalisés.

Éléments clés d'un prompt système efficace :

• Définition du rôle : rôle et fonction de l'agent
• Domaines d'expertise : domaines ou technologies spécifiques
• Directives de comportement : comment il doit interagir et répondre
• Format des données de sortie : structure des réponses
• Contraintes : ce qu'il doit éviter

Bonnes pratiques :

• Soyez précis : des prompts plus spécifiques produisent de meilleurs résultats.
• Utilisez des exemples : montrez à l'agent à quoi ressemble un bon résultat.
• Définissez la portée : indiquez clairement ce que l'agent doit et ne doit pas faire.
• Testez de manière itérative : affinez les prompts en fonction du comportement de l'agent.
• Contrôle de version : suivez les modifications des prompts dans votre dépôt.

Pour des conseils détaillés sur la création de prompts système et d'agents personnalisés, consultez la Partie 3 : comprendre les agents.

Agents et flows personnalisables

Étant donné que les informations sont nombreuses, nous avons divisé les tutoriels pour faciliter la lecture :

Agents personnalisables :

• Apprenez à créer des agents avec des prompts système personnalisés, à configurer les outils et à gérer les autorisations.
• Consultez la Partie 3 : comprendre les agents – section Agents personnalisables.

Flows personnalisables :

• Apprenez à créer des workflows en plusieurs étapes, à configurer des composants et à mettre en place une automatisation basée sur des événements.
• Consultez la Partie 4 : comprendre les flows – section Flows personnalisables.

Outils d'agent :

• Les outils déterminent les actions que les agents peuvent effectuer. Configurez les outils en fonction de l'objectif de votre agent et des exigences de sécurité.
• Consultez la Partie 3 : comprendre les agents pour les détails de configuration des outils.

Résumé : quand utiliser les personnalisations

Perspectives

Félicitations ! Vous avez terminé toute la série concernant GitLab Duo Agent Platform. Vous savez maintenant :

• Comment utiliser les agents et flows tout au long du SDLC en fonction de vos cas d'utilisation
• Comment découvrir et partager des solutions dans le catalogue d'IA
• Comment surveiller et gérer vos workflows d'IA
• Comment étendre les capacités avec les intégrations MCP
• Comment personnaliser chaque aspect de GitLab Duo Agent Platform pour votre équipe

Consultez l'aperçu complet de la série pour revoir toutes les parties et explorer des sujets spécifiques en profondeur.

Ressources

• Documentation relative aux règles personnalisées
• Documentation relative au fichier AGENTS.md
• Documentation relative aux instructions de revue personnalisées
• Documentation relative aux agents personnalisables
• Documentation relative aux flows personnalisables
• Documentation relative au client MCP

Article précédent : Partie 7 : intégrer le Model Context Protocol

Retour au début : Aperçu complet de la série

🎯 Essayez GitLab Duo Agent Platform dès aujourd'hui !

Présentation des fonctionnalités de la section Automatisation

La section Automatisation est votre centre de contrôle où vous pouvez gérer les workflows d'IA dans GitLab. Elle offre une visibilité sur l'activité des agents et des flows et permet l'automatisation basée sur des événements.

Accédez à Projet → Automatisation.

La section Automatisation propose les sous-sections suivantes :

• Agents : visualisez, créez et gérez les agents de votre projet.
• Flows : visualisez, créez et gérez les flows de votre projet.
• Déclencheurs : configurez l'automatisation basée sur des événements pour les flows.
• Sessions : surveillez l'exécution des agents et des flows avec des logs détaillés.

Gérer les agents

La section Agents vous permet de visualiser, créer et gérer les agents de votre projet.

Accédez à Automatisation → Agents.

Les sections Agents et Flows proposent deux onglets pour organiser vos ressources :

• Activé : agents/flows disponibles dans votre projet
• Géré : agents/flows créés et contrôlés par votre projet

Pour augmenter le nombre d'agents disponibles :

• Créez de nouveaux agents personnalisés, activez-les au niveau du groupe parent, puis activez-les dans votre projet.
• Parcourez le catalogue d'IA et activez les agents existants d'abord dans votre groupe parent, puis dans votre projet.

Pour plus de détails sur la création d'agents personnalisés, consultez la Partie 3 : comprendre les agents.

Gérer les flows

La section Flows vous permet de visualiser, créer et gérer les flows de votre projet.

Accédez à Automatisation → Flows.

Pour augmenter le nombre de flows disponibles :

• Créez de nouveaux flows personnalisés, activez-les au niveau du groupe parent, puis activez-les dans votre projet.
• Parcourez le catalogue d'IA et activez les flows existants d'abord dans votre groupe parent, puis dans votre projet.

Pour plus de détails sur la création de flows personnalisés, consultez Partie 4 : comprendre les flows.

Automatiser à l'aide de déclencheurs

Les déclencheurs permettent l'automatisation sur la base d'événements. Ils exécutent automatiquement des agents ou des flows lorsque des événements spécifiques du cycle de développement logiciel (SDLC) GitLab se produisent.

Accédez à Automatisation → Déclencheurs.

Types d'événements déclencheurs disponibles :

• Mention : mention dans un commentaire, par exemple @ci-cd-optimizer
• Assignation : assignation à un ticket ou une merge request, par exemple via l'interface ou l'action rapide /assign @ci-cd-optimizer
• Assignation en tant que relecteur : assignation comme relecteur de merge request, par exemple via l'interface ou l'action rapide /assign_reviewer @ci-cd-optimizer

Fonctionnement des déclencheurs :

1. Un événement se produit (par ex., @ci-cd-optimizer mentionné dans un commentaire de merge request).
2. Le déclencheur identifie le flow à exécuter.
3. Le flow s'exécute et démarre une session.
4. Les résultats sont publiés dans le ticket/la merge request.

Pour obtenir des instructions de configuration, consultez la documentation relative aux déclencheurs.

Surveiller avec les sessions

Les sessions offrent une transparence totale sur l'exécution des agents et des flows, avec le raisonnement, les outils exécutés et les résultats. Chaque exécution crée une session avec un log des activités.

Accédez à Automatisation → Sessions.

Les sessions affichent :

• Le statut d'exécution (Créé, En cours, Terminé, Échec, Saisie requise, etc.)
• La progression étape par étape et les actions entreprises
• Le raisonnement de l'agent et son processus de décision
• Le lien vers les logs du job du runner (onglet Détails)

Onglet Activité

L'onglet Activité affiche l'exécution étape par étape avec chaque action entreprise par l'agent, les outils utilisés et les résultats de ces actions.

Onglet Détails

L'onglet Détails donne accès aux logs complets du job du runner, où vous pouvez consulter le contexte d'exécution complet et toute information système sur l'exécution du flow.

Les logs du job contiennent les données de sortie d'exécution complètes, avec tous les messages système, les invocations d'outils et les informations détaillées concernant les tâches effectuées par le flow.

Pour plus de détails, consultez la documentation relative aux sessions.

Perspectives

Vous savez désormais comment surveiller l'activité des agents et des flows via les sessions, configurer une automatisation basée sur des événements avec les déclencheurs et gérer vos workflows d'IA depuis la section Automatisation. Vous apprendrez ensuite comment utiliser GitLab Duo avec des outils externes et des sources de données dans la Partie 7 : intégrer le Model Context Protocol.

Ressources

• Documentation relative aux sessions
• Documentation relative aux déclencheurs
• Documentation relative aux flows personnalisables
• Documentation relative aux Agents personnalisables

Article suivant : Partie 7 : intégrer le Model Context Protocol

Article précédent : Partie 5 : découvrir le catalogue d'IA

Dans cet article, découvrez les meilleures pratiques CI/CD à connaître pour accélérer la livraison de logiciels, réduire les risques et améliorer la qualité logicielle.

Qu’est-ce que le CI/CD ?

Le CI/CD est à la fois un processus technologique, un état d'esprit et une suite d'étapes. En termes simples, l'intégration continue (CI) permet aux équipes DevSecOps d'optimiser le développement du code grâce à l'automatisation. Elle simplifie les builds logiciels et l'intégration du code source, permet le contrôle de version et favorise une meilleure collaboration entre les équipes.

Là où la l'intégration continue (CI) s'arrête, la livraison continue (CD) prend le relais avec des tests et des déploiements automatisés. La livraison continue réduit considérablement le travail manuel des équipes Ops, tout en permettant de réduire la chaîne d'outils nécessaires à la gestion du cycle de développement logiciel.

Ensemble, la CI et la CD forment un pipeline d'intégration et de livraison continues, orchestré pour automatiser les étapes de développement, du build du code à son déploiement en production.

En intégrant des scans de sécurité et des contrôles de conformité en amont du pipeline, le CI/CD met en œuvre une approche « shift-left » de la sécurité où les problèmes sont identifiés et corrigés en amont avant d'atteindre l’environnement de production.

→ Essayez GitLab Ultimate et GitLab Duo Enterprise gratuitement et découvrez toute la puissance du CI/CD intégré à une plateforme DevSecOps complète.

Les 10 meilleures pratiques CI/CD

1. Utilisez une plateforme DevSecOps unifiée

Regroupez vos outils CI/CD au sein d'une seule et même plateforme afin de réduire les coûts de maintenance, limiter les changements de contexte et renforcer la collaboration entre les équipes. Moins il y a d'outils, moins il y a de complexité d'intégration, et meilleure est l'expérience pour les équipes chargées du développement, de la sécurité et des opérations.

2. Automatisez tout

Optimisez continuellement votre pipeline CI/CD pour atteindre un état d'« automatisation continue ». Cette automatisation inclut les tests automatisés, les scans de sécurité, le déploiement et le provisionnement de l'infrastructure. Plus vos processus sont automatisés, plus vos livraisons sont rapides, cohérentes et fiables.

3. Échouez vite et souvent

Les équipes de développement doivent être informées immédiatement lorsqu'un commit provoque une erreur. Corriger le code pendant que le problème est encore frais dans leur esprit limite le changement de contexte, tout en améliorant la qualité du code. Cette approche contribue aussi à la satisfaction et à la productivité des équipes DevSecOps.

4. Validez fréquemment

Des commits réguliers et de petite taille facilitent la revue, les tests et le déploiement du code. Ces changements incrémentaux limitent les risques et accélèrent les livraisons.

5. Adoptez une approche « shift-left »

Le CI/CD offre l'opportunité d'intégrer la sécurité très tôt dans le développement logiciel. En déplaçant la sécurité plus en amont, les failles sont détectées avant la mise en production, réduisant ainsi le coût et l'impact des correctifs.

6. Exploitez l'IA pour diagnostiquer les pipelines en échec

Les outils alimentés par l'intelligence artificielle permettent de diagnostiquer automatiquement les pipelines en échec, d'identifier leur cause et de suggérer des correctifs. Cette approche réduit considérablement le temps de résolution de plusieurs heures à quelques minutes tout en libérant les équipes de tâches répétitives.

7. Décorrélez déploiement et release grâce aux feature flags

Les feature flags permettent de déployer du code en production sans exposer immédiatement les nouvelles fonctionnalités aux utilisateurs. Cette approche sécurise les déploiements, facilite les tests progressifs et rend les retours en arrière instantanés en cas de problème.

8. Monitorez tout

Mettez en place une surveillance complète couvrant les métriques applicatives, les logs et les indicateurs de performance. Des alertes bien configurées, à la fois sur les seuils techniques et métier, permettent d'anticiper les anomalies et d'assurer la stabilité du service.

9. Maintenez le pipeline en tant que code

Stockez la configuration de votre pipeline CI/CD dans le même système de contrôle de version que votre application. Chaque modification est ainsi suivie, révisable et réversible.

10. Mettez en place des boucles de rétroaction continues

Le CI/CD n'est pas un processus figé. Veillez à ce que toutes les équipes puissent facilement recevoir et apporter des retours. Les retours issus de la supervision, des alertes ou des validations post-déploiement alimentent une amélioration continue du pipeline.

Les meilleures pratiques en matière de livraison continue

La livraison continue mérite à elle seule une attention particulière : si l'intégration continue fait souvent la une, c'est bien la livraison continue qui concrétise la promesse du DevOps : livrer plus vite et plus souvent.

Voici les meilleures pratiques à adopter en matière de livraison continue pour des déploiements fluides et fiables :

• Commencez par votre configuration actuelle. Inutile d'attendre la plateforme parfaite. Analysez vos processus de déploiement existants, repérez les points de friction et automatisez d'abord les tâches manuelles les plus répétitives. L'amélioration continue commence toujours avec ce que vous avez déjà.
• Adoptez des stratégies de déploiement progressif. Mettez en place des approches éprouvées comme le déploiement bleu/vert, le déploiement canari ou les feature flags. Ces méthodes réduisent considérablement les risques et facilitent les retours en arrière rapides en cas d'incident.
• Assurez la cohérence entre vos environnements. Vos environnements de développement, de préproduction et de production doivent être les plus similaires possible. L'Infrastructure as Code (IaC) vous aidera à éliminer les dérives de configuration.
• Automatisez la validation après chaque déploiement. Mettez en place des smoke tests automatisés et des états de service automatiques pour vérifier instantanément la stabilité du système après une mise en production. Si une validation échoue, le pipeline doit pouvoir déclencher automatiquement un retour à la version précédente.
• Mettez en place une supervision complète. Suivez à la fois les indicateurs techniques (temps de réponse, taux d'erreur) et les indicateurs métiers (satisfaction, engagement, conversion). La détection précoce des anomalies est la clé d'une production stable.
• Adoptez le déploiement sans interruption. Concevez vos applications et votre processus de déploiement de manière à gérer les mises à jour sans temps d'arrêt. Le « zéro temps d'arrêt » doit être un objectif dès la conception.
• Simplifiez les retours à la version précédente. Le retour en arrière doit être instantané. Testez vos processus régulièrement et assurez-vous qu'un retour complet puisse être exécuté en un clic.
• Dissociez déploiement et mise en production. Grâce aux feature flags, vous pouvez déployer du code sans exposer immédiatement les nouvelles fonctionnalités. Cela vous permet de tester en conditions réelles tout en limitant les risques pour les utilisateurs finaux.

Tirez parti de tous les avantages de l'intégration et de la livraison continues avec la plateforme DevSecOps de GitLab.

Comment optimiser son pipeline CI/CD ?

Le pipeline CI/CD est la colonne vertébrale du développement moderne. C’est une série d'étapes automatisées qui achemine le code du développement à la mise en production. Un pipeline type comprend les étapes suivantes : build, tests, scans de sécurité, déploiement et supervision. Ces étapes peuvent être réalisées manuellement, mais c'est leur automatisation qui décuple la rapidité et la fiabilité du processus.

Optimisez les performances du pipeline

• Utilisez la mise en cache des builds pour éviter de recompiler les éléments inchangés.
• Définissez des règles conditionnelles pour ignorer les étapes inutiles lorsque le code n'a pas été modifié.
• Optimisez les images Docker avec des builds multi-étapes et des images de base plus légères.

Améliorez la visibilité du pipeline

• Ajoutez un suivi de la durée du pipeline pour identifier les goulots d'étranglement.
• Mettez en place une journalisation détaillée et une collecte d’artefacts pour faciliter le diagnostic.
• Appuyez-vous sur les tableaux de bord de GitLab pour visualiser les taux de réussite et les tendances en matière de performances.

Optimisez l'efficacité des ressources

• Ajustez la taille de vos runners selon leur charge réelle.
• Exploitez les instances ponctuelles ou la mise à l'échelle automatique pour réduire les coûts d'exécution.
• Nettoyez les ressources temporaires et les artefacts après l'achèvement du pipeline.

Anticipez la croissance de l'équipe

• Utilisez des composants de pipeline pour uniformiser les pratiques entre projets. Utilisez des environnements dynamiques qui se créent et se suppriment automatiquement.
• Configurez des workflows d'approbation de déploiement avant toute mise en production.

Stratégie de déploiement CI/CD

L'objectif du CI/CD est simple : livrer un logiciel plus performant, plus rapidement, et en continu. Les organisations qui adoptent cette approche gagnent en agilité, en productivité et en qualité. Encore faut-il définir une stratégie adaptée à votre contexte.

Voici quelques leviers pour réussir vos déploiements :

• Privilégiez les petits changements. Le déploiement fréquent de mises à jour incrémentales facilite les tests, les revues et les retours en arrière. Cela réduit les risques et améliore la stabilité des logiciels.
• Montez progressivement en puissance. Démarrez sur des projets à faible impact pour affiner vos processus avant de vous attaquer aux systèmes critiques.
• Automatisez les retours en arrière. Définissez des seuils d'alerte (taux d'erreur, indicateurs de performance, état des services) qui déclenchent un retour à la version précédente automatique.
• Répétez vos déploiements. Testez régulièrement votre processus de déploiement dans des environnements de préproduction qui reflètent la production.
• Planifiez vos fenêtres de déploiement. Commencez par des périodes de faible activité avant de passer à un déploiement continu.
• Mesurez l'impact de chaque déploiement. Suivez les performances techniques et les indicateurs business après chaque déploiement pour évaluer la réussite.

Comment mesurer la performance de votre CI/CD ?

Il est impossible d'améliorer ce qu'on ne mesure pas. Les équipes DevSecOps s'appuient sur des indicateurs pour évaluer la performance et détecter les marges de progrès.

Les 4 métriques DORA

Les organisations les plus performantes mesurent systématiquement ces quatre indicateurs issus du framework DORA :

• Fréquence de déploiement : nombre de mises en production réussies sur une période donnée. Les organisations d'élite déploient jusqu'à plusieurs fois par jour.
• Délai d'exécution des modifications : temps écoulé entre le le premier commit et le déploiement en production. Objectif cible : passer sous la barre des 24 heures.
• Taux d'échec des modifications : pourcentage de déploiements provoquant des incidents en production et nécessitant des correctifs urgents ou des retours en arrière. Un taux inférieur à 15 % est signe d'un pipeline mature.
• Temps moyen de restauration : rapidité de résolution après incident. Les meilleurs rétablissent un service complet en moins d'une heure. Une restauration rapide nécessite une supervision robuste et des capacités de retour en arrière automatisées.

Les autres KPI à suivre

• Coûts d'infrastructure : le CI/CD cloud-native peut entraîner des dépenses importantes s'il n'est pas géré correctement. Les pratiques qui réduisent les temps de build et optimisent l'utilisation des ressources ont un impact direct sur les coûts opérationnels.
• Satisfaction et rétention des équipes : les développeurs satisfaits restent fidèles à l'entreprise. Lorsque les équipes collaborent efficacement sur les pratiques CI/CD, la fidélisation suit. Un pipeline fluide réduit ainsi le stress, améliore la collaboration et fidélise les équipes de développement.

Impact business immédiat

Ces indicateurs techniques se traduisent par des gains concrets :

• Des cycles de livraison plus courts améliorent les délais de mise sur le marché et la compétitivité.
• Un faible taux d'échec réduit les coûts d'assistance et les interruptions.
• Un temps moyen de réparation rapide garantit la continuité des services et la satisfaction client.

Les équipes hautement performantes en matière de CI/CD obtiennent systématiquement de meilleurs résultats commerciaux, améliorent leur productivité, et ont une plus grande capacité d'innovation. — Étude DORA 2025

Quels sont les avantages d'une approche CI/CD maîtrisée ?

L'application rigoureuse des bonnes pratiques CI/CD profite à tous : utilisateurs, développeurs et dirigeants, en favorisant un développement logiciel plus fluide, collaboratif et orienté qualité.

• Des fonctionnalités livrées plus vite : cycles courts, releases fréquentes et corrections rapides.
• Une qualité logicielle renforcée : moins de bugs, moins de stress, plus de stabilité.
• Une meilleure réactivité client : intégration immédiate des retours utilisateurs.
• Un service plus fiable : supervision continue et retours à la version précédente automatisés.
• Un environnement propice à l'innovation : moins de tâches répétitives, plus de création de valeur.
• Des équipes plus engagées : moins d'incidents, plus de temps pour le développement et la collaboration.

Comment déployer le CI/CD dans votre organisation ?

Avant de vous lancer, clarifiez les objectifs stratégiques et leur impact sur votre cycle de développement logiciel. Impliquez vos équipes dès la phase de conception de votre approche CI/CD : elles seront les premières concernées par ce changement.

• Évaluez les solutions adaptées à vos besoins (infrastructure, sécurité, gouvernance).
• Testez les outils via des essais gratuits pour valider leur intégration dans votre pile existante.
• Avancez progressivement, en automatisant étape par étape.
• Suivez vos métriques clés pour mesurer les gains de performance et d'efficacité.

→ Essayez GitLab Ultimate et GitLab Duo Enterprise gratuitement et découvrez toute la puissance du CI/CD intégré à une plateforme DevSecOps complète.

🎯 Essayez GitLab Duo Agent Platform dès aujourd'hui !

Qu'est-ce que le catalogue d'IA ?

Le catalogue d'IA est un dépôt centralisé qui permet de découvrir, de créer et de partager des agents et des flows dans l'ensemble de votre organisation. Il favorise la cohérence, les solutions réutilisables et la collaboration en permettant aux équipes d'exploiter des solutions préconfigurées et des bonnes pratiques.

Actions possibles avec le catalogue d'IA :

• Découvrir : parcourez les agents et les flows créés par GitLab et la communauté.
• Créer : créez et maintenez des agents et des flows personnalisés dans une interface unique.
• Activer : activez des agents et des flows au niveau de votre groupe principal, puis utilisez-les dans vos projets.
• Partager : publiez vos agents et vos flows afin que d'autres puissent les utiliser (visibilité publique ou privée).
• Dupliquer : copiez et personnalisez des agents et des flows existants.

Accéder au catalogue d'IA et l'utiliser

Accédez à Explorer → Catalogue d'IA.

Le catalogue propose actuellement deux types d'éléments :

• Agents : des agents personnalisables pour des tâches ponctuelles, interactives ou contextuelles.
• Flows : des flows personnalisables pour des automatisations reproductibles en plusieurs étapes, qui orchestrent une équipe d'agents.

Pour obtenir des informations détaillées, consultez la documentation relative au catalogue d'IA.

Découvrir les agents et des flows

Le catalogue d'IA facilite la découverte d'agents et de flows adaptés à vos besoins :

Comment parcourir le catalogue :

1. Accédez à Explorer → Catalogue d'IA.
2. Sélectionnez l'onglet Agents ou Flows.
3. Parcourez les agents ou flows disponibles et consultez le titre, la description et le statut de visibilité.
4. Cliquez sur n'importe quel agent ou flow pour afficher davantage de détails.

Activer des agents et des flows :

Une fois que vous avez trouvé un agent ou un flow que vous souhaitez utiliser :

1. Cliquez sur l'agent ou le flow pour en afficher les détails.
2. Cliquez sur le bouton Activer dans le groupe pour ajouter l'agent ou le flow à votre groupe principal.
3. Activez-le dans votre projet pour commencer à l'utiliser.

Créer, partager et gérer la visibilité

Créer des agents et des flows

Voici des instructions détaillées pour créer des agents et des flows.

Créer des agents :

Accédez à Explorer → Catalogue d'IA → Agents → Nouvel agent.

1. Assignez une tâche ou une spécialisation spécifique à cet agent, par exemple un agent de débogage et de dépannage.
2. Ajoutez un nom qui s'affichera et une description pour aider les autres utilisateurs à identifier l'objectif et la raison pour laquelle ils souhaiteraient utiliser l'agent, par exemple troubleshoot-debugger.
3. Indiquez la visibilité et l'accès. Sélectionnez un projet privé et définissez la visibilité comme privée si vous souhaitez commencer par tester l'agent.
4. Définissez le comportement, les capacités et la spécialisation de l'agent dans le prompt système. Pour obtenir des détails sur la création de prompts système efficaces, consultez la Partie 3 : comprendre les agents.
5. Sélectionnez et limitez éventuellement l'accès aux outils pour les agents. Par exemple, un agent de débogage a besoin d'un accès en lecture au code, aux tickets et aux merge requests, mais n'a pas besoin d'un accès en écriture pour apporter des modifications.

Créer des flows :

Accédez à Explorer → Catalogue d'IA → Flows → Nouveau flow.

1. Définissez une tâche spécifique complexe en plusieurs étapes, par exemple un flow d'optimisation de pipeline CI/CD.
2. Ajoutez un nom qui s'affichera et une description pour aider les autres utilisateurs à identifier l'objectif et la raison pour laquelle ils souhaiteraient utiliser le flow, par exemple ci-cd-optimizer.
3. Indiquez la visibilité et l'accès. Sélectionnez un projet privé et définissez la visibilité comme privée si vous souhaitez commencer par tester l'agent.
4. Définissez le comportement du flow ainsi que ses composants d'agents, ses prompts et ses routeurs. Pour obtenir des détails sur la structure YAML des flows, consultez la Partie 4 : comprendre les flows.

Pour plus de détails, consultez les ressources suivantes :

• Documentation concernant les agents personnalisables
• Documentation concernant les flows personnalisables

Partager votre travail et définir la visibilité

Lors de la création d'agents ou de flows, vous pouvez choisir entre une visibilité privée et publique afin de contrôler qui peut y accéder et les utiliser.

Visibilité privée :

• Les agents et flows ne peuvent être consultés que par les membres du projet de gestion qui disposent au moins du rôle Développeur, ou par les utilisateurs avec le rôle Propriétaire pour le groupe principal.
• Ils ne peuvent pas être activés dans d'autres projets.
• Ils sont utiles pour les workflows spécifiques d'une équipe ou sensibles.

Visibilité publique :

• Les agents et flows peuvent être consultés par toute personne sur l'instance.
• Ils peuvent être activés dans n'importe quel projet répondant aux prérequis.
• Ils apparaissent dans le catalogue d'IA pour faciliter leur découverte.

Bonnes pratiques de partage

Lorsque vous publiez des agents et des flows dans le catalogue d'IA, n'oubliez pas de suivre ces recommandations :

Nommage :

• Utilisez des noms clairs et descriptifs (par exemple, security-code-review, api-documentation-generator).
• Évitez les noms génériques comme agent1 ou my-flow.
• Incluez l'objectif dans le nom lorsque cela est possible.

Documentation :

• Indiquez une description claire de ce que fait l'agent ou le flow.
• Ajoutez des cas d'utilisation et des exemples.
• Documentez tous les prérequis ou dépendances.

Qualité :

• Testez minutieusement l'agent ou le flow avant de le publier.
• Assurez-vous que l'agent ou le flow résout un problème réel.
• Veillez à ce qu'il puisse être maintenu et qu'il soit bien documenté.
• Prenez en compte les cas limites et la gestion des erreurs.

Choix concernant la visibilité :

• Commencez avec une visibilité privée pour effectuer des tests avec votre équipe.
• Passez à une visibilité publique une fois les tests validés et documentés.
• Ne publiez que si l'agent ou le flow apporte une valeur ajoutée.
• Prenez en compte le public et les cas d'utilisation.

Comprendre la gestion des versions

Les agents et flows personnalisés du catalogue d'IA conservent un historique des versions pour suivre les modifications.

Fonctionnement de la gestion des versions :

• GitLab crée automatiquement une nouvelle version lorsque vous mettez à jour le prompt système d'un agent ou modifiez la configuration d'un flow.
• Les versions utilisent la gestion sémantique de version (par exemple, 1.0.0, 1.1.0).
• GitLab effectue une gestion sémantique de version automatique : les mises à jour incrémentent toujours la version mineure.
• Les versions sont immuables afin de garantir un comportement cohérent.

Épinglage des versions :

Lorsque vous activez un agent ou un flow :

• Dans un groupe : GitLab l'épingle à la dernière version.
• Dans un projet : GitLab l'épingle à la même version que votre groupe principal.

Conséquences :

• Vos projets utilisent une version fixe et stable de l'agent ou du flow.
• Les mises à jour dans le catalogue d'IA n'affectent pas automatiquement votre configuration.
• Vous devez accepter explicitement de passer aux nouvelles versions : les mises à jour ne sont jamais automatiques.
• Vous conservez un contrôle total sur le moment d'adoption des nouvelles versions.

Consulter les versions :

• Accédez à Automatisation → Agents ou Automatisation → Flows.
• Sélectionnez l'agent ou le flow pour afficher sa version sur le côté droit dans la section À propos.

Mettre à jour vers la dernière version

Lorsqu'une nouvelle version d'un agent ou d'un flow est disponible dans le catalogue d'IA, vous pouvez mettre à jour vos projets pour l'utiliser.

1. Accédez à Automatisation → Agents ou Automatisation → Flows.
2. Cliquez sur l'agent ou le flow que vous souhaitez mettre à jour.
3. Cliquez sur le bouton Mettre à jour (apparaît lorsqu'une version plus récente est disponible).
4. Examinez les modifications apportées dans la nouvelle version.
5. Confirmez la mise à jour pour épingler votre projet à la dernière version.

Perspectives

Vous savez désormais comment découvrir, créer et partager des agents et des flows via le catalogue d'IA. Dans la Partie 6, vous apprendrez à surveiller l'activité des agents et des flows via les sessions, à configurer des déclencheurs basés sur des événements et à gérer vos workflows d'IA.

Ressources

• Documentation concernant le catalogue d'IA
• Documentation concernant les agents personnalisables
• Documentation concernant les flows personnalisables

Article suivant : Partie 6 : surveiller, gérer et automatiser les workflows d'IA

Article précédent : Partie 4 : comprendre les flows

🎯 Essayez GitLab Duo Agent Platform dès aujourd'hui !

Introduction aux flows

Les flows sont des combinaisons d'un ou de plusieurs agents qui collaborent ensemble. Ils orchestrent des workflows multi-étapes pour résoudre des problèmes complexes et s'exécutent sur la plateforme de calcul de GitLab.

Caractéristiques clés des flows :

• Orchestration multi-agents : ils combinent plusieurs agents spécialisés.
• Intégrés : ils s'exécutent sur la plateforme de calcul, aucun environnement supplémentaire nécessaire.
• Pilotés par des événements : ils sont déclenchés par des mentions, des assignations ou peuvent être assignés en tant que relecteur.
• Asynchrones : ils s'exécutent en arrière-plan pendant que vous continuez à travailler.
• Workflows complets : ils gèrent les tâches de bout en bout, de l'analyse à l'implémentation.

Les flows sont des workflows autonomes capables de rassembler du contexte, de prendre des décisions, d'exécuter des changements et de livrer des résultats pendant que vous vous concentrez sur d'autres tâches.

Flows vs agents : quelle est la différence ?

Les agents travaillent avec vous de manière interactive. Les flows travaillent pour vous de manière autonome.

Vue d'ensemble des types de flows

Flows de base

Les flows de base sont des workflows prêts pour la production créés et maintenus par GitLab. Ils sont accessibles via des contrôles UI dédiés ou des interfaces IDE.

Flows de base actuellement disponibles

Flows personnalisables

Les flows personnalisables sont des workflows définis en YAML que vous créez pour les besoins spécifiques de votre équipe. Ils s'exécutent dans GitLab Runner et peuvent être déclenchés par des événements GitLab.

🎯 Essayez les flows : visionnez notre démo interactive des flows personnalisables pour explorer comment les créer et les configurer.

Pourquoi créer des flows personnalisés ?

Les flows personnalisables automatisent les tâches multi-étapes répétitives spécifiques au workflow de votre équipe. Contrairement aux flows de base qui servent des objectifs généraux, les flows personnalisables sont adaptés aux processus, outils et exigences de votre organisation.

Cas d'utilisation courants :

• Revue de code automatisée : processus de revue multi-étapes (scan de sécurité → vérification de qualité → validation de style)
• Vérification de la conformité : vérification des exigences réglementaires, de la conformité des licences ou des politiques de sécurité pour chaque merge request
• Génération de documentation : mise à jour automatique de la documentation API, des fichiers README ou des changelogs basée sur les modifications de code
• Gestion des dépendances : scans de sécurité hebdomadaires, mises à jour automatisées et rapports de vulnérabilité
• Tests personnalisés : suites de tests spécialisées pour votre pile technologique ou vos tests d'intégration

Exemple concret

Une entreprise fintech crée un flow de conformité qui s'exécute sur chaque merge request. Lorsqu'il est déclenché par @compliance-flow, le flow exécute les étapes suivantes :

1. L'agent Security Analyst scanne le code pour détecter les violations PCI-DSS et vérifie les données sensibles exposées.
2. L'agent Code Review vérifie que les modifications respectent les standards de codage sécurisé et les bonnes pratiques.
3. L'agent de documentation vérifie que les modifications apportées à l'API incluent une documentation mise à jour.
4. L'agent de synthèse agrège les résultats et publie un rapport de conformité avec un statut réussite/échec.

L'ensemble de la revue de conformité se déroule automatiquement en 5 à 10 minutes, avec des vérifications cohérentes sur toutes les merge requests.

Comment déclencher des flows personnalisés ?

Les flows personnalisés peuvent être déclenchés de plusieurs façons :

1. Via des mentions dans les tickets/merge requests : mentionnez le flow dans un commentaire pour le déclencher. Exemple pour un flow de génération de documentation :

@doc-generator Generate API documentation for this feature

2. En assignant le flow à un ticket ou une merge request : assignez le flow en utilisant :

• L'interface utilisateur de GitLab : cliquez sur le bouton « Assigner » sur le ticket/la merge request et sélectionnez le flow.
• Commande : utilisez la commande /assign dans un commentaire. Exemple :

/assign @doc-generator

3. En assignant le flow en tant que relecteur : assignez le flow comme relecteur sur une merge request en utilisant :

• L'interface utilisateur de GitLab : cliquez sur le bouton « Assigner un relecteur » sur la merge request et sélectionnez le flow.
• Commande : utilisez la commande /assign reviewer dans un commentaire. Exemple :

/assign_reviewer @doc-reviewer

Chacune de ces méthodes déclenche automatiquement le flow pour qu'il exécute ses tâches.

Comment créer des flows personnalisés

Les flows personnalisés sont créés via l'interface de GitLab sous Automatisation → Flows → Nouveau flow dans votre projet, ou depuis Explorer → Catalogue d'IA → Flows → Nouveau flow. Vous définissez votre flow à l'aide d'une configuration YAML qui précise les composants, les prompts, le routage et le flow d'exécution. Le schéma YAML vous permet de créer des workflows multi-agents sophistiqués avec un contrôle précis du comportement et de l’orchestration des agents.

Éléments clés d'un flow personnalisé :

• Composants : définissez les agents et les étapes de votre workflow
• Prompts : configurez le comportement et les instructions du modèle d'IA
• Routeurs : contrôlez le flow entre les composants
• Set d'outils : indiquez quels outils de l'API GitLab les agents peuvent utiliser

Exemple de flow personnalisé YAML

Contexte : cet exemple montre un flow d'implémentation de fonctionnalité pour une plateforme de réservation de voyages. Lorsqu'un développeur crée un ticket avec des exigences de fonctionnalité, il peut déclencher ce flow pour analyser automatiquement les exigences, examiner le code source, implémenter la solution et créer une merge request, le tout sans intervention manuelle.

Voici la configuration YAML :

version: "v1"
environment: ambient
components:
  - name: "implement_feature"
    type: AgentComponent
    prompt_id: "implementation_prompt"
    inputs:
      - from: "context:goal"
        as: "user_goal"
      - from: "context:project_id"
        as: "project_id"
    toolset:
      - "get_issue"
      - "get_repository_file"
      - "list_repository_tree"
      - "find_files"
      - "blob_search"
      - "create_file"
      - "create_commit"
      - "create_merge_request"
      - "create_issue_note"
    ui_log_events:
      - "on_agent_final_answer"
      - "on_tool_execution_success"
      - "on_tool_execution_failed"

prompts:
  - name: "Cheapflights Feature Implementation"
    prompt_id: "implementation_prompt"
    unit_primitives: []
    prompt_template:
      system: |
        You are an expert full-stack developer specializing in travel booking platforms, specifically Cheapflights.

        Your task is to:
        1. Extract the issue IID from the goal (look for "Issue IID: XX")
        2. Use get_issue with project_id={{project_id}} and issue_iid to retrieve issue details
        3. Analyze the requirements for the flight search feature
        4. Review the existing codebase using list_repository_tree, find_files, and get_repository_file
        5. Design and implement the solution following Cheapflights best practices
        6. Create all necessary code files using create_file (call multiple times for multiple files)
        7. Commit the changes using create_commit
        8. Create a merge request using create_merge_request
        9. Post a summary comment to the issue using create_issue_note with the MR link

        Cheapflights Domain Expertise:
        - Flight search and booking systems (Amadeus, Sabre, Skyscanner APIs)
        - Fare comparison and pricing strategies
        - Real-time availability and inventory management
        - Travel industry UX patterns
        - Performance optimization for high-traffic flight searches

        Code Standards:
        - Clean, maintainable code (TypeScript/JavaScript/Python/React)
        - Proper state management for React components
        - RESTful API endpoints with comprehensive error handling
        - Mobile-first responsive design
        - Proper timezone handling (use moment-timezone or date-fns-tz)
        - WCAG 2.1 accessibility compliance

        Flight-Specific Best Practices:
        - Accurate fare calculations (base fare + taxes + fees + surcharges)
        - Flight duration calculations across timezones
        - Search filter logic (price range, number of stops, airlines, departure/arrival times)
        - Sort algorithms (best value, fastest, cheapest)
        - Handle edge cases: date line crossing, daylight saving time, red-eye flights
        - Currency amounts use proper decimal handling (avoid floating point errors)
        - Dates use ISO 8601 format
        - Flight codes follow IATA standards (3-letter airport codes)

        Implementation Requirements:
        - No TODOs or placeholder comments
        - All functions must be fully implemented
        - Include proper TypeScript types or Python type hints
        - Add JSDoc/docstring comments for all functions
        - Comprehensive error handling and input validation
        - Basic unit tests for critical functions
        - Performance considerations for handling large result sets

        CRITICAL - Your final comment on the issue MUST include:
        - **Implementation Summary**: Brief description of what was implemented
        - **Files Created/Modified**: List of all files with descriptions
        - **Key Features**: Bullet points of main functionality
        - **Technical Approach**: Brief explanation of architecture/patterns used
        - **Testing Notes**: How to test the implementation
        - **Merge Request Link**: Direct link to the created MR (format: [View Merge Request](MR_URL))

        IMPORTANT TOOL USAGE:
        - Extract the issue IID from the goal first (e.g., "Issue IID: 12" means issue_iid=12)
        - Use get_issue with project_id={{project_id}} and issue_iid=<extracted_iid>
        - Create multiple files by calling create_file multiple times (once per file)
        - Use create_commit to commit all files together with a descriptive commit message
        - Use create_merge_request to create the MR and capture the MR URL from the response
        - Use create_issue_note with project_id={{project_id}}, noteable_id=<issue_iid>, and body=<your complete summary with MR link>
        - Make sure to include the MR link in the comment body so users can easily access it

      user: |
        Goal: {{user_goal}}
        Project ID: {{project_id}}

        Please complete the following steps:
        1. Extract the issue IID and retrieve full issue details
        2. Analyze the requirements thoroughly
        3. Review the existing codebase structure and patterns
        4. Implement the feature with production-ready code
        5. Create all necessary files (components, APIs, tests, documentation)
        6. Commit all changes with a clear commit message
        7. Create a merge request
        8. Post a detailed summary comment to the issue including the MR link

      placeholder: history
    params:
      timeout: 300

routers:
  - from: "implement_feature"
    to: "end"

flow:
  entry_point: "implement_feature"

Ce que fait ce flow : ce flow orchestre un agent d'IA pour implémenter automatiquement une fonctionnalité en analysant les exigences du ticket, en examinant le code source, en écrivant du code prêt pour la production avec une expertise métier, et en créant une merge request avec un commentaire de synthèse détaillé.

Pour obtenir une documentation complète et des exemples, consultez les pages suivantes :

• Documentation relative aux flows personnalisables
• Framework de dépôt des flows (schéma YAML)

Exécution des flows

Les flows s'exécutent sur le système de calcul de la plateforme GitLab. Lorsqu'ils sont déclenchés par un événement (mention, assignation ou clic sur un bouton), une session est créée et le flow commence à s'exécuter.

Variables d'environnement disponibles

Les flows ont accès à des variables d'environnement qui fournissent le contexte sur le déclencheur et l'objet GitLab :

• AI_FLOW_CONTEXT : contexte sérialisé en JSON qui inclut les diffs des merge requests, les descriptions des tickets, les commentaires et les fils de discussion
• AI_FLOW_INPUT : le texte du prompt ou du commentaire de l'utilisateur qui a déclenché le flow
• AI_FLOW_EVENT : le type d'événement qui a déclenché le flow (mention, assign, assign_reviewer)

Ces variables permettent à votre flow de comprendre ce qui l'a déclenché et d'accéder aux données GitLab pertinentes pour effectuer sa tâche.

Flows multi-agents

Les flows personnalisés peuvent inclure plusieurs composants d'agents qui travaillent ensemble de manière séquentielle. La configuration YAML du flow définit :

• Les composants : un ou plusieurs agents (AgentComponent) ou étapes déterministes
• Routeurs : définissent le flow entre les composants (par exemple, du composant A au composant B jusqu'à la fin)
• Prompts : configurent le comportement et le modèle de chaque agent

Par exemple, un flow de revue de code pourrait avoir un agent de sécurité, puis un agent de qualité, puis un agent d'approbation, avec des routeurs qui les connectent en séquence.

Surveillance de l'exécution des flows

Pour afficher les flows en cours d'exécution pour votre projet :

1. Accédez à Automatisation → Sessions.
2. Sélectionnez une session pour afficher plus de détails.
3. L'onglet Détails affiche un lien vers les logs du job CI/CD.

Les sessions affichent des informations détaillées qui incluent la progression étape par étape, les outils invoqués, le raisonnement et le processus de prise de décision.

Quand utiliser les flows

• Tâches complexes multi-étapes
• Automatisation en arrière-plan
• Workflows basés sur les événements
• Modifications multi-fichiers
• Tâches chronophages
• Revues/vérifications automatisées

Prochaines étapes

Vous connaissez maintenant les flows et savez comment les créer et quand les utiliser par rapport aux agents. Dans la Partie 5 : découvrir le catalogue d'IA, vous apprendrez à créer et à partager des agents et des flows dans votre organisation. Explorez le catalogue d'IA pour connaître les flows et agents disponibles, les ajouter à vos projets, et publier vos propres agents et flows.

Ressources

• Flows de GitLab Duo Agent Platform
• Documentation relative aux flows de base
• Documentation relative aux flows personnalisables
• Configuration d'exécution des flows
• Guide des variables CI/CD de GitLab
• Comptes de service

Article suivant : Partie 5 : découvrir le catalogue d'IA

Article précédent : Partie 3 : comprendre les agents

🎯 Essayez GitLab Duo Agent Platform dès aujourd'hui !

Qu'est-ce qu'un agent ?

Les agents sont des partenaires de collaboration d'IA spécialisés au sein de GitLab Duo Agent Platform. Chaque type d'agent remplit des objectifs différents et s'exécute dans des contextes différents.

Types d'agents

Agents de base

Conçus et maintenus par GitLab, ces agents sont disponibles immédiatement sans aucune configuration requise.

La disponibilité des agents de base peut être gérée par les propriétaires d'espaces de nommage ou les administrateurs d'instance.

Commencez à interagir avec les agents de base en ouvrant GitLab Duo Agentic Chat dans l'IDE ou l'interface utilisateur Web.

L'agent GitLab Duo

Il s'agit de l'agent par défaut, votre partenaire de collaboration de développement polyvalent pour créer et modifier du code, ouvrir des merge requests, trier et mettre à jour des tickets et epics, et exécuter des workflows avec un contexte complet de la plateforme SDLC.

Exemples de prompts :

• « Explique-moi comment fonctionne le système d'authentification. »
• « Où se trouve la logique du profil utilisateur ? »
• « Comment dois-je implémenter la fonctionnalité X ? »

L'agent Planner

Il aide à la planification produit, à la décomposition des epics et à la création de tickets structurés.

Exemples de prompts :

• « Crée un epic pour le nouveau système de paiement avec des sous-tâches. »
• « Décompose le ticket #789 en tâches plus petites. »
• « Génère des critères d'acceptation pour cette fonctionnalité. »

En savoir plus sur l'agent Planner Agent.

L'agent Security Analyst

Il trie les vulnérabilités, identifie les faux positifs et hiérarchise les risques de sécurité.

Exemples de prompts :

• « Trie toutes les vulnérabilités détectées lors du dernier scan. »
• « Quels résultats SAST sont des faux positifs ? »
• « Hiérarchise les problèmes de sécurité en fonction du risque réel. »

En savoir plus sur l'agent Security Analyst Agent.

L'agent Data Analyst

ll interroge, visualise et met en évidence les données à travers la plateforme de GitLab en utilisant GitLab Query Language (GLQL) pour fournir des informations exploitables sur vos projets et équipes.

Exemples de prompts :

• « Combien de merge requests ont été créées au cours du dernier trimestre ? »
• « Montre-moi sur quoi chaque membre de l'équipe a travaillé ce mois-ci. »
• « Quelles sont les tendances en matière de délais de résolution des tickets ? »
• « Trouve tous les tickets ouverts avec le label 'bug' dans mon projet. »
• « Génère une requête GLQL pour compter les merge requests par auteur. »

En savoir plus sur l'agent Data Analyst Agent.

Les agents personnalisables

Créez vos propres agents adaptés aux workflows et standards spécifiques de votre équipe.

Cas d'usage courants

• Agent chargé du dépannage et du débogage : il débogue les bogues logiciels et les régressions, et analyse les échecs de déploiement.
• Agent chargé de la documentation : il maintient la documentation conformément à vos conventions.
• Assistant chargé de l'intégration des équipes : il aide les nouveaux membres de l'équipe à se familiariser avec les pratiques spécifiques à l'entreprise.
• Moniteur de conformité : il veille au respect des exigences réglementaires.
• Agent d'assistance localisé : il trie les tickets d'assistance dans une langue localisée, par exemple le français.

Regardez l'enregistrement de la présentation des cas d'utilisation de la plateforme Duo Agent lors du GitLab DACH Roadshow Vienna 2025 :

🎯 Essayez maintenant : démo interactive des agents personnalisables. Explorez comment créer et configurer des agents personnalisés.

Comment créer un agent personnalisé ?

Les agents personnalisés sont configurés via les paramètres de votre projet ou de votre groupe. Le composant clé est le prompt système, qui définit le comportement et l'expertise de votre agent.

Exemple de prompt système de l'agent personnalisé devops-debug-failures-agent :

You are an expert in Dev, Ops, DevOps, and SRE, and can debug code and runtime failures.

Your speciality is that you can correlate static SDLC data with runtime data from CI/CD pipelines, logs, and other tool calls necessary.

Expect that the user has advanced knowledge, but always provide commands and steps to reproduce your analysis so they can learn from you.

Start with a short summary and suggested actions, and then go into detail with thoughts, analysis, suggestions.

Think creative and consider unknown unknowns in your debug journey.

Options de visibilité :

• Privé : il est visible uniquement par les membres du projet de gestion (rôle Developeur et niveau supérieur). Ne peut pas être activé dans d'autres projets.
• Public : il peut être visible par tous et activable dans tout projet répondant aux prérequis. Il apparaît dans le catalogue d'IA.
  

Guide de configuration complet disponible dans la documentation.

Bonnes pratiques

Conseils pour le prompt système :

• Soyez précis sur le rôle et les responsabilités de l'agent.
• Définissez des standards de qualité et des contraintes clairs.
• Incluez des exemples de résultats attendus.
• Gardez les prompts concentrés sur une tâche principale.

Commencez progressivement :

• Commencez par des autorisations en lecture seule.
• Testez minutieusement avant d'accorder un accès en écriture.
• Recueillez les retours de l'équipe et itérez.

Les agents externes

Les agents externes s'exécutent en arrière-plan sur la plateforme GitLab lorsqu'ils sont déclenchés par des mentions (par exemple, @ai-codex) ou des assignations dans des tickets et des merge requests. Contrairement aux agents de base et aux agents personnalisables qui fonctionnent de manière interactive dans le chat, les agents externes s'exécutent de manière asynchrone, permettant une automatisation puissante avec des fournisseurs d'IA spécialisés.

Gestion des identifiants : à partir de la disponibilité générale de GitLab Duo Agent Platform, les identifiants de connexion gérés par GitLab seront utilisés pour prendre en charge les agents externes, évitant aux clients d'avoir à gérer et faire pivoter eux-mêmes les clés API.

Quand utiliser les agents externes ?

• Vous avez besoin d'un comportement d'IA agentique spécifique ou de LLM pour des tâches spécialisées.
• Vous souhaitez une automatisation déclenchée par des événements (et non un chat interactif).
• Vous devez respecter des exigences spécifiques en matière de conformité ou de résidence des données.

Pourquoi utiliser les agents externes ?

• Exploiter des modèles d'IA spécialisés : accédez à des fonctionnalités spécifiques à certains fournisseurs comme l'analyse de code de Claude Code ou la délégation de tâches d'OpenAI Codex.
• Respecter les exigences de conformité : conservez les données auprès de fournisseurs d'IA approuvés pour respecter les politiques réglementaires ou de sécurité.
• Tester différents fournisseurs : testez différents comportements d'IA agentique et de LLM afin de trouver celui qui convient le mieux à vos workflows.
• Accéder à des fonctionnalités uniques : utilisez des outils spécifiques à certains fournisseurs comme l'analyse de code de Claude Code ou la délégation de tâches d'OpenAI Codex.

Exemple concret

Une équipe de développement utilise OpenAI Codex comme agent externe pour la revue de code. Lorsque les développeurs créent des merge requests, ils assignent Codex comme relecteur. L'agent :

1. Analyse les modifications apportées au code dans la merge request.
2. Vérifie les bonnes pratiques et les problèmes de qualité du code.
3. Suggère des améliorations et des optimisations.
4. Publie des commentaires de revue détaillés avec des recommandations spécifiques.
5. Fournit des liens vers la documentation pertinente.

Tout cela se produit automatiquement en arrière-plan pendant que le développeur continue à travailler, avec les résultats publiés directement dans la merge request.

Agents externes pris en charge

Les intégrations suivantes ont été testées et sont disponibles :

• Anthropic Claude : génération, revue et analyse de code
• OpenAI Codex : assistance au code alimentée par GPT

Exemple d'utilisation :

@ai-codex Please implement this issue

Cela déclenche un job d'exécution de runner qui exécute l'outil IA externe et publie les résultats dans GitLab.

Configuration des agents externes

Pour obtenir des instructions de configuration complètes incluant les comptes de service, les déclencheurs et des exemples de configuration, consultez notre documentation sur les agents externes.

Personnalisation du comportement des agents avec AGENTS.md

Personnalisez le comportement des agents à l'aide des fichiers AGENTS.md suivant le standard agents.md. Pour en savoir plus, consultez la Partie 8 : personnalisation de GitLab Duo Agent Platform : règles de chat, prompts et workflows.

Choisir le type d'agent le mieux adapté à vos cas d'usage

Résumé

GitLab Duo Agent Platform offre les types d'agents suivants :

• Agent de base : des agents prêts à l'emploi pour les tâches courantes (Chat, Planner, Security Analyst, Data Analyst)
• Agent personnalisable : des agents spécifiques à l'équipe qui peuvent être créés avec des prompts et comportements personnalisés
• Agent externe : des agents intégrés avec des outils IA externes

Commencez avec les agents de base, créez des agents personnalisés pour répondre aux besoins spécifiques de votre équipe et explorez les agents externes lorsque vous avez besoin de fournisseurs d'IA spécialisés.

Article suivant : Partie 4 : comprendre les flows

Article précédent : Partie 2 : démarrer avec GitLab Duo Agentic Chat

Les changements apportés

Conseils améliorés pour les tests

Nous mettons davantage l'accent sur les environnements de test locaux pour protéger à la fois les chercheurs et notre infrastructure de production. Nous recommandons fortement les tests locaux avec le GitLab Development Kit (GDK) pour la plupart des recherches en sécurité. Le GDK vous donne accès à des fonctionnalités de pointe avant leur publication et vous permet d'expérimenter sans devoir vous préoccuper de l'infrastructure de production.

Si vous devez démontrer l'impact d'une attaque par déni de service (DoS), nous vous recommandons de le tester sur une instance GitLab auto-gérée avec des spécifications et des ressources égales ou supérieures aux exigences d'installation des instances GitLab auto-gérées.

Pour les vulnérabilités qui requièrent l'architecture de production de GitLab.com, vous devez utiliser des comptes de test créés avec votre alias de courrier électronique HackerOne : yourhandle@wearehackerone.com.

Portée affinée pour une meilleure concentration

Nous avons clarifié plusieurs domaines de portée en fonction des retours de la communauté :

Les attaques par DoS sortent du champ d'application : des exceptions peuvent être envisagées pour les vulnérabilités DoS au niveau de l'application qui entraînent une interruption totale persistante du service et peuvent être exécutées via des points de terminaison non authentifiés (exemples : ReDoS, bombes logiques, etc.).

Injection de prompt : l'injection de prompt autonome sort du champ d'application, mais peut être admise si elle sert de vecteur initial pour causer un préjudice au-delà de sa limite de sécurité.

Métadonnées et énumération : la collecte générale d'informations sort du champ d'application, tandis que les violations de confidentialité exposant des données confidentielles tombent dans le champ d'application. Nous avons fourni de nouveaux exemples détaillés qui distinguent ces deux types de problèmes sur la page des politiques du programme.

Période de transition pour les chercheurs

Nous sommes conscients que les changements de politique peuvent créer de l'incertitude pour les chercheurs qui mènent des enquêtes actives. Pour préserver la confiance pendant cette transition et éviter d'interférer avec les importantes recherches déjà en cours :

• GitLab offre un délai de grâce de 7 jours pour les rapports DoS soumis avant le 22 janvier 2026 à 21 h 00, heure du Pacifique (23 janvier 2026 à 6 h 00, heure française). Les rapports soumis avant cette date seront évalués selon notre politique précédente.

Votre investissement dans la sécurité de GitLab nous tient à cœur, et nous nous engageons à honorer la politique dans le cadre de laquelle vous avez commencé votre recherche.

Notre engagement envers la communauté

Ces changements reflètent notre engagement profond envers la communauté des chercheurs à travers trois principes clés.

1. Nous mettons l'accent sur la transparence en établissant des limites plus claires et des critères objectifs qui réduisent l'ambiguïté et préviennent les différends.

2. Nous renforçons la sécurité grâce à des conseils améliorés sur la plateforme de test qui protègent à la fois les systèmes de production et les chercheurs contre les interruptions accidentelles de service.

3. Nous assurons l'équité grâce à des normes d'évaluation cohérentes et à des dispositions qui garantissent un traitement équitable pour tous les chercheurs, y compris ceux qui participent déjà au programme.

Les ajustements apportés à la portée contribuent également à la durabilité du programme, car ils concentrent les ressources sur les problèmes de sécurité à fort impact et maintiennent une couverture large.

Lancez-vous

Envie de contribuer à la sécurité de GitLab ?

• Nouveaux chercheurs : visitez notre page consacrée au programme HackerOne.
• Configurer des tests locaux : téléchargez le GitLab Development Kit.
• Examiner les politiques : consultez notre documentation complète pour obtenir des directives détaillées.
• Comprendre l'évaluation de la gravité : explorez notre calculateur CVSS.

Nous remercions la communauté des chercheurs dont l'engagement continu aide à maintenir la sécurité de GitLab. Votre expertise et votre dévouement font une réelle différence pour des millions d'utilisateurs dans le monde.

Des questions sur ces changements ? Contactez notre équipe en créant un ticket dans notre projet de questions HackerOne sur GitLab.

Qu'est-ce que GitLab Duo Agentic Chat ?

GitLab Duo Agentic Chat est votre interface principale où vous pouvez interagir avec des agents d'IA tout au long de votre workflow de développement. Contrairement aux chatbots classiques de type questions-réponses qui se contentent de répondre à des requêtes, GitLab Duo Agentic Chat est un partenaire de collaboration d'IA autonome capable d'agir en votre nom : il peut créer et modifier du code, ouvrir des merge requests, trier et mettre à jour des tickets/epics et exécuter des workflows avec un contexte complet de la plateforme SDLC, le tout en vous informant à chaque étape.

🎯 Essayez GitLab Duo Agent Platform dès aujourd'hui !

Capacités clés :

• Opérations sur le code : création de fichiers, modification de code, ouverture de merge requests.
• Analyse de projet : consultation des tickets, epics, merge requests, commits Git, pipelines CI/CD, analyses (GLQL) et scans de sécurité.
• Tâches opérationnelles : hiérarchisation, mise à jour ou création de tickets et d'epics, résolution des vulnérabilités, génération de documentation et de tests, correction des pipelines CI/CD en échec.
• Conscience du contexte : mémorisation de l'historique des conversations, compréhension de l'architecture du projet, recherche dans le code source, le wiki et la documentation de GitLab.
• Extensibilité : intégration avec des services externes via Model Context Protocol (MCP).
• Prise en charge de plusieurs agents : utilisation d'agents spécialisés pour différentes tâches.

🎯 Découvrez une démo interactive de GitLab Duo Agentic Chat et explorez l'interface de chat ainsi que ses fonctionnalités.

Accéder à GitLab Duo Agentic Chat

Fonctionnalités du panneau de l'interface utilisateur Web

• Panneau réduit : icône visible dans le coin supérieur droit
• Panneau ouvert : barre latérale déployée (~400px de largeur)
• Panneau maximisé : extension pour afficher des réponses détaillées

Sélection du modèle

Les grands modèles de langage (LLM) excellent dans différentes tâches et exigences en matière de connaissances. Choisissez le modèle approprié en fonction de vos besoins.

Niveaux de configuration

• Niveau du groupe : défini par le propriétaire du groupe, s'applique à tous les utilisateurs
• Niveau de l'utilisateur : contrôle individuel lorsque le groupe l'autorise

Sélection de l'agent

Les agents sont des partenaires de collaboration d'IA spécialisés dans des tâches spécifiques. Basculez entre les agents selon vos besoins :

Sélection de l'agent

Comment changer d'agent

1. Ouvrez GitLab Duo Agentic Chat.
2. IDE : cliquez sur le menu déroulant de l'agent (sous l'onglet de sélection du modèle).
3. Interface Web : ouvrez un nouveau chat.
4. Sélectionnez l'agent dont vous avez besoin.

Cas d'utilisation courants

Gestion et hiérarchisation des tickets

Pour la gestion des tickets et les workflows de planification, utilisez l'agent Planner, un agent spécialisé conçu pour les tâches de gestion de produit.

Exemples de prompts :

• « Répertorie tous les tickets ouverts avec les labels “bogue” et “priorité élevée” créés au cours des 30 derniers jours. »
• « Crée un ticket pour l'implémentation de l'authentification utilisateur avec OAuth2, inclus les critères d'acceptation et les exigences techniques. »
• « Analyse le ticket #456 et suggère des tickets connexes qui pourraient avoir la même cause profonde. »
• « Décompose l'epic #123 en tâches plus petites et indique une estimation de la complexité. »

Analyse et résolution des vulnérabilités

Pour les workflows de sécurité, utilisez l'agent Security Analyst, un agent spécialisé conçu pour la gestion et la résolution des vulnérabilités.

Exemples de prompts :

• « Montre-moi toutes les vulnérabilités critiques dans le dernier scan de pipeline. »
• « Classe toutes les vulnérabilités du dernier scan de sécurité et identifie lesquelles sont des faux positifs. »
• « Explique la vulnérabilité #789 en termes simples et montre-moi où elle se situe dans le code. »
• « Quelle est la correction recommandée pour la vulnérabilité d'injection SQL dans le point d'entrée de recherche utilisateur ? »
• « Crée une merge request pour corriger la vulnérabilité XSS trouvée dans src/components/UserProfile.vue. »

Compréhension et documentation du code

Obtenez des réponses sur votre code source sans avoir à rechercher manuellement dans les fichiers avec l'agent GitLab Duo.

Exemples de prompts :

• « Comment fonctionne le flux d'authentification dans cette application ? »
• « Trouve tous les endroits où la fonction sendEmail est appelée. »
• « Explique ce que fait la méthode calculateDiscount dans src/pricing/calculator.ts. »
• « Génère la documentation pour les points de terminaison API dans src/api/routes/. »
• « Quels design patterns sont utilisés dans le répertoire src/services/ ? »

Intégration à un nouveau projet

Mettez-vous rapidement à la page en cas de nouveau projet afin de comprendre son architecture, sa configuration et ses dépendances avec l'agent GitLab Duo.

Exemples de prompts :

• « Donne-moi un aperçu de l'architecture de ce projet et de ses composants principaux. »
• « Où est défini le schéma de base de données ? »
• « Comment configurer mon environnement de développement local ? »
• « Quelles sont les dépendances principales et à quoi servent-elles ? »

Débogage et dépannage de pipeline

Identifiez et résolvez rapidement les problèmes dans votre code et vos pipelines CI/CD grâce à l'analyse assistée par l'IA avec l'agent GitLab Duo.

Exemples de prompts :

• « Pourquoi le pipeline CI/CD échoue-t-il à l'étape de test ? »
• « Analyse les logs d'erreur du job #12345 et suggère des corrections. »
• « Pourquoi le pipeline #9876 a-t-il échoué ? Montre-moi les logs d'erreur du job de déploiement qui a échoué. »
• « L'application plante lors du traitement de fichiers volumineux. Aide-moi à déboguer cela. »
• « Examine les commits récents qui pourraient avoir causé la régression de performance. »
• « Comment puis-je optimiser le temps de build de ce pipeline ? »
• « Crée un nouveau job CI/CD pour exécuter des scans de sécurité sur chaque merge request. »

Revue de code et amélioration de la qualité

Bénéficiez d'une assistance d'IA durant les revues de code pour détecter les problèmes et améliorer la qualité du code avec un agent personnalisé entraîné sur les standards de codage et les bonnes pratiques de votre équipe.

Exemples de prompts :

• « Examine la merge request !234 pour détecter les bogues potentiels et les problèmes de sécurité. »
• « Suggère des optimisations de performance pour les requêtes de base de données dans cette merge request. »
• « Vérifie si la merge request !456 respecte nos standards de codage et nos bonnes pratiques. »
• « Identifie tout problème d'accessibilité dans les nouveaux composants d'interface. »

Implémentation de fonctionnalités

Accélérez le développement en générant du code, des tests et de la documentation avec l'agent GitLab Duo.

Exemples de prompts :

• « Crée un point de terminaison d'API REST pour l'inscription utilisateur avec validation. »
• « Génère des tests unitaires pour la classe OrderService avec une couverture de 80 %. »
• « Implémente la pagination pour la page de liste des produits. »
• « Ajoute la gestion d'erreurs et la journalisation à la fonctionnalité de téléchargement de fichiers. »

Refactorisation et amélioration du code

Modernisez et améliorez le code existant avec les conseils de l'IA en utilisant l'agent GitLab Duo.

Exemples de prompts :

• « Refactorise UserController en fonction des principes SOLID. »
• « Convertis ce fichier JavaScript en TypeScript avec des définitions de types appropriées. »
• « Suggère des améliorations pour faciliter le test de cette fonction. »
• « Identifie la duplication de code dans le répertoire src/utils/ et suggère comment la consolider. »
• « Modernise le projet de Java 8 vers Java 21. Suis les recommandations de l'epic 188. »
• « Crée un plan de migration pour moderniser le code mainframe COBOL, et évalue Java/Python. »

Dépannage

Des conseils de dépannage supplémentaires sont disponibles dans notre documentation.

Perspectives

GitLab Duo Agentic Chat est disponible dans les IDE et l'interface utilisateur de GitLab. Les prochaines versions fourniront la prise en charge du terminal avec GitLab Duo CLI, qui est actuellement en développement. Suivez l'epic produit pour obtenir plus d'informations.

Maintenant que vous avez découvert GitLab Duo Agentic Chat, explorez les différents types d'agents et apprenez à créer des agents personnalisés dans la Partie 3 : comprendre les agents. Découvrez les agents de base, créez des agents personnalisés pour votre équipe et intégrez des agents externes comme Claude Code et OpenAI Codex.

Ressources

• Documentation concernant GitLab Duo Agentic Chat
• Documentation concernant GitLab Duo Agent Platform

Article suivant : Partie 3 : comprendre les agents

Article précédent : Partie 1 : démarrer avec GitLab Duo Agent Platform

GitLab Duo Agent Platform représente un changement fondamental dans la façon dont les développeurs interagissent avec l'IA au cours du cycle de vie du développement logiciel. Axé non plus seulement sur le code et s'appuyant sur le contexte complet du SDLC, GitLab Duo Agent Platform permet à plusieurs agents d'IA spécialisés de travailler aux côtés de votre équipe, en gérant des tâches complexes de manière asynchrone tandis que vous vous concentrez sur l'innovation et la résolution de problèmes.

GitLab Duo Agent Platform transforme les workflows de développement linéaires traditionnels en systèmes de collaboration multi-agents dynamiques.

Qu'est-ce que GitLab Duo Agent Platform ?

GitLab Duo Agent Platform est une couche d'orchestration d'IA qui permet :

• La collaboration asynchrone entre les développeurs et les agents d'IA spécialisés
• Un contexte SDLC complet qui couvre le code, les tickets, les epics, les merge requests, les pipelines CI/CD, les wikis, les analyses et les scans de sécurité
• Des flows multi-agents où de nombreux agents collaborent en parallèle sur des tâches complexes
• Une automatisation intelligente qui comprend les normes, les pratiques et les exigences de conformité de votre organisation

Il s'agit d'assistants d'IA pour votre équipe qui peuvent prendre en charge des workflows entiers, car ils comprennent les exigences et créent des merge requests, tandis que vous maintenez une visibilité et un contrôle complets.

🧠 Essayez GitLab Duo Agent Platform dès aujourd'hui !

Architecture de GitLab Duo Agent Platform

GitLab Duo Agent Platform se compose de plusieurs composants interconnectés qui travaillent ensemble pour fournir une assistance d'IA complète. Le diagramme ci-dessous montre les méthodes d'interaction de l'utilisateur avec GitLab Duo Agent Platform. Il illustre les quatre façons dont les utilisateurs peuvent interagir avec les agents :

Comment les équipes interagissent avec GitLab Duo Agent Platform

Quatre façons d'utiliser les agents

1. GitLab Duo Agentic Chat : ouvrez le panneau de chat dans l'interface GitLab ou votre IDE pour engager des conversations interactives avec les agents fondamentaux et personnalisés. Sélectionnez parmi les modèles IA disponibles et obtenez une aide en temps réel.
2. Déclencher des flows personnalisés : mentionnez les flows dans les commentaires de tickets ou de merge requests, ou assignez des relecteurs pour déclencher automatiquement les flows personnalisés. Ceux-ci s'exécutent de manière asynchrone via l'exécution du runner.
3. Déclencher des flows par défaut : construits et maintenus par GitLab, notamment le flow Déveloper (développeur), le flow Code Review (revue de code), le flow Fix CI/CD Pipeline (correction de pipelines CI/CD), le flow Convert Jenkins to GitLab CI/CD (conversion de fichiers Jenkins en GitLab CI/CD), et le flow Software Development (développement logiciel).
4. Déclencher des agents externes : assignez ou mentionnez des agents d'IA externes (comme Claude Code ou OpenAI Codex) dans les commentaires de tickets ou de merge requests pour les déclencher automatiquement. Ceux-ci s'exécutent de manière asynchrone via l'exécution du runner.

Gestion et découverte

• Catalogue d'IA : parcourez, créez et partagez des agents et des flows dans votre organisation. Découvrez les agents et les flows créés par GitLab et votre équipe, puis ajoutez-les à vos projets. Vous pouvez également créer et publier vos propres agents et flows personnalisés et les mettre à disposition.
• Fonctionnalités d'automatisation : votre hub central où vous pouvez tout gérer. Affichez et gérez vos agents, configurez et surveillez les flows, examinez toutes les activités dans les sessions (y compris l'état du pipeline), et configurez des déclencheurs pour l'automatisation basée sur les événements.

Explorons brièvement chaque composant (nous les approfondirons dans les articles ultérieurs) :

GitLab Duo Agentic Chat

Votre interface principale pour interagir avec les agents. Disponible en tant que panneau persistant dans l'interface GitLab et dans votre IDE. Pour en savoir plus, consultez l'article Partie 2 : démarrer avec GitLab Duo Agentic Chat.

Agents

Les agents sont des assistants spécialisés alimentés par l'IA conçus pour gérer des tâches spécifiques tout au long de votre workflow de développement. Considérez-les comme des membres de votre équipe avec une expertise et des capacités uniques.

À propos des agents externes

Les agents externes s'exécutent en arrière-plan sur le calcul de la plateforme GitLab lorsqu'ils sont déclenchés par des mentions (par exemple, @ai-codex) ou des assignations dans les tickets et les merge requests. Contrairement aux agents par défaut et personnalisables qui utilisent des boucles de rétroaction synchrones, les agents externes s'exécutent de manière asynchrone, ce qui entraîne une automatisation puissante avec des fournisseurs IA spécialisés.

Les forces des agents

• Prompts spécialisés : chaque agent possède un prompt système unique qui définit son expertise, son comportement et son style de communication.
• Accès aux outils : les agents peuvent lire des fichiers, accéder aux tickets/merge requests/epics, rechercher du code, analyser les logs des tâches CI/CD et les rapports de vulnérabilité, et bien plus en fonction de leur configuration.
• Contexte du projet : ils ont accès aux tickets, merge requests, code, pipelines CI/CD et vulnérabilités de sécurité.

Pour plus d'informations, consultez la Partie 3 : comprendre les agents. Découvrez comment créer des agents personnalisés, intégrer des fournisseurs d'IA externes et configurer les prompts et les outils des agents pour les besoins spécifiques de votre équipe.

Flows

Les flows sont des workflows multi-étapes qui combinent plusieurs actions pour résoudre des problèmes complexes. Contrairement aux agents qui répondent à des questions, les flows exécutent des workflows complets de manière autonome via l'exécution du runner.

Les forces des flows

• Exécution multi-étapes : ils combinent plusieurs opérations en un seul workflow.
• Traitement asynchrone : ils s'exécutent en arrière-plan tandis que vous continuez à travailler.
• Accès complet au pipeline : ils s'exécutent via l'exécution du runner avec un contexte de projet complet.
• Déclenchement en fonction d'événements : ils sont déclenchés automatiquement en fonction d'événements GitLab

Pour plus d'informations, consultez la Partie 4 : comprendre les flows, y compris les workflows multi-agents.

Agents vs flows : quelle est la différence ?

Comprendre quand utiliser un agent plutôt qu'un flow est essentiel pour travailler efficacement avec GitLab Duo Agent Platform.

Guide de décision rapide

• Vous travaillez de manière interactive ou souhaitez des commentaires instantanés ? → Utilisez le chat
• Vous avez besoin d'automatisation en arrière-plan, de revues de merge requests ou de tâches complexes dans plusieurs fichiers ? → Utilisez les flows

Point essentiel

Les agents et les flows peuvent tous deux prendre des mesures et créer du code. La principale différence est la façon dont ils interagissent et s'exécutent : les agents communiquent de manière interactive dans votre interface de chat, tandis que les flows s'exécutent de manière asynchrone en arrière-plan sur le calcul de la plateforme.

Catalogue d'IA

Une bibliothèque centralisée où vous pouvez parcourir, découvrir, créer et partager des agents et des flows dans votre organisation. Vous retrouverez plus d'informations à ce sujet dans la Partie 5 : découvrir le catalogue d'IA.

Capacités d'automatisation

Votre hub pour gérer les workflows d'agents et de flows :

• Agents : affichez et gérez les agents de votre projet. Plus d'informations dans la Partie 3.
• Flows : affichez, créez et gérez les flows de votre projet. Plus d'informations dans la Partie 4.
• Sessions : logs d'activité des agents
• Déclencheurs : gestion de l'automatisation basée sur les événements pour les flows de votre projet

Comprendre les sessions

Chaque exécution d'agent et de flows crée une session qui enregistre les activités agentiques. Les sessions fournissent une transparence complète sur les événements, y compris le raisonnement de l'agent, les détails d'exécution, l'appel d'outils, les résultats et le suivi complet des décisions.

Pour afficher les sessions, accédez à votre projet > Automatiser > Sessions. Vous pourrez ensuite accéder à la console du pipeline pour voir les logs d'exécution détaillés.

Sélection du modèle

L'une des puissantes fonctionnalités de GitLab Duo Agent Platform est la capacité à choisir le modèle IA qui alimente votre conversation.

Disponible dans : GitLab 18.4 et versions ultérieures

Comment sélectionner le modèle :

1. Ouvrez GitLab Duo Agentic Chat.
2. Recherchez la liste déroulante des modèles.
3. Cliquez pour voir les modèles disponibles.
4. Sélectionnez le modèle qui convient le mieux à votre tâche.

Remarque : la sélection du modèle est actuellement disponible uniquement dans l'interface web. L'intégration IDE utilise le modèle par défaut sélectionné pour votre groupe.

Votre première interaction avec un agent

Découvrons une simple première interaction avec GitLab Duo Agentic Chat :

Exemple 1 : comprendre votre projet (agent)

Scénario : vous venez de rejoindre un projet et vous devez comprendre sa structure et son architecture.

Étapes :

1. Ouvrez le panneau GitLab Duo Chat (cliquez sur l'icône Duo en haut à droite).
2. Assurez-vous que le mode Agentique (version bêta) est activé.
3. Sélectionnez l'agent GitLab Duo (par défaut).
4. Saisissez : « Donne-moi un aperçu de l'architecture de ce projet ».
5. Appuyez sur Entrée.

Ce qui se passe :

L'agent :

• Analyse la structure de votre dépôt
• Examine votre README, l'organisation du code et la documentation
• Fournit un aperçu complet avec les composants clés

Vous pouvez poser des questions de suivi pour clarifier.

Exemple 2 : une merge request (flow)

Scénario : vous avez un ticket qui doit être résolu avec des modifications de code.

Étapes :

1. Ouvrez le ticket dans GitLab.
2. Cliquez sur le bouton Générer une MR avec Duo.
3. Une session d'agent démarre.
4. En quelques minutes, une merge request (MR) est créée avec :
   • Des modifications de code dans plusieurs fichiers
   • Un message de validation descriptif
   • Une explication des modifications dans la description de la merge request

Ce qui se passe :

Le flow Developer :

• Analyse le ticket
• Comprend la structure du dépôt, les modèles de conception et le contexte SDLC
• Effectue les modifications de code appropriées
• Ouvre une MR prête à être examinée

Questions fréquemment posées

Q : Mes conversations avec les agents sont-elles privées ?

R : Oui. Les conversations suivent les modèles de confidentialité et de sécurité standard de GitLab. En savoir plus.

Q : Puis-je utiliser GitLab Duo Agent Platform avec des modèles auto-hébergés ?

R : Oui. Cette approche requiert une configuration supplémentaire à partir de GitLab 18.8. Voir la documentation GitLab.

Perspectives

Maintenant que vous avez compris les bases de GitLab Duo Agent Platform, vous êtes prêt à approfondir chaque composant :

• Partie 2 : démarrer avec GitLab Duo Agentic Chat. Maîtrisez le panneau de chat persistant, découvrez les stratégies pour sélectionner un modèle, comprenez comment changer d'agent et utilisez le chat efficacement dans l'interface utilisateur web et tous les IDE pris en charge.
• Partie 3 : comprendre les agents. Explorez les agents par défaut construits par GitLab, créez des agents personnalisés avec des prompts spécialisés pour les workflows de votre équipe et intégrez les agents CLI externes de fournisseurs comme Claude Code et OpenAI Codex.
• Partie 4 : comprendre les flows. Découvrez comment les flows orchestrent plusieurs agents pour résoudre des problèmes complexes, créez des workflows personnalisés définis en YAML et exploitez les fournisseurs d'IA externes pour l'exécution de pipeline automatisée.
• Partie 5 : découvrir le catalogue d'IA. Parcourez le dépôt centralisé pour découvrir les agents et les flows créés par GitLab et la communauté, ajoutez-les à vos projets et publiez vos propres solutions pour que d'autres les utilisent.
• Partie 6 : surveiller, gérer et automatiser les workflows d'IA. Surveillez toutes les activités d'agents et de flows via les sessions, configurez les déclencheurs basés sur les événements pour automatiser les workflows et gérez tout votre écosystème de GitLab Duo Agent Platform à partir d'un seul endroit central.
• Partie 7 : intégrer le Model Context Protocol (MCP). Exploitez les capacités de GitLab Duo sur d'autres systèmes en vous connectant à des outils externes comme Jira, Slack et AWS via la norme MCP ouverte et autorisez les outils d'IA externes à accéder à vos données GitLab.
• Partie 8 : personnaliser GitLab Duo Agent Platform. Configurez des règles de chat personnalisées, créez des prompts système pour les agents, configurez les outils des agents, intégrez des systèmes externes avec MCP et personnalisez les flows en fonction des besoins spécifiques de votre équipe.

Ressources

• Documentation concernant GitLab Duo Agent Platform
• Site de GitLab Duo Agent Platform
• Forum de GitLab

Article suivant : Partie 2 : démarrer avec GitLab Duo Agentic Chat