Wir wissen, dass die Verwaltung von Breaking Changes bei einem Major-Upgrade aufwändig ist: Es erfordert Analyse und Koordination im gesamten Unternehmen. Als Reaktion darauf haben wir eine Genehmigungspflicht für Breaking Changes eingeführt, die eine Folgenabschätzung und die Freigabe durch die Führungsebene vorschreibt, bevor ein Breaking Change umgesetzt werden kann. Dieser Prozess zeigt Wirkung, und wir sind entschlossen, die Zahl weiter zu senken.

Im Folgenden sind alle Breaking Changes in GitLab 19.0 aufgeführt, geordnet nach Deployment-Typ und Auswirkung, zusammen mit den Migrationsschritten für ein reibungsloses Upgrade.

Deployment-Fenster

Folgende Deployment-Fenster sind relevant.

GitLab.com

Inkompatible Änderungen für GitLab.com sind auf diese zwei Fenster begrenzt:

• 4.–6. Mai 2026 (09:00–22:00 UTC) — primäres Fenster
• 11.–13. Mai 2026 (09:00–22:00 UTC) — Ausweichfenster

Viele weitere Änderungen werden im Laufe des Monats ausgerollt. Mehr zu den Breaking Changes innerhalb dieser Fenster in der Dokumentation zu Breaking-Change-Fenstern.

Hinweis: In Ausnahmefällen können Breaking Changes geringfügig außerhalb dieser Fenster fallen.

GitLab Self-Managed

GitLab 19.0 wird ab dem 21. Mai 2026 verfügbar sein.

Mehr zum Release-Zeitplan.

GitLab Dedicated

Das Upgrade auf GitLab 19.0 findet im zugewiesenen Wartungsfenster statt. Das Wartungsfenster ist im Switchboard-Portal einsehbar. GitLab Dedicated-Instanzen werden auf Release N-1 gehalten, das Upgrade auf GitLab 19.0 erfolgt daher im Wartungsfenster in der Woche ab dem 22. Juni 2026.

Auf der Deprecations-Seite ist die vollständige Liste der für GitLab 19.0 geplanten Entfernungen zu finden. Im Folgenden wird erläutert, was kommt und wie man sich je nach Deployment darauf vorbereitet.

Breaking Changes

Folgende Breaking Changes haben hohe Auswirkungen.

Hohe Auswirkung

1. NGINX Ingress-Unterstützung durch Gateway API mit Envoy Gateway ersetzt

GitLab Self-Managed (Helm chart)

Der GitLab Helm chart hat NGINX Ingress als Standard-Netzwerkkomponente gebündelt. NGINX Ingress hat im März 2026 das End-of-Life erreicht. GitLab wechselt nun zu Gateway API mit Envoy Gateway als neuem Standard.

Ab GitLab 19.0 werden Gateway API und das gebündelte Envoy Gateway zur Standard-Netzwerkkonfiguration. Falls eine Migration zu Envoy Gateway für das eigene Deployment nicht sofort möglich ist, kann das gebündelte NGINX Ingress explizit wieder aktiviert werden — es bleibt bis zur geplanten Entfernung in GitLab 20.0 verfügbar.

Diese Änderung betrifft nicht:

• Das im Linux-Paket enthaltene NGINX
• GitLab Helm chart- und GitLab Operator-Instanzen, die einen extern verwalteten Ingress- oder Gateway-API-Controller verwenden

GitLab stellt bis zur vollständigen Entfernung Best-Effort-Sicherheitswartung für den geforkten NGINX Ingress chart und die zugehörigen Builds bereit. Für einen reibungslosen Übergang empfiehlt sich eine frühzeitige Migration zur bereitgestellten Gateway-API-Lösung oder zu einem extern verwalteten Ingress-Controller.

Deprecation notice

2. Gebündelte PostgreSQL-, Redis- und MinIO-Komponenten aus dem GitLab Helm chart entfernt

GitLab Self-Managed (Helm chart)

Der GitLab Helm chart hat Bitnami PostgreSQL, Bitnami Redis und einen Fork des offiziellen MinIO-Charts gebündelt, um die Einrichtung von GitLab in Proof-of-Concept- und Testumgebungen zu erleichtern. Aufgrund von Änderungen bei Lizenzierung, Projektpflege und Verfügbarkeit öffentlicher Images werden diese Komponenten ohne Ersatz aus dem GitLab Helm chart und dem GitLab Operator entfernt.

Diese Charts sind ausdrücklich als nicht für den Produktionseinsatz geeignet dokumentiert. Ihr einziger Zweck war die Bereitstellung schneller Testumgebungen.

Wer eine Instanz mit gebündeltem PostgreSQL, Redis oder MinIO betreibt, muss vor dem Upgrade auf GitLab 19.0 der Migrationsanleitung folgen, um externe Dienste zu konfigurieren. Redis und PostgreSQL aus dem Linux-Paket sind von dieser Änderung nicht betroffen.

Deprecation notice

3. Resource Owner Password Credentials (ROPC) OAuth Grant entfernt

GitLab.com | Self-Managed | Dedicated

Die Unterstützung für den Resource Owner Password Credentials (ROPC) Grant als OAuth-Flow wird in GitLab 19.0 vollständig entfernt. Dies entspricht dem OAuth RFC Version 2.1-Standard, der ROPC aufgrund seiner inhärenten Sicherheitsschwächen entfernt.

GitLab hat seit dem 8. April 2025 bereits eine Client-Authentifizierung für ROPC auf GitLab.com vorgeschrieben. In Version 18.0 wurde eine Administrator-Einstellung hinzugefügt, die einen kontrollierten Opt-out vor der Entfernung ermöglicht.

Nach dem Upgrade auf 19.0 kann ROPC unter keinen Umständen mehr verwendet werden, auch nicht mit Client-Credentials. Alle Anwendungen oder Integrationen, die diesen Grant-Typ verwenden, müssen vor dem Upgrade auf einen unterstützten OAuth-Flow migrieren — beispielsweise den Authorization Code Flow.

Deprecation notice

4. PostgreSQL 16 nicht mehr unterstützt — PostgreSQL 17 ist das neue Minimum

GitLab Self-Managed

GitLab folgt einem jährlichen Upgrade-Rhythmus für PostgreSQL. In GitLab 19.0 wird PostgreSQL 17 zur Mindestanforderung, die Unterstützung für PostgreSQL 16 wird eingestellt.

PostgreSQL 17 ist ab GitLab 18.9 verfügbar und kann jederzeit vor dem 19.0-Release upgradet werden.

Bei Instanzen mit einer einzelnen, über das Linux-Paket installierten PostgreSQL-Instanz wird beim Upgrade auf 18.11 möglicherweise ein automatisches Upgrade auf PostgreSQL 17 durchgeführt. Für das Upgrade ist ausreichend freier Speicherplatz einzuplanen.

Bei Instanzen mit PostgreSQL Cluster oder solchen, die das automatische Upgrade deaktivieren, ist vor dem Upgrade auf GitLab 19.0 ein manuelles Upgrade auf PostgreSQL 17 erforderlich.

Deprecation notice | Upgrade-Anleitung

Mittlere Auswirkung

Folgende Breaking Changes haben mittlere Auswirkungen.

1. Linux-Paket-Unterstützung für Ubuntu 20.04 eingestellt

GitLab Self-Managed

Der Standard-Support für Ubuntu 20.04 endete im Mai 2025. Gemäß der Richtlinie für unterstützte Plattformen im Linux-Paket werden Pakete eingestellt, sobald ein Anbieter den Support für das Betriebssystem beendet.

Ab GitLab 19.0 werden keine Pakete mehr für Ubuntu 20.04 bereitgestellt. GitLab 18.11 ist das letzte Release mit Linux-Paketen für diese Distribution.

Wer GitLab derzeit auf Ubuntu 20.04 betreibt, muss vor dem Upgrade auf GitLab 19.0 auf Ubuntu 22.04 oder ein anderes unterstütztes Betriebssystem wechseln. Canonical stellt eine Upgrade-Anleitung für die Migration bereit.

Deprecation notice

2. Unterstützung für Redis 6 entfernt

GitLab Self-Managed

In GitLab 19.0 wird die Unterstützung für Redis 6 entfernt. Instanzen mit einem externen Redis-6-Deployment müssen vor dem Upgrade auf Redis 7.2 oder Valkey 7.2 migrieren; Valkey 7.2 ist ab GitLab 18.9 in der Beta verfügbar, die allgemeine Verfügbarkeit ist für GitLab 19.0 geplant.

Das im Linux-Paket enthaltene Redis verwendet seit GitLab 16.2 Redis 7 und ist nicht betroffen. Handlungsbedarf besteht nur bei Instanzen mit einem externen Redis-6-Deployment.

Migrationsressourcen für gängige Plattformen:

• AWS ElastiCache: Upgrade auf Redis 7.2 oder Valkey 7.2
• GCP Memorystore: Upgrade auf Redis 7.2 oder Valkey 7.2
• Azure Cache for Redis: Managed Redis 7.2 oder Valkey 7.2 ist auf Azure noch nicht verfügbar. Als Alternative kann ein selbstgehostetes Deployment auf Azure VMs oder AKS genutzt werden, oder die Linux-Paket-Installation, die Valkey 7.2 mit GitLab 19.0 GA unterstützen wird.
• Self-hosted: Upgrade der Redis-6-Instanz auf Redis 7.2 oder Valkey 7.2.

Deprecation notice | Anforderungsdokumentation

3. heroku/builder:22-Image durch heroku/builder:24 ersetzt

GitLab.com | Self-Managed | Dedicated

Das Cloud-Native-Buildpack (CNB) Builder-Image in Auto DevOps wurde auf heroku/builder:24 aktualisiert. Betroffen sind Pipelines, die das auto-build-image der Auto Build-Stage von Auto DevOps verwenden.

Die meisten Workloads sind nicht betroffen. Für einige Nutzende kann dies jedoch ein Breaking Change sein. Vor dem Upgrade sollten die Heroku-24-Stack-Release-Notes und Upgrade-Hinweise geprüft werden.

Wer nach GitLab 19.0 weiterhin heroku/builder:22 verwenden möchte, setzt die CI/CD-Variable AUTO_DEVOPS_BUILD_IMAGE_CNB_BUILDER auf heroku/builder:22.

Deprecation notice

4. Mattermost aus dem Linux-Paket entfernt

GitLab Self-Managed

In GitLab 19.0 wird das gebündelte Mattermost aus dem Linux-Paket entfernt. Mattermost wurde seit 2015 mit GitLab gebündelt, verfügt inzwischen aber über ausgereifte eigenständige Deployment-Optionen. Mit Mattermost v11 wurde zudem GitLab SSO aus dem kostenlosen Angebot entfernt, was den Mehrwert der gebündelten Integration verringert.

Wer das gebündelte Mattermost nicht verwendet, ist nicht betroffen. Bei Bedarf steht in der Mattermost-Dokumentation eine Anleitung zur Migration von GitLab Omnibus zu Mattermost Standalone zur Verfügung.

Deprecation notice

5. Linux-Paket-Unterstützung für SUSE-Distributionen eingestellt

GitLab Self-Managed

In GitLab 19.0 wird die Linux-Paket-Unterstützung für SUSE-Distributionen eingestellt. Betroffen sind:

• openSUSE Leap 15.6
• SUSE Linux Enterprise Server 12.5
• SUSE Linux Enterprise Server 15.6

GitLab 18.11 ist das letzte Release mit Linux-Paketen für diese Distributionen. Der empfohlene Weg ist eine Migration zu einem Docker-Deployment von GitLab auf der bestehenden Distribution — so ist kein Wechsel des Betriebssystems nötig, um weiterhin Upgrades zu erhalten.

Deprecation notice

Geringe Auswirkung

Folgende Breaking Changes haben geringe Auswirkungen.

1. Spamcheck aus Linux-Paket und GitLab Helm chart entfernt

GitLab Self-Managed

In GitLab 19.0 wird Spamcheck aus dem Linux-Paket und dem GitLab Helm chart entfernt. Es ist in erster Linie für große öffentliche Instanzen relevant — ein Sonderfall in der GitLab-Kundenbasis. Die Entfernung reduziert die Paketgröße und den Abhängigkeits-Footprint für die Mehrheit der Nutzenden.

Wer Spamcheck nicht verwendet, ist nicht betroffen. Wer das gebündelte Spamcheck nutzt, kann es separat über Docker bereitstellen. Eine Datenmigration ist nicht erforderlich.

Deprecation notice

2. Slack-Slash-Commands-Integration entfernt

GitLab Self-Managed | Dedicated

Die Slack-Slash-Commands-Integration wird zugunsten der GitLab for Slack-App eingestellt, die eine sicherere Integration mit denselben Funktionen bietet.

Ab GitLab 19.0 können Slack Slash Commands nicht mehr konfiguriert oder verwendet werden. Diese Integration existiert nur in GitLab Self-Managed und GitLab Dedicated — GitLab.com-Nutzende sind nicht betroffen.

Ob die eigene Instanz betroffen ist, lässt sich mit der Betroffenheitsprüfung feststellen.

Deprecation notice

3. Bitbucket-Cloud-Import über API unterstützt keine App-Passwörter mehr

GitLab.com | Self-Managed | Dedicated

Atlassian hat App-Passwörter (Benutzername-Passwort-Authentifizierung) für Bitbucket Cloud eingestellt und angekündigt, dass diese Authentifizierungsmethode ab dem 9. Juni 2026 nicht mehr funktioniert.

Ab GitLab 19.0 erfordert der Import von Repositories aus Bitbucket Cloud über die GitLab API User-API-Tokens anstelle von App-Passwörtern. Nutzende, die aus Bitbucket Server oder über die GitLab-Benutzeroberfläche aus Bitbucket Cloud importieren, sind nicht betroffen.

Deprecation notice | Betroffenheitsprüfung

4. Trending-Tab auf der Seite „Projekte erkunden" entfernt

GitLab.com | Self-Managed | Dedicated

Der Tab Trending unter Erkunden > Projekte und die zugehörigen GraphQL-Argumente werden in GitLab 19.0 entfernt. Der Trending-Algorithmus berücksichtigt nur öffentliche Projekte und ist daher für Self-Managed-Instanzen, die hauptsächlich interne oder private Projektsichtbarkeit verwenden, nicht zielführend.

Im Monat vor dem GitLab-19.0-Release wird der Tab Trending auf GitLab.com auf den Tab Aktiv, sortiert nach Sternen in absteigender Reihenfolge, weitergeleitet.

Ebenfalls entfernt: das trending-Argument in den GraphQL-Typen Query.adminProjects, Query.projects und Organization.projects.

Deprecation notice

5. Container-Registry-Speichertreiber-Updates

GitLab Self-Managed

Zwei ältere Container-Registry-Speichertreiber werden in GitLab 19.0 ersetzt:

• Azure-Speichertreiber: Der ältere azure-Treiber wird zu einem Alias für den neuen azure_v2-Treiber. Es ist keine manuelle Aktion erforderlich, eine proaktive Migration wird jedoch für verbesserte Zuverlässigkeit und Leistung empfohlen. Migrationsschritte sind in der Object-Storage-Dokumentation beschrieben. Deprecation notice
• S3-Speichertreiber (AWS SDK v1): Der ältere s3-Treiber wird zu einem Alias für den neuen s3_v2-Treiber. Der s3_v2-Treiber unterstützt Signature Version 2 nicht — eine vorhandene v4auth: false-Konfiguration wird transparent ignoriert. Vor dem Upgrade ist eine Migration auf Signature Version 4 erforderlich. Deprecation notice

6. ciJobTokenScopeAddProject-GraphQL-Mutation entfernt

GitLab.com | Self-Managed | Dedicated

Die ciJobTokenScopeAddProject-GraphQL-Mutation wird zugunsten von ciJobTokenScopeAddGroupOrProject eingestellt, das zusammen mit den CI/CD-Job-Token-Scope-Änderungen in GitLab 18.0 eingeführt wurde. Automatisierungen oder Tools, die die veraltete Mutation verwenden, müssen vor dem Upgrade aktualisiert werden.

Deprecation notice

7. ci_job_token_scope_enabled-Attribut der Projects API entfernt

GitLab.com | Self-Managed | Dedicated

Das Attribut ci_job_token_scope_enabled in der Projects REST API wird in GitLab 19.0 entfernt. Das Attribut wurde in GitLab 18.0 eingestellt, als die zugrundeliegende Einstellung entfernt wurde, und hat seitdem stets false zurückgegeben.

Zur Steuerung des CI/CD-Job-Token-Zugriffs werden die CI/CD-Job-Token-Projekteinstellungen verwendet.

Deprecation notice

8. Paginierungslimit für nicht authentifizierte Projects-API auf GitLab.com eingeführt

GitLab.com

Zur Sicherstellung der Plattformstabilität und konsistenten Leistung wird für alle nicht authentifizierten Anfragen an die Projects-List-REST-API auf GitLab.com ein maximales Offset-Limit von 50.000 eingeführt. Beispielsweise ist der page-Parameter bei 20 Ergebnissen pro Seite auf 2.500 Seiten begrenzt.

Workflows, die Zugriff auf mehr Daten benötigen, müssen keyset-basierte Paginierungsparameter verwenden. Dieses Limit gilt nur für GitLab.com. In GitLab Self-Managed und GitLab Dedicated ist das Offset-Limit standardmäßig deaktiviert und hinter einem Feature-Flag verfügbar.

Deprecation notice

Ressourcen zur Folgenabschätzung

GitLab stellt spezifische Tools bereit, mit denen sich die Auswirkungen der geplanten Änderungen auf die eigene GitLab-Instanz analysieren lassen. Nach der Folgenabschätzung empfiehlt sich die Prüfung der Migrationsschritte in der jeweiligen Dokumentation für einen reibungslosen Übergang zu GitLab 19.0.

GitLab Detective (nur Self-Managed): Dieses experimentelle Tool prüft eine GitLab-Installation automatisch auf bekannte Probleme, indem es Konfigurationsdateien und Datenbankwerte analysiert. Hinweis: Es muss direkt auf den GitLab-Nodes ausgeführt werden.

Nutzende mit einem kostenpflichtigen Plan, die Fragen haben oder Unterstützung bei diesen Änderungen benötigen, können ein Support-Ticket im GitLab Support-Portal eröffnen.

Kostenlose GitLab.com-Nutzende können zusätzlichen Support über Community-Ressourcen wie die GitLab-Dokumentation, das GitLab Community Forum und Stack Overflow erhalten.

Im Rahmen dieser Partnerschaft automatisiert GitLab Duo Agent Platform die Orchestrierung und den Lifecycle-Kontext der Softwareentwicklung – über die Integration mit Vertex AI auf Google Cloud, das die Modellebene für Agent-Aufrufe bereitstellt. Softwareteams arbeiten weiterhin mit Issues, Merge Requests, Pipelines und Security-Workflows, während die Inferenz der Google Cloud-Konfiguration folgt, die bereits definiert wurde.

Fortschritte bei den Vertex AI-Modellen von Google Cloud erweitern die Einsatzmöglichkeiten von GitLab Duo Agent Platform. Kunden erhalten eine KI-gestützte DevSecOps-Steuerungsebene in GitLab, gestützt auf eine leistungsfähige KI-Infrastruktur in Vertex AI und die flexiblen Deployment- und Integrationsoptionen von Duo Agent Platform. In Kombination ermöglicht das leistungsfähigere, kontrollierte agentenbasierte Workflows im Enterprise-Maßstab.

Agenten über den gesamten Lifecycle hinweg

Viele KI-Tools konzentrieren sich auf eine einzelne Aufgabe: Code schneller generieren. GitLab Duo Agent Platform geht weiter. Die Plattform orchestriert KI-Agenten über den gesamten Software Development Lifecycle (SDLC) – von der Planung über das Security-Review bis zur Auslieferung, teamübergreifend und über viele Projekte und Releases hinweg. In diesem Maßstab sind KI-Coding-Assistenten zwar notwendig für kontinuierliche Innovation, aber nicht ausreichend.

Einzelne Coding-Assistenten erfassen selten den vollständigen Zustand eines Projekts. Backlog-Strukturen, offene Merge Requests, fehlgeschlagene Jobs und Sicherheitsbefunde befinden sich in GitLab – aber ein separates Chat-Fenster in einem Coding-Assistenten übernimmt dieses Gesamtbild des SDLC nicht. Die Lücke zeigt sich in manuellen Übergaben, wiederholten Erklärungen an eine KI ohne Kontext und Governance-Teams, die Datenflüsse über Tools hinweg nachvollziehen müssen, die nie als einheitliches System konzipiert wurden.

GitLab Duo Agent Platform schließt diese Lücke, indem Agenten und Flows auf denselben Objekten arbeiten, die Entwicklungsteams täglich nutzen. Vertex AI liefert dabei die Modelle und Services, die diese Agenten aufrufen, wenn Google Cloud als Inferenz-Umgebung gewählt wird – wobei GitLabs AI Gateway den Zugriff vermittelt, sodass Administratoren jederzeit nachvollziehen können, was womit verbunden ist. So analysiert beispielsweise der GitLab Duo Planner Agent Backlogs, gliedert Epics in strukturierte Aufgaben und wendet Priorisierungs-Frameworks an, um Teams bei der Entscheidung zu unterstützen, was als Nächstes umgesetzt werden soll. Der Security Analyst Agent priorisiert Schwachstellen, beschreibt Risiken in verständlicher Sprache und empfiehlt Behebungsmaßnahmen in priorisierter Reihenfolge. Integrierte Flows verbinden diese Agenten zu durchgängigen Prozessen, ohne dass Entwicklungsteams jeden Übergabeschritt manuell steuern müssen.

Agentic Chat in GitLab Duo Agent Platform verbindet das Gesamterlebnis für Entwicklungsteams. Abfragen in natürlicher Sprache liefern kontextbezogene Antworten mit mehrstufigem Reasoning, das auf den vollständigen Projektzustand zugreift: Issues, Merge Requests, Pipelines, Sicherheitsbefunde und Codebase. Da GitLab als System of Record für den SDLC mit einem einheitlichen Datenmodell dient, arbeiten GitLab Duo-Agenten mit Lifecycle-Kontext, der über die Reichweite eigenständiger, toolspezifischer KI-Assistenten hinausgeht.

Verstärkt durch Vertex AI

GitLab Duo Agent Platform ist modellflexibel konzipiert und leitet verschiedene Aufgaben an verschiedene Modelle weiter – je nachdem, welches Modell für die jeweilige Aufgabe am besten geeignet ist. Diese Architekturentscheidung zahlt sich auf Google Cloud aus, wo Vertex AI als verwaltete Umgebung für Foundation Models und zugehörige Services fungiert und ein breites Modell-Ökosystem sowie verwaltete Infrastruktur bereitstellt, die die Plattformfähigkeiten erweitert.

Die neuesten Generationen von KI-Modellen, die über Vertex AI verfügbar sind, bieten deutliche Verbesserungen bei Reasoning, Tool-Nutzung und Long-Context-Verständnis gegenüber früheren Versionen – genau die Eigenschaften, auf die GitLabs Agenten bei der Arbeit mit vielen Projekten und Teams mit großen, komplexen Codebases angewiesen sind. Längere Kontextfenster und umfangreichere Tool-Integration in den zugrunde liegenden Modellen erweitern das, was Agenten in einem einzigen Durchlauf erreichen können – besonders relevant bei Aufgaben wie einer umfassenden Backlog-Analyse oder dem Security-Review von Monorepos.

Vertex AI Model Garden bietet mit Zugang zu einer breiten Palette von Foundation Models die nötige Auswahl, um Entscheidungen auf Basis von Leistung, Kosten und regulatorischen Anforderungen zu treffen – statt an einen einzelnen Anbieter gebunden zu sein.

Darüber hinaus können GitLab-Kunden Bring Your Own Model (BYOM) für Duo Agent Platform nutzen, sodass zugelassene Anbieter und Gateways dort eingebunden werden, wo das eigene Sicherheitsmodell es vorsieht. In GitLabs Beitrag zum 18.9-Release über Self-Hosted Duo Agent Platform und BYOM wird beschrieben, wie diese Anbindung funktioniert. Mit dieser Deployment-Option erhalten Kunden Zugang zu einem breiteren Spektrum an Modelloptionen, die sich auf den eigenen Entwicklungsprozess zuschneiden lassen: das richtige Modell für den richtigen Workflow mit den richtigen Leitplanken.

Für GitLab war die Entscheidung, auf Vertex AI zu bauen, von der Anforderung an Enterprise-taugliche Zuverlässigkeit und breite Modellverfügbarkeit getrieben. Vertex AI und Model Garden abstrahieren das LLM-Hosting vollständig – das bedeutet schnelle Versionsbereitstellung, robuste Sicherheit und strikte Governance sind in die Integration eingebaut. Über Gemini-Modelle hinaus bietet Vertex AI globalen, latenzarmen Zugang zu einem umfangreichen Katalog von Drittanbieter- und Open-Source-Modellen.

In Kombination mit Google Clouds Ansatz für Datenschutz und Modellschutz war Vertex AI die passende Wahl, um GitLabs Developer Experience der nächsten Generation zu unterstützen.

Durch die Integration von Vertex AI Model Garden in das Backend erweitert GitLab seine DevSecOps-Plattform, ohne den Nutzenden zusätzliche Komplexität aufzubürden. Entwicklungsteams müssen die zugrunde liegenden LLMs weder evaluieren noch verwalten – stattdessen nutzen sie einen optimierten, KI-gestützten Workflow für die Entwicklung ihrer Anwendungen.

GitLab abstrahiert die Cloud-Orchestrierung vollständig, sodass sich Entwicklungsteams ganz auf das Schreiben von Code konzentrieren können, während Vertex AI die unterstützenden Features und Funktionen bereitstellt.

Was das für Kunden auf Google Cloud bedeutet

GitLab Duo Agent Platform liefert bereits heute KI-Agenten, die über den gesamten Software-Lifecycle hinweg innerhalb eines einzigen, kontrollierten System of Record arbeiten. Auf Google Cloud ermöglicht das schnelle Innovation, während Vertex AI die Modell- und Infrastrukturebene kontinuierlich weiterentwickelt.

Für Google Cloud-Kunden bedeutet diese Integration eine optimierte Softwarebereitstellung bei gleichzeitig strikter Enterprise-Governance. Für Platform-Engineering-Teams bedeutet es, zu standardisieren, welche Vertex-gestützten Modelle Vorschläge, Analysen und Behebungen innerhalb von GitLab bereitstellen – statt Dutzende clientseitiger Tools zu katalogisieren. Sicherheitsprogramme profitieren, wenn Agenten Fixes dort vorschlagen und validieren, wo Entwicklungsteams bereits Befunde bearbeiten, was Kontextwechsel reduziert und Arbeit vermeidet, die sonst in nicht verwaltete Kanäle abfließen würde.

Aus Sicht der Cloud-Ökonomie und -Governance sorgt die Steuerung der Agent-Inferenz über Vertex innerhalb von GitLab dafür, dass die Nutzung näher an den bestehenden Vereinbarungen und Kontrollen auf Google Cloud bleibt – das hilft, doppelte Ausgaben und Schattenpfade zu vermeiden, die am Einkauf vorbeilaufen.

Da Vertex AI als zugrunde liegender Infrastrukturanbieter für GitLab Duo Agent Platform dient, können Unternehmen die Produktivität ihrer Entwicklungsteams deutlich steigern – ohne den Overhead und das Risiko fragmentierter KI-Toolchains. Teams bleiben innerhalb eines einzigen, sicheren System of Record abgestimmt und können Anwendungen schneller entwickeln und mit Zuversicht ausliefern.

Die Zusammenarbeit zwischen GitLab und Google Cloud besteht seit 2018. Heute stellt sie einen der umfassendsten Wege dar, um von KI-Experimenten zu vollständig kontrollierter, agentenbasierter Softwareentwicklung auf Google Cloud zu gelangen. Da sich beide Plattformen kontinuierlich weiterentwickeln – GitLab mit erweiterter Agent-Orchestrierung und Developer-Kontext, Vertex AI mit weiter steigender Modellleistung und Agent-Infrastruktur – wird der Mehrwert für gemeinsame Kunden weiter wachsen.

Starte eine kostenlose Testversion von GitLab Duo Agent Platform, um GitLab und Vertex AI auf Google Cloud kennenzulernen.

Die diesjährige Bewertung ist aus einem konkreten Grund bemerkenswert: Omdia hat die Bewertungskriterien erweitert und erstmals KI-Entwicklungstools nach ihrer Abdeckung des gesamten Software-Lifecycles bewertet – nicht nur nach Programmierfähigkeiten. Dieser Wandel spiegelt die aktuelle Entwicklung im KI-Bereich wider und hat die Rangfolge der Anbieter neu geordnet.

Den vollständigen Omdia Universe Report herunterladen.

Über Omdia Universe

Das Omdia Universe ordnet Anbieter nach Solution Capability sowie Strategy and Execution in drei Kategorien ein: Leaders (stärkste Positionierung auf beiden Achsen, für jede Shortlist empfohlen), Challengers (geringerer Funktionsumfang oder geringere Reife) und Prospects (frühe Phase oder angrenzende Anwendungsbereiche).

Was ist in der diesjährigen Bewertung anders?

Die Erweiterung der Omdia-Kriterien spiegelt wider, was Entwicklungsteams in der Praxis bereits erleben. KI-Programmierwerkzeuge haben die Entwicklerleistung deutlich gesteigert, und Anwendungen, deren Entwicklung früher Wochen dauerte, lassen sich heute in einem Bruchteil der Zeit als Prototyp umsetzen. Beschleunigung beim Programmieren führt jedoch nicht automatisch zu schnellerer Auslieferung. Review-Backlogs wachsen. Sicherheitsbefunde häufen sich an. Deployments erfordern weiterhin die Koordination zwischen Teams, die mit Tools arbeiten, die nicht aufeinander abgestimmt wurden.

Omdia hat diese Dynamik direkt erfasst: Die Plattformen, die sich absetzen, decken Testing, Security, Deployment und Orchestrierung ab – nicht nur Code-Generierung. Dieser Befund war ausschlaggebend für die Erweiterung der Bewertungskriterien und hat Leaders von Challengers unterschieden.

Eine weitere wesentliche Neuerung in diesem Jahr betrifft die Behandlung von agentischer KI. Die Bewertung 2026 gewichtet agentische Fähigkeiten als aktuelle Bewertungsdimension – nicht als Zukunftsperspektive. Berücksichtigt wird dabei, ob eine Plattform mehrere Aufgaben autonom koordinieren, Übergaben zwischen spezialisierten Agenten orchestrieren und Teams in unterschiedlichen Phasen der Agentenadoption unterstützen kann.

GitLabs Bewertungen im Überblick

GitLab erzielte Spitzenwerte in drei Kategorien:

Solution Breadth: 100 %. Diese Kategorie bewertet, wie viele Phasen des Software-Lifecycles eine Plattform abdeckt. GitLab erzielt hier den Höchstwert: Die Plattform deckt den gesamten SDLC ab – von Planung und Anforderungen bis zu Deployment und Issue-Management, einschließlich Lifecycle-Phasen, die die meisten KI-Programmierwerkzeuge nicht erreichen. Vorgefertigte Agenten wie Planner Agent und Security Analyst Agent erweitern die KI-Unterstützung auf Sprint-Planung, Vulnerability-Triage und Behebungsempfehlungen – genau die Bereiche des Lifecycles, in denen Auslieferungen ins Stocken geraten.

Strategy and Innovation: 88 %. Hier bewertet Omdia, wie Anbieter ihre Plattform langfristig positionieren und weiterentwickeln. GitLab differenziert durch End-to-End-Orchestrierung, Privacy-first-Architektur ohne Training auf privaten Daten und Multi-Modell-Unterstützung durch Partnerschaften mit Anthropic, Google und AWS. Teams können Modelle je nach Workload und Datenanforderungen auswählen. Der Ansatz der Plattform für einheitlichen Kontext – bei dem Agenten übergreifend an Issues, Merge Requests, Pipelines und Security-Findings zusammenarbeiten, ohne den Zustand zu verlieren – steht beispielhaft für die architektonische Innovation, die Omdia in dieser Kategorie bewertet hat.

Core Features: 82 %. Diese Kategorie erfasst die Tiefe der Kernfunktionen, auf die Entwicklungsteams im Tagesgeschäft angewiesen sind. Code wird mit Echtzeit-Kontext aus IDE und Codebase generiert, über Unit-, Integrations- und Security-Dimensionen getestet und mit integrierter Priorisierung reviewt. Die DevOps-Automatisierung übernimmt CI/CD, GitOps und Root-Cause-Analyse bei Pipeline-Fehlern. Das AI Impact Dashboard bietet Teams messbare Transparenz über Cycle Times, Deployment-Frequenz und die tatsächlichen Auswirkungen von KI auf die Produktivität.

Für Extended Features (80 %) und Vendor Execution (88 %) erhielt GitLab ebenfalls erstklassige Bewertungen.

Die veränderte Rolle von Entwicklungsteams und KI-Agenten

Zu den substanziellen Erkenntnissen des Omdia-Berichts gehört die sich verändernde Rolle der Softwareentwicklung neben diesen Werkzeugen. Entwicklungsteams bestehen zunehmend aus KI-Ingenieuren und ihren KI-Agenten, wobei die Ingenieure die agentische KI überwachen und steuern. Da KI-Codierung den Großteil des Codes generiert, verlagert sich die menschliche Arbeit darauf, sicherzustellen, dass technologische Anforderungen tatsächlich erfüllt werden, Qualität zu überwachen, geeignete Schutzmechanismen zu etablieren, autonome Produktionspipelines zu gestalten und zwischen Geschäftszielen und dem Einsatz agentischer KI im gesamten Software-Lifecycle zu vermitteln.

Dieser Wandel hat Auswirkungen darauf, wie Unternehmen ihre KI-Investitionen bewerten. Ein Team, das die Code-Generierung automatisiert hat, Review, Testing und Deployment aber weiterhin manuell abwickelt, hat die Softwareentwicklung noch nicht grundlegend beschleunigt. Der Produktivitätsgewinn durch schnelleres Programmieren verstärkt sich, wenn der übrige Lifecycle mithalten kann – und er schwindet, wenn er es nicht kann, da sich die Engpässe nur nachgelagert verschieben.

Enterprise-Anforderungen als Grundvoraussetzung

Bemerkenswert an der Struktur der diesjährigen Omdia-Bewertung: Enterprise-Kontrollen und Schutzmechanismen sind keine Bonuskategorie mehr. Compliance-Zertifizierungen, Deployment-Flexibilität und Datenschutzarchitektur gelten als Grundvoraussetzungen für Plattformen auf Leader-Niveau – nicht als Differenzierungsmerkmale. Unternehmen in regulierten Branchen und solche mit Datensouveränitätsanforderungen gewichten diese Faktoren bereits als Einstiegskriterien.

GitLabs Positionierung in diesen Bereichen hebt sich im Markt ab: SOC 2- und ISO 27001-zertifizierte Plattform, Privacy-first-Design ohne Training auf privaten Kundendaten für die agentischen KI-Fähigkeiten, Self-Managed-Deployment-Unterstützung für Cloud und On-Premises (einschließlich Air-Gapped-Umgebungen) sowie Unterstützung für selbstgehostete KI-Modelle. Die Nutzung als Single-Tenant-SaaS-Anwendung über GitLab Dedicated – mit FedRAMP Moderate Authorization über GitLab Dedicated for Government – ergänzt die Deployment-Flexibilität.

Der Omdia-Bericht hat diese Eigenschaften nicht als Funktionsliste bewertet, sondern als Nachweis der Plattformreife für Unternehmen mit den höchsten Compliance-Anforderungen: Finanzdienstleistungen, öffentlicher Sektor, Gesundheitswesen und weitere regulierte Branchen, für die Datenhoheit und Auditierbarkeit nicht verhandelbar sind.

Reifegrad in der Softwareentwicklung einordnen

Für Teams, die ihren KI-Entwicklungsansatz aktiv evaluieren, ist die Empfehlung von Omdia eindeutig: GitLab gehört auf jede Shortlist.

Die entscheidendere Frage für Engineering-Verantwortliche ist nicht, welches KI-Werkzeug den besten Code generiert. Ausschlaggebend ist, ob der generierte Code mit dem erforderlichen Qualitäts-, Sicherheits- und Leistungsniveau in Produktion gebracht werden kann. Er muss von den verantwortlichen Teams verstanden, gesteuert und gewartet werden können. Mit GitLab überträgt sich die Geschwindigkeit beim Programmieren auf den gesamten Entwicklungsprozess.

Wer den Reifegrad der eigenen Organisation in der Softwareentwicklung einordnen möchte, erhält in den Assessments für KI-Modernisierung, DevOps-Modernisierung und Security-Modernisierung eine personalisierte Bewertung und konkrete nächste Schritte.

Den vollständigen Omdia Universe Report herunterladen.

Für Engineering-Leads und Entscheidungsträger: Konzept, Anwendungsfälle und Architekturprinzipien. Konfigurationsdetails folgen in Abschnitt 2.

Die meisten CI/CD-Werkzeuge können einen Build ausführen und ein Deployment anstoßen. Der Unterschied zeigt sich erst dann, wenn die Delivery-Anforderungen komplexer werden: ein Monorepo mit einem Dutzend Services, Microservices über mehrere Repositories verteilt, Deployments in Dutzende von Umgebungen gleichzeitig – oder ein Platform-Team, das organisationsweite Standards durchsetzen will, ohne dabei zum Engpass zu werden.

GitLabs Pipeline-Modell wurde für genau diese Komplexität entwickelt. Parent-Child-Pipelines, DAG-Execution, dynamische Pipeline-Generierung, Multi-Project-Trigger, Merge-Request-Pipelines mit Merged-Results-Verarbeitung und CI/CD Components lösen jeweils eine eigene Klasse von Problemen. Da sich diese Bausteine kombinieren lassen, erschließt das vollständige Modell mehr als nur kürzere Pipeline-Laufzeiten.

Dieser Artikel beschreibt die fünf Muster, bei denen das Modell seine Stärken deutlich zeigt – jeweils zugeordnet zu einem konkreten Engineering-Szenario. Konfigurationen und Implementierungsdetails folgen in Abschnitt 2.

1. Monorepos: Parent-Child-Pipelines und DAG-Execution

Das Problem: Ein Monorepo enthält Frontend, Backend und Dokumentation. Jeder Commit löst einen vollständigen Rebuild aller Komponenten aus – auch wenn sich nur eine README-Datei geändert hat.

GitLab kombiniert zwei sich ergänzende Mechanismen: Parent-Child-Pipelines ermöglichen es einer übergeordneten Pipeline, isolierte Child-Pipelines zu starten. DAG-Execution via needs bricht die starre Stage-Reihenfolge auf und startet Jobs, sobald ihre Abhängigkeiten abgeschlossen sind – nicht erst, wenn alle Jobs einer Stage fertig sind.

Eine Parent-Pipeline erkennt, welche Teile des Repos sich geändert haben, und löst ausschließlich die betroffenen Child-Pipelines aus. Jeder Service verwaltet seine eigene Pipeline-Konfiguration; Änderungen in einem Service können keine anderen beeinflussen. Damit bleibt die Komplexität beherrschbar, während das Repository und das Team wachsen.

Einen technischen Aspekt gilt es dabei zu kennen: Wenn mehrere Dateien an einen einzelnen trigger: include:-Block übergeben werden, fusioniert GitLab sie zu einer einzigen Child-Pipeline-Konfiguration. Jobs aus diesen Dateien teilen denselben Pipeline-Kontext und können sich gegenseitig per needs: referenzieren – das ist die Voraussetzung für die DAG-Optimierung. Werden die Dateien stattdessen auf separate Trigger-Jobs aufgeteilt, entsteht jeweils eine isolierte Pipeline, und dateiübergreifende needs:-Referenzen funktionieren nicht.

In großen Monorepos lassen sich Pipeline-Laufzeiten durch DAG-Execution deutlich reduzieren, da Jobs nicht mehr auf unabhängige Arbeitsschritte in derselben Stage warten.

2. Microservices: Cross-Repo-Pipelines über mehrere Projekte

Das Problem: Frontend und Backend leben in separaten Repositories. Wenn das Frontend-Team eine Änderung ausliefert, ist nicht erkennbar, ob sie die Backend-Integration beeinträchtigt – und umgekehrt.

Multi-Project-Pipelines ermöglichen es, aus einem Projekt heraus eine Pipeline in einem anderen Projekt auszulösen und auf das Ergebnis zu warten. Das auslösende Projekt sieht die verknüpfte Downstream-Pipeline direkt in seiner eigenen Pipeline-Ansicht.

In der Praxis erstellt die Frontend-Pipeline ein API-Contract-Artifact und veröffentlicht es, bevor die Backend-Pipeline ausgelöst wird. Das Backend ruft dieses Artifact über die Jobs API ab und validiert es, bevor weitere Schritte erlaubt sind. Wird eine Breaking Change erkannt, schlägt die Backend-Pipeline fehl – und mit ihr die Frontend-Pipeline. Probleme, die bisher erst in der Produktion sichtbar wurden, werden damit im Pipeline-Prozess abgefangen. Die Abhängigkeit zwischen Services wird sichtbar, nachvollziehbar und aktiv verwaltbar.

Cross-project pipelines

3. Multi-Tenant/Matrix-Deployments: Dynamische Child-Pipelines

Das Problem: Dieselbe Anwendung wird in 15 Kundenumgebungen, drei Cloud-Regionen oder den Stages Dev/Staging/Prod deployed. Manuelle Anpassungen je Umgebung führen zu Konfigurationsdrift. Eine separate Pipeline pro Umgebung ist von Anfang an nicht wartbar.

Dynamische Child-Pipelines generieren die Pipeline-Struktur zur Laufzeit. Ein Job führt ein Skript aus, das eine YAML-Datei erzeugt – und diese YAML-Datei wird zur Pipeline für den nächsten Schritt. Die Pipeline-Struktur selbst wird damit zu Daten.

Das Generierungsskript iteriert über eine ENVIRONMENTS-Variable, statt jede Umgebung fest zu kodieren. Eine neue Umgebung lässt sich durch Anpassen der Variable hinzufügen – ohne Änderungen an der Pipeline-Konfiguration selbst. Trigger-Jobs erben mit extends: eine gemeinsame Template-Konfiguration, sodass strategy: depend einmal definiert und nicht für jeden Trigger-Job wiederholt wird. Ein when: manual-Gate für das Produktions-Deployment ist direkt in den Pipeline-Graph integriert.

Platform-Teams nutzen dieses Muster, um Dutzende von Umgebungen zu verwalten, ohne Pipeline-Logik zu duplizieren.

4. MR-First-Delivery: Merge-Request-Pipelines, Merged-Results und Workflow-Routing

Das Problem: Die Pipeline läuft bei jedem Push auf jeden Branch. Aufwändige Tests werden auf Feature-Branches ausgeführt, die nie gemergt werden. Gleichzeitig gibt es keine Garantie, dass das Getestete dem entspricht, was nach dem Merge auf main tatsächlich landet.

GitLab kombiniert drei ineinandergreifende Mechanismen: Merge-Request-Pipelines laufen ausschließlich dann, wenn ein Merge Request existiert – nicht bei jedem Branch-Push. Allein dadurch entfällt ein erheblicher Anteil unnötiger Compute-Ausführungen. Merged-Results-Pipelines gehen einen Schritt weiter: GitLab erstellt einen temporären Merge-Commit aus dem Branch und dem aktuellen Ziel-Branch und führt die Pipeline dagegen aus. Getestet wird damit das tatsächliche Ergebnis des Merges – nicht der Branch in Isolation. Workflow-Rules definieren schließlich, welcher Pipeline-Typ unter welchen Bedingungen ausgeführt wird. Die $CI_OPEN_MERGE_REQUESTS-Guard verhindert dabei, dass für einen Branch mit offenem MR doppelte Pipelines ausgelöst werden.

Das Ergebnis ist ein Pipeline-Verhalten, das sich je nach Kontext unterscheidet: Ein Push auf einen Feature-Branch ohne offenen MR führt nur Lint und Unit-Tests aus. Sobald ein MR geöffnet wird, wechseln die Workflow-Rules auf eine MR-Pipeline mit der vollständigen Test-Suite gegen das Merged-Result. Ein Merge auf main stellt ein manuelles Produktions-Deployment in die Warteschlange. Der Nightly-Scan läuft einmalig als geplante Pipeline – nicht bei jedem Commit.

Merged-Results-Pipelines fangen dabei die Klasse von Fehlern ab, die erst nach einem Merge sichtbar werden – bevor sie main erreichen.

5. Governed Pipelines: CI/CD Components

Das Problem: Das Platform-Team hat den richtigen Weg für Build, Test und Deploy definiert. Jedes Anwendungsteam pflegt jedoch eine eigene .gitlab-ci.yml mit subtilen Abweichungen. Security-Scanning wird übersprungen. Deployment-Standards driften. Audits werden aufwändig.

CI/CD Components ermöglichen es Platform-Teams, versionierte, wiederverwendbare Pipeline-Bausteine zu veröffentlichen. Anwendungsteams binden sie mit einer einzigen include:-Zeile ein – kein Copy-Paste, kein Drift. Components sind über den CI/CD Catalog auffindbar, sodass Teams bewährte Bausteine finden und übernehmen können, ohne das Platform-Team direkt einschalten zu müssen.

Drei Zeilen include: ersetzen hunderte von duplizierten YAML-Zeilen. Das Platform-Team kann einen Security-Fix in einer neuen Komponentenversion veröffentlichen – Teams steigen auf ihrem eigenen Zeitplan um, oder das Platform-Team fixiert alle auf eine Mindestversion. In beiden Fällen propagiert eine Änderung organisationsweit, statt repo-für-repo angewendet zu werden.

Kombiniert mit Resource Groups zur Vermeidung konkurrierender Deployments und Protected Environments für Freigabe-Gates entsteht eine governed Delivery-Plattform, auf der Compliance der Standard ist, nicht die Ausnahme. Platform-Teams setzen Vorgaben durch, ohne zum Engpass zu werden.

Das Modell als Ganzes

Keines dieser Muster existiert isoliert. Der Wert von GitLabs Pipeline-Modell liegt in der Kombinierbarkeit seiner Bausteine:

• Ein Monorepo nutzt Parent-Child-Pipelines, und jede Child-Pipeline nutzt DAG-Execution.
• Eine Microservices-Plattform nutzt Multi-Project-Pipelines, und jedes Projekt nutzt MR-Pipelines mit Merged-Results.
• Eine governed Plattform nutzt CI/CD Components, um die obigen Muster organisationsweit zu standardisieren.

Die meisten Teams entdecken eines dieser Muster, wenn sie auf ein konkretes Problem stoßen. Teams, die das vollständige Modell verstehen, entwickeln daraus eine Delivery-Infrastruktur, die tatsächlich abbildet, wie ihre Engineering-Organisation arbeitet – und mit ihr wächst.

Weitere Muster

Das Pipeline-Modell geht über die fünf vorgestellten Muster hinaus:

• Review Apps mit dynamischen Umgebungen erstellen für jeden Feature-Branch eine Live-Vorschau und räumen sie automatisch auf, wenn der MR geschlossen wird.
• Caching- und Artifact-Strategien sind nach der strukturellen Arbeit häufig der direkteste Weg zur weiteren Laufzeitoptimierung – ohne die Pipeline-Struktur zu verändern.
• Geplante und API-ausgelöste Pipelines eignen sich für Workloads, die nicht bei jedem Code-Push laufen sollten: Nightly-Security-Scans, Compliance-Reports und Release-Automatisierung lassen sich als geplante oder API-ausgelöste Pipelines mit $CI_PIPELINE_SOURCE-Routing modellieren.

GitLab Ultimate kostenlos testen und Pipeline-Logik ab heute einsetzen.

Für deutsche Unternehmen: Regulatorischer Kontext

Teams, die Pipeline-Governance nach Muster 5 einführen, adressieren dabei möglicherweise auch Anforderungen, die regulatorische Frameworks an sichere Softwareentwicklungsprozesse stellen.

CI/CD Components mit erzwungenen Security-Gates könnten Anforderungen an sichere Entwicklungsprozesse betreffen – beispielsweise in Bereichen, die Frameworks wie NIS2, ISO 27001 oder BSI IT-Grundschutz an den Software-Entwicklungslebenszyklus adressieren. Protected Environments und Resource Groups betreffen ähnliche Themen im Bereich Änderungskontrolle und Umgebungstrennung, wie sie in Governance-Frameworks typischerweise explizit formuliert sind.

Multi-Project-Pipelines mit API-Contract-Validierung (Muster 2) schaffen Sichtbarkeit über Service-Abhängigkeiten hinweg – ein Aspekt, den Frameworks zur Lieferkettensicherheit adressieren.

Merged-Results-Pipelines (Muster 4) dokumentieren automatisch, dass das tatsächliche Merge-Ergebnis getestet wurde, nicht nur der Feature-Branch in Isolation. Dies könnte Anforderungen an nachvollziehbare Änderungsprozesse betreffen, wie sie in Change-Management-Kontrollen verschiedener Sicherheitsframeworks formuliert sind.

Für konkrete Compliance-Anforderungen im eigenen regulatorischen Umfeld empfiehlt sich Rücksprache mit entsprechender Fachberatung.

Abschnitt 2: Konfiguration und Implementierung

Für Entwicklungsteams und DevOps-Praktiker: ausgewählte Konfigurationsbeispiele zu den Mustern 1, 4 und 5. Für vollständige Konfigurationen aller Muster: englischer Originalartikel.

Die folgenden Konfigurationen sind illustrativ aufgebaut. Die Skripte verwenden echo-Befehle, um das Wesentliche sichtbar zu halten. Für den produktiven Einsatz werden die echo-Befehle durch die tatsächlichen Build-, Test- und Deploy-Schritte ersetzt.

Muster 1: Parent-Child-Pipelines und DAG-Execution

Eine Parent-Pipeline erkennt Änderungen und löst nur die betroffenen Child-Pipelines aus:

  - trigger

trigger-services:
  stage: trigger
  trigger:
    include:
      - local: '.gitlab/ci/api-service.yml'
      - local: '.gitlab/ci/web-service.yml'
      - local: '.gitlab/ci/worker-service.yml'
    strategy: depend

Innerhalb der Child-Pipeline ermöglicht needs: DAG-Execution – der Test startet, sobald der Build abgeschlossen ist, ohne auf andere Jobs in derselben Stage zu warten:

  - build
  - test

build-api:
  stage: build
  script:
    - echo "Building API service"

test-api:
  stage: test
  needs: [build-api]
  script:
    - echo "Running API tests"

Muster 4: MR-First-Delivery

Workflow-Rules, MR-Pipelines und Merged-Results zusammen ergeben ein kontextabhängiges Pipeline-Verhalten:

  rules:
    - if: $CI_PIPELINE_SOURCE == "merge_request_event"
    - if: $CI_COMMIT_BRANCH && $CI_OPEN_MERGE_REQUESTS
      when: never
    - if: $CI_COMMIT_BRANCH
    - if: $CI_PIPELINE_SOURCE == "schedule"

stages:
  - fast-checks
  - expensive-tests
  - deploy

lint-code:
  stage: fast-checks
  script:
    - echo "Running linter"
  rules:
    - if: $CI_PIPELINE_SOURCE == "push"
    - if: $CI_PIPELINE_SOURCE == "merge_request_event"
    - if: $CI_COMMIT_BRANCH == "main"

unit-tests:
  stage: fast-checks
  script:
    - echo "Running unit tests"
  rules:
    - if: $CI_PIPELINE_SOURCE == "push"
    - if: $CI_PIPELINE_SOURCE == "merge_request_event"
    - if: $CI_COMMIT_BRANCH == "main"

integration-tests:
  stage: expensive-tests
  script:
    - echo "Running integration tests (15 min)"
  rules:
    - if: $CI_PIPELINE_SOURCE == "merge_request_event"
    - if: $CI_COMMIT_BRANCH == "main"

e2e-tests:
  stage: expensive-tests
  script:
    - echo "Running E2E tests (30 min)"
  rules:
    - if: $CI_PIPELINE_SOURCE == "merge_request_event"
    - if: $CI_COMMIT_BRANCH == "main"

nightly-comprehensive-scan:
  stage: expensive-tests
  script:
    - echo "Running full nightly suite (2 hours)"
  rules:
    - if: $CI_PIPELINE_SOURCE == "schedule"

deploy-production:
  stage: deploy
  script:
    - echo "Deploying to production"
  rules:
    - if: $CI_COMMIT_BRANCH == "main"
      when: manual

Muster 5: CI/CD Components

Eine Komponentendefinition aus einer gemeinsamen Bibliothek:

  inputs:
    stage:
      default: deploy
    environment:
      default: production
--- deploy-job:
  stage: $[[ inputs.stage ]]
  script:
    - echo "Deploying $APP_NAME to $[[ inputs.environment ]]"
    - echo "Deploy URL: $DEPLOY_URL"
  environment:
    name: $[[ inputs.environment ]]

So bindet ein Anwendungsteam die Komponenten ein:

  APP_NAME: "my-awesome-app"
  DEPLOY_URL: "https://api.example.com"

include:
  - component: gitlab.com/my-org/component-library/build@v1.0.6
  - component: gitlab.com/my-org/component-library/test@v1.0.6
  - component: gitlab.com/my-org/component-library/deploy@v1.0.6
    inputs:
      environment: staging

stages:
  - build
  - test
  - deploy

Orientierung zu den Mustern 2 und 3

Muster 2 (Multi-Project-Pipelines): Das Frontend-Repository publiziert ein API-Contract-Artifact und löst anschließend die Backend-Pipeline aus. Das Backend ruft das Artifact über die GitLab Jobs API ab und validiert es. Der integration-test-Job läuft dabei nur dann, wenn er von einer Upstream-Pipeline ausgelöst wurde ($CI_PIPELINE_SOURCE == "pipeline"), nicht bei einem eigenständigen Push. Die Frontend-Projekt-ID wird als CI/CD-Variable gesetzt, um Hardcoding zu vermeiden. Vollständige Konfigurationen beider Repositories: englischer Originalartikel.

Muster 3 (Dynamische Child-Pipelines): Ein generate-config-Job erzeugt zur Laufzeit environment-spezifische YAML-Dateien. Trigger-Jobs nutzen extends: für gemeinsam genutzte Konfiguration und needs: für sequenzielle Promotion (dev → staging → prod mit manuellem Gate). Vollständige Konfiguration: englischer Originalartikel.

Weiterführende Artikel

• Variable and artifact sharing in GitLab parent-child pipelines
• CI/CD inputs: Secure and preferred method to pass parameters to a pipeline
• Tutorial: How to set up your first GitLab CI/CD component
• How to include file references in your CI/CD components
• FAQ: GitLab CI/CD Catalog
• Building a GitLab CI/CD pipeline for a monorepo the easy way
• A CI/CD component builder's journey
• CI/CD Catalog goes GA: No more building pipelines from scratch

Vorteile der Integration

Manuelle Uploads entfallen, Nachvollziehbarkeit steigt

DevSecOps-Engineers und QA-Teams müssen Testergebnisse nicht mehr manuell exportieren und importieren – die Komponente übernimmt das automatisch nach jeder Pipeline-Ausführung. Zugleich erhalten Teams vollständige Nachvollziehbarkeit von Anforderungen über Testfälle bis hin zu tatsächlichen Ausführungsergebnissen.

Compliance- und Audit-Anforderungen erfüllen

Für Organisationen in regulierten Branchen ist lückenlose Testdokumentation nicht verhandelbar. Die Integration stellt sicher, dass jede Testausführung in QMetry mit Verknüpfungen zur jeweiligen GitLab-Pipeline, zum Commit und zum Build dokumentiert wird – ohne zusätzlichen manuellen Aufwand.

KI-gestützte Test-Insights nutzen

QMetry analysiert mithilfe von KI Testausführungsmuster, identifiziert instabile Tests, prognostiziert Testfehler und empfiehlt Optimierungsmöglichkeiten. Echtzeit-Daten aus GitLab-Pipelines maximieren den Wert dieser Funktionen.

Über die GitLab-SmartBear-Partnerschaft

Diese Komponente steht für die wachsende Partnerschaft zwischen GitLab und SmartBear, CI/CD-Ausführung und Testmanagement in einem Workflow zu verbinden. Gemeinsam helfen sie Teams, Testing in den Entwicklungszyklus zu integrieren und dabei die Qualitäts-, Sicherheits- und Compliance-Standards ihrer Branchen einzuhalten.

Praxisbeispiele

Finanzdienstleistungen: Enterprise-Banking-Plattformen

Führende Finanzinstitute stehen vor besonderen Herausforderungen beim Skalieren von Testautomatisierung:

• Regulatorische Compliance: Detaillierte Audit-Trails für alle Testaktivitäten erforderlich
• Mehrere Compliance-Frameworks: BaFin BAIT, PSD2, DSGVO und interne Risikomanagement-Richtlinien
• Hochfrequente Deployments: Mehrere Produktions-Deployments täglich über Microservices
• Verteilte Teams: Echtzeit-Transparenz über globale Engineering-Teams hinweg erforderlich Finanzdienstleister, die den QMetry GitLab Component einsetzen, automatisieren Testergebnis-Uploads für Unit-Tests, API-Contract-Tests, End-to-End-Tests für Transaktionsabläufe sowie Security- und Performance-Testergebnisse.

Mögliche Ergebnisse:

• Deutliche Reduzierung des manuellen Test-Reporting-Aufwands
• Vollständige Audit-Trail-Abdeckung für Regulierungsprüfungen
• Echtzeit-Transparenz für verteilte QA-Teams
• Verbesserte Compliance-Position durch vollständige Nachvollziehbarkeit von Anforderungen bis zur Testausführung

Flugregelungssoftware in der Luft- und Raumfahrt

Die Softwareentwicklung in der Luft- und Raumfahrt unterliegt besonderen Anforderungen:

• DO-178C-Compliance: Avioniksoftware muss strikte Zertifizierungsstandards erfüllen
• Vollständige Nachvollziehbarkeit: Jede Anforderung verknüpft mit Testfällen und Ausführungsergebnissen
• Audit-Trails: Zertifizierungsbehörden verlangen detaillierte Aufzeichnungen aller Testaktivitäten
• Mehrere Teststufen: Unit-, Integrations-, System- und Zertifizierungstests Durch die Integration von GitLab CI/CD mit QMetry automatisiert das Aerospace-Engineering-Team Testausführung und Reporting über alle Teststufen hinweg.

Vor der Integration:

• Manueller Export aus GitLab, Import in QMetry über UI-Uploads
• Prozess dauerte 2–3 Stunden pro Testzyklus
• Fehlerrisiko bei der Dateneingabe, verzögerte Rückmeldung an Stakeholder

Nach der Integration:

• Testergebnisse fließen automatisch von GitLab nach QMetry
• Vollständiger Audit-Trail vom Commit über den Test bis zum Ergebnis
• Kein manueller Eingriff, Echtzeit-Transparenz für Zertifizierungsprüfer
• Compliance-Reports werden automatisch erstellt

Beispiel-Dashboard in QMetry nach der Integration:

    ╔════════════════════════════════════════════════════════════╗
    ║  Flight Control System v2.4 - Test Execution Dashboard     ║
    ╠════════════════════════════════════════════════════════════╣
    ║                                                            ║
    ║  📊 Test Execution Summary (Last 7 Days)                   ║
    ║  ───────────────────────────────────────────────────────── ║
    ║  ✓ Total Tests Executed: 1,247                             ║
    ║  ✓ Passed: 1,241 (99.5%)                                   ║
    ║  ✗ Failed: 6 (0.5%)                                        ║
    ║  ⏸ Skipped: 0                                              ║
    ║                                                            ║
    ║  📁 Test Suite Organization                                ║
    ║  ───────────────────────────────────────────────────────── ║
    ║  └─ Certification/                                         ║
    ║     └─ DO-178C/                                            ║
    ║        ├─ Unit/ (487 tests, 100% pass)                     ║
    ║        ├─ Integration/ (623 tests, 99.2% pass)             ║
    ║        └─ System/ (137 tests, 100% pass)                   ║
    ║                                                            ║
    ║  🔗 Traceability                                           ║
    ║  ───────────────────────────────────────────────────────── ║
    ║  Requirements Covered: 342/342 (100%)                      ║
    ║  Test Cases Linked: 1,247/1,247 (100%)                     ║
    ║  GitLab Pipeline Executions: 47 (automated)                ║
    ║                                                            ║
    ║  ⚠️  Action Items                                          ║
    ║  ───────────────────────────────────────────────────────── ║
    ║  • 6 failed tests require investigation                    ║
    ║  • Last execution: 2 minutes ago (Pipeline #1543)          ║
    ║  • GitLab Commit: a7f8c23 "Fix altitude hold logic"        ║
    ║                                                            ║
    ╚════════════════════════════════════════════════════════════╝

Compliance- und Audit-Vorteile

Für Finanzdienstleister (BaFin BAIT, PSD2, SOX):

1. Automatische Nachvollziehbarkeit: Regulatorische Anforderungen → Testfälle → Ausführungsergebnisse → GitLab-Commits verknüpft
2. Auditfähige Dokumentation: Vollständige Testausführungshistorie mit Zeitstempeln und Pipeline-Referenzen
3. Regulatorisches Reporting: Compliance-Reports direkt aus QMetry-Testdaten generieren

Für die Luft- und Raumfahrt-Zertifizierung (DO-178C, DO-254):

1. Automatische Nachverfolgbarkeitsmatrix: Anforderungen → Testfälle → Ausführungsergebnisse → GitLab-Commits
2. Unveränderlicher Audit-Trail: Pipeline-ID, Commit-SHA und Ausführer für jede Testausführung gestempelt
3. Zertifizierungspaket-Generierung: Konforme Dokumentation aus GitLab-Pipeline-Daten

Technische Umsetzung

Dieser Abschnitt orientiert Teams, die die Integration einrichten möchten. Die vollständige Schritt-für-Schritt-Anleitung mit allen Konfigurationsdetails – API-Credentials, CI/CD-Variablen, Testformate, erweiterte Optionen und Fehlerbehebung – ist im englischen Originalbeitrag verfügbar.

Voraussetzungen

• GitLab-Account mit einem Projekt, das automatisierte Tests enthält und Testergebnisdateien erzeugt (JUnit XML, TestNG XML usw.)
• QMetry Test Management Enterprise-Account mit aktiviertem API-Zugriff und generiertem API-Key
• QMetry-Projekt, bereits angelegt, in das Testergebnisse hochgeladen werden sollen
• Kenntnisse in GitLab CI/CD, einschließlich grundlegender .gitlab-ci.yml-Syntax

Ablauf der Testergebnis-Übertragung

1. Testausführung: Die GitLab CI/CD-Pipeline führt automatisierte Tests aus.
2. Ergebnisgenerierung: Tests erzeugen Ausgabedateien (JUnit XML, TestNG XML usw.).
3. Komponentenaufruf: Die QMetry-Komponente wird als Job in der Pipeline ausgeführt.
4. Automatischer Upload: Die Komponente liest die Testergebnisdateien und lädt sie via API nach QMetry hoch.
5. QMetry-Verarbeitung: QMetry empfängt die Ergebnisse und stellt sie für Reporting und Analyse bereit.

Basisintegration

Die Komponente in der .gitlab-ci.yml-Datei einbinden. Die Komponente sollte nach dem Abschluss der Tests ausgeführt werden:

    include:
      - component: gitlab.com/sb9945614/qtm-gitlab-component/qmetry-import@1.0.5
        inputs:
          stage: test
          project: "Aerospace Flight Control System"
          file_name: "results.xml"
          testing_type: "JUNIT"
          instance_url: ${INSTANCE_URL}
          api_key: ${QMETRY_API_KEY}

Vollständiges Pipeline-Beispiel

    stages:
      - test
      - report

    variables:
      NODE_VERSION: "18"

    unit-tests:
      stage: test
      image: node:${NODE_VERSION}
      script:
        - npm ci
        - npm run test:unit -- --reporter=junit --reporter-options=output=results.xml
      artifacts:
        reports:
          junit: results.xml
        paths:
          - results.xml
        when: always
      tags:
        - docker

    include:
      - component: gitlab.com/sb9945614/qtm-gitlab-component/qmetry-import@1.0.5
        inputs:
          stage: test
          project: "Aerospace Flight Control System"
          file_name: "results.xml"
          testing_type: "JUNIT"
          instance_url: ${INSTANCE_URL}
          api_key: ${QMETRY_API_KEY}

Vollständige Konfigurationsreferenz

Dokumentation und Support

• Komponentendokumentation: GitLab CI/CD Catalog
• Komponenten-Repository: gitlab.com/sb9945614/qtm-gitlab-component
• QMetry-Dokumentation: QMetry Support Portal
• SmartBear-Ressourcen: SmartBear Academy
• GitLab CI/CD-Dokumentation: GitLab CI/CD Documentation
• QMetry-Support: support@smartbear.com – QMetry Community Forum

Innerhalb von 12 Tagen haben vier separate Supply-Chain-Angriffe gezeigt, dass CI/CD-Pipelines zu einem bevorzugten Ziel für versierte Bedrohungsakteure geworden sind.

Zwischen dem 19. und 31. März 2026 kompromittierten Angreifer:

• einen Open-Source-Security-Scanner (Trivy)
• einen Infrastructure-as-Code-Scanner (Checkmarx KICS)
• ein AI-Model-Gateway (LiteLLM)
• einen JavaScript-HTTP-Client (axios)

Alle Angriffe teilten dieselbe Angriffsfläche: die Build-Pipeline.

Dieser Artikel zeigt, was passiert ist, warum Pipelines besonders anfällig sein können und wie zentrale Policy-Durchsetzung mit GitLab – mithilfe der unten beschriebenen Policies – diese Angriffsklassen blockieren, erkennen und eindämmen kann, bevor sie die Produktion erreichen.

Millionenfach vertraut, in Minuten kompromittiert

Hier die Zeitleiste der Supply-Chain-Angriffe:

19. März: Trivy-Security-Scanner wird zum Angriffsvektor

Trivy ist einer der weltweit am häufigsten eingesetzten Open-Source-Vulnerability-Scanner. Es ist das Tool, das Teams innerhalb ihrer Pipelines ausführen, um Schwachstellen zu finden.

Am 19. März nutzte eine Bedrohungsgruppe namens TeamPCP kompromittierte Zugangsdaten, um Schadcode per Force-Push in 76 von 77 Versions-Tags der GitHub Action aquasecurity/trivy-action sowie alle 7 Tags von aquasecurity/setup-trivy einzuschleusen. Gleichzeitig veröffentlichten sie ein trojanisiertes Trivy-Binary (v0.69.4) über offizielle Distributionskanäle. Die Payload war eine Credential-Stealing-Malware, die Umgebungsvariablen, Cloud-Tokens, SSH-Schlüssel und CI/CD-Secrets aus jeder Pipeline exfiltrierte, die einen Trivy-Scan ausführte.

Dem Vorfall wurde CVE-2026-33634 mit einem CVSS-Score von 9,4 zugewiesen. Die Cybersecurity and Infrastructure Security Agency (CISA) nahm ihn innerhalb weniger Tage in den Katalog der bekannten ausgenutzten Schwachstellen auf.

23. März: Checkmarx KICS als nächstes Ziel

Mit gestohlenen Zugangsdaten wandte sich TeamPCP dem Open-Source-Projekt KICS (Keeping Infrastructure as Code Secure) von Checkmarx zu. Sie kompromittierten die GitHub Actions ast-github-action und kics-github-action und schleusten dieselbe Credential-Stealing-Malware ein. Zwischen 12:58 und 16:50 UTC am 23. März exfiltrierte jede CI/CD-Pipeline, die diese Actions referenzierte, im Hintergrund sensible Daten – darunter API-Schlüssel, Datenbankpasswörter, Cloud-Access-Tokens, SSH-Schlüssel und Service-Account-Zugangsdaten.

24. März: LiteLLM über gestohlene Trivy-Zugangsdaten kompromittiert

LiteLLM, ein LLM-API-Proxy mit 95 Millionen monatlichen Downloads, war das nächste Ziel. TeamPCP veröffentlichte kompromittierte Versionen (1.82.7 und 1.82.8) auf PyPI – mithilfe von Zugangsdaten, die aus LiteLLMs eigener CI/CD-Pipeline erbeutet wurden, in der Trivy zum Scannen eingesetzt wurde.

Die Malware in Version 1.82.7 nutzte eine Base64-kodierte Payload, die direkt in litellm/proxy/proxy_server.py injiziert wurde und beim Import ausgeführt wurde. Die Version für 1.82.8 verwendete eine .pth-Datei – ein Python-Mechanismus, der automatisch beim Interpreter-Start ausgeführt wird. Allein die Installation von LiteLLM reichte aus, um die Payload auszulösen. Die Angreifer verschlüsselten die erbeuteten Daten (SSH-Schlüssel, Cloud-Tokens, .env-Dateien, Kryptowährungs-Wallets) und exfiltrierten sie an models.litellm.cloud, eine Lookalike-Domain.

31. März: Quellcode eines AI-Coding-Assistenten durch einfachen Packaging-Fehler geleakt

Während die TeamPCP-Kampagne noch andauerte, lieferte ein Softwareunternehmen ein npm-Paket mit einer 59,8 MB großen Source-Map-Datei aus – die den vollständigen, unminifizierten TypeScript-Quellcode seines AI-Coding-Assistenten referenzierte, gehostet im eigenen Cloudflare-R2-Bucket des Unternehmens.

Das Leak legte 1.900 TypeScript-Dateien, über 512.000 Codezeilen, 44 versteckte Feature-Flags, unveröffentlichte Modell-Codenamen und den vollständigen System-Prompt offen – für jeden, der wusste, wo er suchen musste. Wie der Entwickler Gabriel Anhaia erklärte: „Eine einzige falsch konfigurierte .npmignore- oder files-Angabe in der package.json kann alles offenlegen."

31. März: axios und ein weiterer Trojaner in der Supply Chain

Am selben Tag zielte eine weitere Kampagne auf das npm-Paket axios – einen JavaScript-HTTP-Client mit über 100 Millionen wöchentlichen Downloads.

Über ein kompromittiertes Maintainer-Konto wurden manipulierte Versionen (1.14.1 und 0.30.4) veröffentlicht. Eine eingeschleuste Dependency (plain-crypto-js@4.2.1) installierte einen Remote-Access-Trojaner, der unter macOS, Windows und Linux lauffähig war. Beide Release-Branches wurden innerhalb von 39 Minuten getroffen, und die Malware war so konzipiert, dass sie sich nach der Ausführung selbst löschte.

Die Muster hinter diesen Angriffen

Über alle fünf Vorfälle hinweg zeichnen sich drei Angriffsmuster ab – und alle nutzen das implizite Vertrauen aus, das CI/CD-Pipelines ihren Eingaben entgegenbringen.

Muster 1: Vergiftete Tools und Actions

Die TeamPCP-Kampagne nutzte eine grundlegende Annahme aus: dass die Sicherheitstools, die innerhalb der Pipeline laufen, selbst vertrauenswürdig sind. Wenn ein GitHub-Action-Tag oder eine PyPI-Paketversion auf Schadcode verweist, führt die Pipeline diesen mit vollem Zugriff auf Umgebungs-Secrets, Cloud-Zugangsdaten und Deployment-Tokens aus. Es gibt keinen Verifizierungsschritt, weil die Pipeline dem Tag vertraut.

Empfohlene Pipeline-Kontrolle: Tools und Actions an unveränderliche Referenzen (Commit-SHAs oder Image-Digests) pinnen statt an veränderliche Versions-Tags. Wo Pinning nicht praktikabel ist, die Integrität von Tools und Dependencies gegen bekannte Prüfsummen oder Signaturen verifizieren. Die Ausführung blockieren, wenn die Verifizierung fehlschlägt.

Muster 2: Packaging-Fehlkonfigurationen, die IP leaken

Eine fehlkonfigurierte Build-Pipeline lieferte Debugging-Artefakte direkt im Produktionspaket aus. Eine falsch konfigurierte .npmignore- oder files-Angabe in der package.json reicht dafür aus. Ein Validierungsschritt vor der Veröffentlichung sollte das jedes Mal abfangen.

Empfohlene Pipeline-Kontrolle: Vor jeder Paketveröffentlichung automatisierte Prüfungen ausführen, die den Paketinhalt gegen eine Allowlist validieren, unerwartete Dateien (Source Maps, interne Konfigurationen, .env-Dateien) kennzeichnen und den Publish-Schritt blockieren, wenn die Prüfungen fehlschlagen.

Muster 3: Schwachstellen in transitiven Dependencies

Der axios-Angriff zielte nicht nur auf direkte axios-Nutzer, sondern auf jeden, dessen Dependency-Tree auf die kompromittierte Version auflöste. Eine einzige vergiftete Dependency in einem Lockfile kann sich so über die gesamte Build-Infrastruktur einer Organisation ausbreiten.

Empfohlene Pipeline-Kontrolle: Dependency-Prüfsummen gegen den bekannten Lockfile-Stand vergleichen. Unerwartete neue Dependencies oder Versionsänderungen erkennen. Builds blockieren, die nicht verifizierte Pakete einführen.

Wie GitLab Pipeline Execution Policies jedes Angriffsmuster adressieren

GitLab Pipeline Execution Policies (PEPs) ermöglichen es Security- und Plattformteams, verpflichtende CI/CD-Jobs in jede Pipeline einer Organisation einzufügen – unabhängig davon, was in der .gitlab-ci.yml definiert ist. Durch PEPs definierte Jobs können nicht übersprungen werden, auch nicht mit den Direktiven [skip ci] oder [no_pipeline]. Jobs können in reservierten Stages (.pipeline-policy-pre und .pipeline-policy-post) ausgeführt werden, die die Pipeline des Entwicklungsteams einrahmen.

Wir haben einsatzbereite Pipeline Execution Policies für alle drei Muster als Open-Source-Projekt veröffentlicht: Supply Chain Policies. Diese Policies sind unabhängig voneinander deploybar, und jede wird mit Testdaten für Verstöße ausgeliefert, um sie vorab zu testen. So funktioniert jede einzelne.

Use Case 1: Versehentliche Offenlegung beim Package-Publishing verhindern

Problem: Eine Source-Map-Datei landete im npm-Paket eines AI-Coding-Tools, weil die Build-Pipeline die Validierung beim Publishing übersprungen hatte.

PEP-Ansatz: Wir haben eine Open-Source Pipeline Execution Policy für genau diese Fehlerklasse erstellt: Artifact Hygiene.

Die Policy injiziert .pipeline-policy-pre-Jobs, die den Artefakttyp (npm-Paket, Docker-Image oder Helm-Chart) automatisch erkennen und den Inhalt prüfen, bevor ein Publish-Schritt ausgeführt wird. Für npm-Pakete führt sie drei Prüfungen durch:

1. File-Pattern-Blocklist. Scannt die npm-pack-Ausgabe nach Source Maps (.map), Testverzeichnissen, Build-Konfigurationen, IDE-Einstellungen und src/-Verzeichnissen.
2. Package-Size-Gate. Blockiert Pakete über 50 MB – wie das 59,8-MB-Paket, das den AI-Tool-Quellcode leakte.
3. sourceMappingURL-Scan. Erkennt externe URLs (das R2-Bucket-Muster, das den Quellcode eines großen AI-Unternehmens offenlegte), Inline-data:-URIs und lokale Dateireferenzen in JavaScript-Bundles.

Wenn Verstöße gefunden werden, schlägt die Pipeline mit einem klaren Bericht in den CI-Job-Logs fehl:

=============================================
FAILED: 3 violation(s) found
=============================================
BLOCKED: dist/index.js.map (matched: \.map$)
BLOCKED: dist/index.js contains external sourceMappingURL
BLOCKED: dist/utils.js contains inline sourceMappingURL

This check is enforced by a Pipeline Execution Policy.
If this is a false positive, contact the security team to update the policy project or exclude this project.

Die Policy hat keine vom Nutzer konfigurierbaren CI-Variablen. Das Entwicklungsteam kann sie weder deaktivieren noch umgehen. Ausnahmen werden vom Security-Team auf Policy-Ebene verwaltet – das gewährleistet einen bewussten Prozess und einen lückenlosen Audit-Trail.

Das Repository enthält ein Testprojekt mit absichtlichen Verstößen (examples/leaky-npm-package/), um die Policy in Aktion zu sehen, bevor sie in der Organisation ausgerollt wird. Die README enthält eine vollständige Schnellstart-Anleitung für Einrichtung und Deployment.

Was das abfängt: Jede einzelne dieser Kontrollen hätte das Source-Code-Leak des AI-Unternehmens wahrscheinlich verhindert:

• Die Source-Map-Datei löst die File-Pattern-Blocklist aus.
• Die Größe von 59,8 MB löst das Size-Gate aus.
• Die sourceMappingURL mit Verweis auf einen externen R2-Bucket löst den URL-Scan aus.

Use Case 2: Dependency-Tampering und Lockfile-Manipulation erkennen

Problem: Der axios-Angriff führte eine bösartige transitive Dependency (plain-crypto-js) ein, die bei der Installation einen RAT ausführte. Jeder, der während des Kompromittierungsfensters npm install ausführte, zog den Trojaner mit.

PEP-Ansatz: Die Dependency Integrity Policy injiziert .pipeline-policy-pre-Jobs, die das Paket-Ökosystem (npm oder Python) automatisch erkennen und drei Prüfungen durchführen:

Für npm-Projekte (ausgelöst durch package-lock.json, yarn.lock oder pnpm-lock.yaml):

1. Lockfile-Integrität. Führt npm ci --ignore-scripts aus, was fehlschlägt, wenn sich node_modules vom Lockfile-Stand unterscheiden würden. Dies erkennt Fälle, in denen die package.json aktualisiert, aber das Lockfile nicht neu generiert wurde, und verifiziert gleichzeitig SRI-Integritäts-Hashes.
2. Blocked-Package-Scan. Gleicht den vollständigen Dependency-Tree des Lockfiles mit blocked-packages.yml ab – einer von GitLab gepflegten Liste bekannter kompromittierter Paketversionen. Die mitgelieferte Blocklist enthält axios@1.14.1, axios@0.30.4 und plain-crypto-js@4.2.1.
3. Erkennung nicht deklarierter Dependencies. Vergleicht nach der Installation den Inhalt von node_modules mit dem Lockfile. Jedes Paket, das auf der Festplatte vorhanden, aber nicht im Lockfile aufgeführt ist, deutet auf Manipulation hin (z. B. ein kompromittiertes postinstall-Skript, das zusätzliche Pakete nachlädt).

Für Python-Projekte (ausgelöst durch requirements.txt, Pipfile.lock, poetry.lock oder uv.lock):

1. Lockfile-Integrität. Installation in einer isolierten virtuellen Umgebung mit Verifizierung, dass die Installation aus dem Lockfile erfolgreich ist.
2. Blocked-Package-Scan. Derselbe Blocklist-Ansatz. Die mitgelieferte Liste enthält litellm==1.82.7 und litellm==1.82.8.
3. .pth-Datei-Erkennung. Scannt site-packages nach .pth-Dateien, die ausführbare Code-Muster enthalten (import os, exec(, eval(, __import__, subprocess, socket). Genau diesen Mechanismus nutzte die LiteLLM-Backdoor.

Bei einem erkannten Verstoß:

=============================================
FAILED: 1 violation(s) found
=============================================
BLOCKED: axios@1.14.1 is a known-compromised package

This check is enforced by a Pipeline Execution Policy.

Die Policy läuft im Strict Mode: Jede Dependency, die nicht im committeten Lockfile vorhanden ist, blockiert die Pipeline. Wenn eine neue Dependency hinzugefügt werden soll, wird das aktualisierte Lockfile committet. Die Policy verifiziert, dass die installierte Version mit der committeten Version übereinstimmt. Wenn etwas auftaucht, das nicht committet wurde (z. B. eine transitive Dependency, die über ein kompromittiertes Upstream-Paket injiziert wurde), blockiert die Pipeline.

Was das abfängt: Die Einführung von plain-crypto-js als neue, bisher unbekannte Dependency würde durch die Erkennung nicht deklarierter Dependencies gemeldet. Die Version axios@1.14.1 wird durch den Blocked-Package-Scan erkannt. Die .pth-Datei von LiteLLM wird durch die .pth-Erkennung gefunden. Jeder Angriff hat mindestens ein – und oft zwei – unabhängige Erkennungssignale.

Use Case 3: Kompromittierte Tools vor der Ausführung erkennen und blockieren

Problem: TeamPCP ersetzte vertrauenswürdige Trivy- und Checkmarx-GitHub-Action-Tags durch bösartige Versionen. Jede Pipeline, die diese Tags referenzierte, führte Credential-Stealing-Malware aus.

PEP-Ansatz: Die Tool Integrity Policy injiziert einen .pipeline-policy-pre-Job, der die GitLab CI Lint API abfragt (oder als Fallback die .gitlab-ci.yml auswertet), die Container-Image-Referenzen extrahiert und mit einer vom Security-Team gepflegten Allowlist genehmigter Images abgleicht.

Die Allowlist (approved-images.yml) unterstützt drei Kontrollen pro Image:

Genehmigte Repositories: Nur Images aus gelisteten Repositories sind zulässig. Ein unbekanntes Repository blockiert die Pipeline.

Erlaubte Tags: Innerhalb eines genehmigten Repositorys sind nur bestimmte Tags zulässig. Das verhindert den Drift zu ungetesteten Versionen.

Blockierte Tags: Bekannte kompromittierte Versionen können explizit blockiert werden, selbst wenn das Repository genehmigt ist. Die mitgelieferte Allowlist blockiert aquasec/trivy:0.69.4 bis 0.69.6 – genau die Versionen, die TeamPCP trojanisiert hatte.

Bei einem erkannten Verstoß schlägt die Pipeline fehl, bevor ein anderer Job ausgeführt wird:

=============================================
FAILED: 1 violation(s) found
=============================================
BLOCKED: aquasec/trivy:0.69.4 (job: trivy-scan)
 - tag '0.69.4' is known-compromised
This check is enforced by a Pipeline Execution Policy.

Die Allowlist wird über Merge Requests gegen das Policy-Projekt gepflegt. Um ein neues genehmigtes Image hinzuzufügen, öffnet das Security-Team einen MR. Um auf eine neue Kompromittierung zu reagieren, wird ein blockierter Tag hinzugefügt. Keine Code-Änderungen nötig – nur YAML.

Was das abfängt: Wenn Images mit nicht genehmigten Tags erkannt werden, vergleicht die Policy die Image-Repository-Namen und Tags mit der Allowlist. Ein fehlgeschlagener Abgleich blockiert die Pipeline, bevor ein Scanner ausgeführt wird – und verhindert so die Exfiltration von Zugangsdaten.

Hinweis: Durch Erweiterung des obigen Beispiels können PEPs auch das Pinning auf Digests statt Tags erzwingen, was gegen Force-Pushes immun ist. Dieses Beispiel demonstriert ein einfacheres Tag-basiertes Enforcement-Muster.

Über PEPs hinaus: GitLabs Supply-Chain-Schutzmaßnahmen

Pipeline Execution Policies sind die Enforcement-Schicht – sie funktionieren aber am besten als Teil einer breiteren Defense-in-Depth-Strategie. GitLab bietet mehrere Funktionen, die PEPs beim Supply-Chain-Schutz ergänzen:

Secret Detection

GitLab Secret Detection verhindert, dass Zugangsdaten überhaupt im Repository landen, und reduziert so erheblich, was ein kompromittiertes Pipeline-Tool abgreifen kann. Im Kontext der Angriffe vom März 2026:

• In Repositories gespeicherte Zugangsdaten sind sowohl leichter für Angreifer auffindbar als auch langsamer zu rotieren. Der Trivy-Vorfall zeigte, dass selbst der Rotationsprozess ausgenutzt werden kann: Die Rotation von Aqua Security war nicht atomar, und der Angreifer erbeutete neu ausgestellte Tokens, bevor die alten vollständig widerrufen waren. GitLab Secret Detection umfasst die automatische Revokation geleakter GitLab-Tokens sowie eine Partner-API, die Drittanbieter benachrichtigt, damit diese ihre Zugangsdaten widerrufen – das beschleunigt die Reaktion im Falle eines Sicherheitsvorfalls.
• Secret Detection in Kombination mit ordnungsgemäßem Secret-Management (kurzlebige Tokens, Vault-gestützte Zugangsdaten, minimale Pipeline-Secret-Exposition) begrenzt, was ein Angreifer erreichen kann – selbst wenn ein vertrauenswürdiges Tool kompromittiert wird.

Dependency Scanning via Software Composition Analysis (SCA)

GitLab Dependency Scanning identifiziert bekannte Schwachstellen in Projektabhängigkeiten durch Analyse von Lockfiles und Manifests. Im Kontext der Angriffe vom März 2026:

• Für LiteLLM werden die kompromittierten Versionen (1.82.7, 1.82.8) in GitLabs Advisory-Datenbank geführt und betroffene Python-Projekte automatisch gemeldet.
• Für axios identifiziert Dependency Scanning die kompromittierten Versionen (1.14.1, 0.30.4) über alle Projekte der Organisation hinweg – das gibt Security-Teams eine zentrale Ansicht zur Bewertung des Blast-Radius und zur Priorisierung der Credential-Rotation.
• Ebenso werden alle npm-Pakete, die durch die CanisterWorm-Propagation von TeamPCP kompromittiert wurden, gemeldet, wenn sie in Verwendung sind.

GitLab Container Scanning erkennt verwundbare Container-Images in den Deployments. Für den Trivy-Vorfall meldet Container Scanning die trojanisierten Trivy-Docker-Images (0.69.4 bis 0.69.6), wenn sie in der Container Registry oder in Deployment-Manifests auftauchen.

Merge-Request-Approval-Policies

Merge-Request-Approval-Policies können die Genehmigung durch das Security-Team erfordern, bevor Änderungen an Dependency-Lockfiles oder CI/CD-Konfigurationen gemergt werden. Das stellt einen menschlichen Kontrollpunkt für genau die Art von Änderungen sicher, die Supply-Chain-Angriffe typischerweise einführen.

Demnächst: Dependency Firewall, Artifact Registry und SLSA Level 3 Attestation & Verification

Kommende Supply-Chain-Sicherheitsfunktionen in GitLab härten die Policy-Durchsetzung an zwei kritischen Kontrollpunkten: der Registry und der Pipeline. Die Dependency Firewall und Artifact Registry werden nicht-konforme Pakete blockieren, während die SLSA-Level-3-Attestation kryptografischen Nachweis liefert, dass Artefakte von genehmigten Pipelines erzeugt wurden und unverändert geblieben sind. Zusammen geben sie Security-Teams verifizierbare Kontrolle darüber, was in die Software-Supply-Chain eingeht und diese verlässt.

Was das für deine Organisation bedeutet

Inmitten zunehmender AI-gestützter Bedrohungen werden Angriffe auf CI/CD-Pipelines alltäglich. Die TeamPCP-Kampagne zeigt, wie ein einziges kompromittiertes Zugangsdaten-Set über ein Ökosystem vertrauenswürdiger Tools kaskadieren kann.

Wenn deine Organisation eine der betroffenen Komponenten eingesetzt hat, gehe davon aus, dass alle Pipeline-Secrets kompromittiert wurden: Rotiere sie umgehend und überprüfe Systeme auf persistente Backdoors. Unabhängig davon begrenzt die regelmäßige Rotation von Zugangsdaten und die Verwendung kurzlebiger Tokens den Blast-Radius jeder zukünftigen Kompromittierung.

Folgendes empfehlen wir:

1. Dependencies wenn möglich an Prüfsummen pinnen. Veränderliche Versions-Tags (wie die, die TeamPCP gekapert hat) sind keine Sicherheitsgrenze. SHA-gepinnte Referenzen für alle CI/CD-Komponenten oder Actions und Container-Images verwenden.
2. Pre-Execution-Integritätsprüfungen ausführen. Pipeline Execution Policies nutzen, um die Integrität von Tools und Dependencies vor der Ausführung jedes Pipeline-Jobs zu verifizieren. Das ist die .pipeline-policy-pre-Stage.
3. Prüfen, was veröffentlicht wird. Jeder Package-Publish-Schritt sollte eine automatisierte Validierung des Artefaktinhalts umfassen. Source Maps, Environment-Dateien und interne Konfigurationen sollten die Build-Umgebung niemals verlassen. Das Supply Chain Policy-Projekt bietet einen sofort einsetzbaren Ausgangspunkt für npm-, Docker- und Helm-Artefakte.
4. Dependency-Drift erkennen. Dependency-Auflösungen bei jedem Pipeline-Lauf gegen committete Lockfiles vergleichen. Auf unerwartete neue Dependencies achten.
5. Policy-Management zentralisieren. Sich nicht darauf verlassen, dass Entwicklungsteams daran denken, Security-Checks einzubinden. Diese auf Gruppen- oder Instanzebene über Policies durchsetzen, die nicht entfernt oder übersprungen werden können.
6. Davon ausgehen, dass Security-Tools selbst Ziele sind. Wenn dein Vulnerability-Scanner, SAST-Tool oder AI-Gateway kompromittiert werden kann, wird es das auch. Jedes Tool auf die minimal notwendigen Berechtigungen beschränken und sicherstellen, dass es auf nichts anderes zugreifen kann.

Schütze deine Pipelines mit GitLab

Innerhalb von zwei Wochen kompromittierten Angreifer Produktions-Pipelines bei Organisationen, die einige der am weitesten verbreiteten Tools im Software-Entwicklungs-Ökosystem einsetzten.

Die Lektion ist klar: Build-Pipelines brauchen denselben Grad an zentralem, Policy-gesteuertem Schutz, den wir auf Netzwerke und Cloud-Infrastruktur anwenden.

GitLab Pipeline Execution Policies bieten diese Enforcement-Schicht. Sie stellen sicher, dass Security-Checks in jeder Pipeline und in jedem Projekt ausgeführt werden – unabhängig von den einzelnen Projektkonfigurationen. In Kombination mit Dependency Scanning, Secret Detection und Merge-Request-Approval-Policies können sie die Angriffsklassen, die wir im März 2026 erlebt haben, blockieren, erkennen und eindämmen.

Das Supply Chain Policies-Projekt bietet eine funktionsfähige Pipeline Execution Policy, die genau die Fehlerklasse abfängt, die hinter dem Leak des großen AI-Unternehmens steckt – mit Abdeckung für npm-Pakete, Docker-Images und Helm-Charts. Klone es, deploye es in deiner Gruppe und stelle sicher, dass alle deine Pipelines für kommende Supply-Chain-Angriffe gewappnet sind.

Um mit zentralen Pipeline-Policies zu starten, registriere dich für eine kostenlose Testversion von GitLab Ultimate.

Dieser Blogbeitrag enthält „zukunftsgerichtete Aussagen" im Sinne von Abschnitt 27A des Securities Act von 1933 in der jeweils gültigen Fassung und Abschnitt 21E des Securities Exchange Act von 1934. Obwohl wir davon ausgehen, dass die in diesen Aussagen wiedergegebenen Erwartungen angemessen sind, unterliegen sie bekannten und unbekannten Risiken, Unsicherheiten, Annahmen und anderen Faktoren, die dazu führen können, dass die tatsächlichen Ergebnisse wesentlich abweichen. Weitere Informationen zu diesen Risiken und anderen Faktoren finden sich unter der Überschrift „Risk Factors" in unseren Einreichungen bei der SEC. Wir übernehmen keine Verpflichtung, diese Aussagen nach dem Datum dieses Blogbeitrags zu aktualisieren oder zu revidieren, sofern dies nicht gesetzlich vorgeschrieben ist.

GitLab Duo CLI bringt die agentenbasierte KI der Duo Agent Platform ins Terminal – mit vollständiger Unterstützung für automatisierte Workflows und einem interaktiven Chat-Modus, wenn ein Mensch im Loop bleiben soll. Dieser Artikel beschreibt, was Duo CLI leistet, wie die beiden Betriebsmodi funktionieren und welches Sicherheitsmodell dahintersteht.

GitLab Duo CLI installieren

Wer GLab (die GitLab CLI) bereits installiert hat, führt folgenden Befehl aus:

glab duo cli

Anschließend einfach den Anweisungen folgen.

Ohne GLab: Hier installieren oder Duo CLI als eigenständiges Tool verwenden.

Warum das Terminal – und warum jetzt

Die erste Generation von KI-Assistenten für die Softwareentwicklung war auf die IDE ausgerichtet und konzentrierte sich ausschließlich auf Code-Erstellung. Das war sinnvoll, solange Autovervollständigung im Vordergrund stand. Sobald KI-Agenten jedoch eigenständig handeln – Tests ausführen, Pipelines auslösen, Vulnerability-Scans überwachen und mehr – reicht die IDE als einzige Abstraktionsebene nicht mehr aus.

Die besten Entwickler-Tools funktionieren sowohl für Menschen als auch für Maschinen. CLIs haben sich über Jahrzehnte in genau diese Richtung entwickelt. Sie sind komponierbar: Output lässt sich weiterleiten, Befehle verketten, Skripte einbetten. Sie sind nachvollziehbar: Wenn etwas schiefläuft, führt man denselben Befehl aus und sieht genau, was der Agent gesehen hat. Und sie sind transparent: keine Hintergrundprozesse, kein Initialisierungsaufwand, kein Protokoll, das beim Fehlerfall erst entschlüsselt werden muss.

Terminal-Interfaces eignen sich besser für Automatisierung, Scripting und portable Umgebungen. IDE-Interfaces bieten sich für interaktive, kontextreiche Entwicklung an. GitLab Duo CLI ist für ersteres ausgelegt – Duo Agentic Chat in IDE und UI deckt letzteres ab.

Was GitLab Duo CLI kann

Mit GitLab Duo CLI lässt sich Code erstellen, anpassen, refaktorieren und modernisieren – vergleichbar mit anderen KI-gestützten Coding-Assistenten für das Terminal. Darüber hinaus sind alle Agenten und Flows der GitLab Duo Agent Platform über Duo CLI zugänglich: von der Automatisierung von CI/CD-Konfigurationen und Pipeline-Optimierungen bis hin zur autonomen Ausführung mehrstufiger Entwicklungsaufgaben über den gesamten Software-Lebenszyklus.

GitLab Duo CLI läuft in zwei Modi:

• Interaktiver Modus – eine editor-unabhängige Terminal-Chat-Umgebung mit menschlicher Freigabe vor jeder Aktion. Geeignet für das Verstehen von Codebase-Strukturen, das Erstellen von Code, die Fehlersuche oder das Troubleshooting von Pipelines.
• Headless-Modus – nicht-interaktiv, ausgelegt für Runner, Skripte und automatisierte Workflows. Direkt in CI/CD einbinden, ohne manuelle Eingriffe.

KI mit Leitplanken

Agentenbasierte KI, die eigenständig Aktionen ausführen kann, birgt reale Sicherheitsrisiken. GitLab Duo CLI adressiert diese auf Plattformebene – nicht nachträglich:

• Human-in-the-Loop standardmäßig im interaktiven Modus: Keine Aktion wird ohne Freigabe ausgeführt.
• Prompt-Injection-Erkennung ist in der GitLab Duo Agent Platform integriert, nicht nachgerüstet.
• Composite Identity – eine kombinierte Identität, die sowohl den Nutzenden als auch den Agenten repräsentiert – begrenzt die Zugriffsrechte des Agenten und macht jede KI-gesteuerte Aktion nachvollziehbar.

GitLab Duo CLI unterstützt darüber hinaus benutzerdefinierte Instruktionsdateien – z. B. chat-rules.md, AGENTS.md und SKILL.md – die festlegen, welche Aufgaben, Ressourcen, Kontexte und Aktionen ein Agent ausführen darf. Das ist das Prinzip der minimalen Rechtevergabe auf KI angewendet: Der Agent tut genau das, wozu er autorisiert wurde – und nichts darüber hinaus.

GitLab Duo CLI in Aktion:

GitLab Duo CLI ausprobieren

Den Einstieg bietet ein kostenloser Test der GitLab Duo Agent Platform.

Wer GitLab bereits im Free Tier nutzt, kann GitLab Duo Agent Platform durch wenige einfache Schritte aktivieren.

Bestehende GitLab-Premium- oder -Ultimate-Abonnenten können Duo CLI nutzen, indem sie Duo Agent Platform aktivieren – die benötigten GitLab Credits sind im jeweiligen Abonnement bereits enthalten.

Wochen Entwicklungsarbeit, abgeschlossenes Code-Review, alle Tests grün. Das Feature gelangt in die Produktion – und innerhalb einer Stunde treffen Fehlerberichte ein. Der Code verhält sich für die meisten Nutzenden korrekt, aber bestimmte Produktions-Szenarien, die im Staging nicht aufgetreten sind, führen bei einem Teil der Nutzenden zu Ausfällen. Das Ergebnis: ungeplanter Rollback, Incident-Dokumentation, Ursachenanalyse.

Feature Flags verhindern genau das. Das Prinzip: Deployment und Release werden entkoppelt. Code gelangt in die Produktion, sobald er bereit ist – wer das neue Feature tatsächlich sieht, wird unabhängig davon über einen Schalter in GitLab gesteuert. Kein Redeployment, kein Hotfix, keine ungeplante Rollback-Prozedur.

Systematisch gesteuerte Rollouts

Der eigentliche Wert von Feature Flags liegt in der schrittweisen Freigabe. Ein typischer Ablauf:

1. QA-Team (User-IDs-Strategie): Das Feature ist nur für interne Tester sichtbar. Probleme werden erkannt, bevor externe Nutzende betroffen sind.
2. Prozentualer Rollout (z. B. 10 %): Das Feature wird für einen definierten Anteil der Nutzenden aktiviert. Metriken und Fehlerraten lassen sich unter realen Bedingungen beobachten.
3. Vollständige Freigabe: Erst wenn das Verhalten in der Produktion validiert ist, wird das Feature für alle aktiviert.

Tritt auf einer Stufe ein Problem auf, reicht ein Klick in der GitLab-Oberfläche, um das Feature zu deaktivieren – ohne Code-Änderung, ohne Pipeline.

Skalierung und Produktionsbetrieb

GitLab stellt für jedes Projekt eine Unleash-kompatible API bereit. Der Unleash-SDK pollt die Flag-Definitionen beim Start und danach in einem konfigurierbaren Intervall (im Demo-Projekt: 15 Sekunden). Die Auswertung erfolgt lokal aus dem Cache – kein Netzwerkaufruf pro Flag-Abfrage, kein Latenzeinfluss auf den Request.

Für kleinere Deployments ist das 15-Sekunden-Intervall gut geeignet. Bei Deployments mit vielen App-Instanzen von derselben IP-Adresse gilt: GitLab.com unterstützt bei diesem Intervall rund 125 Clients, bevor Rate-Limits greifen. Für größere Produktionsumgebungen empfiehlt sich ein vorgelagerter Unleash Proxy, der Anfragen mehrerer Instanzen bündelt.

Sicherheitsrelevante Aspekte

• Keine Credentials im Quellcode: Instance ID und alle Tokens gehören in Umgebungsvariablen, nicht in den Code.
• Instance ID ist read-only: Sie erlaubt ausschließlich das Abrufen von Flag-Zuständen, keine Änderungen. Trotzdem als Secret behandeln.
• Debug-Modus deaktiviert lassen: Flasks Debug-Modus ermöglicht Remote Code Execution – in der Produktion zwingend deaktiviert.
• Abhängigkeiten aktuell halten: Dependency Scanning in der CI/CD-Pipeline aktivieren, um Schwachstellen in gepinnten Versionen zu erkennen.

Schritt-für-Schritt: Integration in eine Python-Flask-App

Dieser Abschnitt gibt einen Überblick über die technische Integration. Die vollständige Implementierung – alle Schritte, der komplette Code und ein lauffähiges Demo-Projekt – ist im englischen Originalartikel beschrieben. Das Demo-Repository steht unter gitlab.com/omid-blogs/gitlab-feature-flags-demo zum Forken bereit.

SDK vs. GitLab REST API

Für eine App, die Flags bei jedem Request auswertet, ist der SDK die geeignete Wahl:

Kernmuster der Integration

Die gesamte Integration besteht aus einer Abhängigkeit (UnleashClient), drei Umgebungsvariablen und einem Methodenaufruf.

SDK initialisieren:

    url=UNLEASH_URL,
    app_name=UNLEASH_APP_NAME,
    instance_id=UNLEASH_INSTANCE_ID,
    refresh_interval=15,
    metrics_interval=60,
)
unleash_client.initialize_client() ```

**Flag abfragen:**

```python def is_flag_enabled(flag_name):
    return unleash_client.is_enabled(flag_name)

is_enabled() wertet lokal aus dem Cache aus – kein Netzwerkaufruf, kein Latenzeinfluss auf den Request.

Nutzerkontext für gezieltes Targeting übergeben:

    'new_layout',
    context={'userId': current_user.id}
) ```

Der SDK übernimmt das konsistente Hashing für prozentuale Rollouts. Für die vollständige Einrichtung – Flags in GitLab anlegen, Unleash-Credentials abrufen, App lokal ausführen und Flags in Echtzeit umschalten – siehe den [englischen Originalartikel](https://about.gitlab.com/blog/getting-started-with-gitlab-feature-flags-in-python/).

### Ressourcen

* [Demo-Projekt auf GitLab](https://gitlab.com/omid-blogs/gitlab-feature-flags-demo)
* [GitLab Feature-Flags-Dokumentation](https://docs.gitlab.com/operations/feature_flags/)
* [Unleash Python SDK auf GitHub](https://github.com/Unleash/unleash-python-sdk)

Die Funktionen bieten Teams konkrete Vorteile:

• Kein wiederholtes Einrichten von Filtern für häufige Arbeitsabläufe
• Konsistente Ansichten für die gemeinsame Bewertung von Arbeit im Team
• Einheitliche Grundlage für Berichte und Statusübersichten

Was sind Work Items?

Bisher befinden sich Epics und Issues auf getrennten Listenseiten, was das Navigieren zwischen ihnen erfordert. Die Work-Items-Liste fasst Epics, Issues und andere Work Items in einer einheitlichen Listenansicht zusammen und macht das Wechseln zwischen getrennten Seiten überflüssig.

Dies ist zugleich die Grundlage für tiefergehende Planungsfunktionen. Die Zusammenführung aller Work-Item-Typen schafft die Voraussetzung für Hierarchieansichten – zum Beispiel eine Tabellenansicht –, die Beziehungen und Strukturen über Epics, Issues und andere Elemente hinweg auf einen Blick sichtbar machen.

Über Listen- und Hierarchieansichten hinaus ist geplant, weitere häufige Arbeitsabläufe – etwa Boards – in diese einheitliche Erfahrung zu integrieren. Das Ziel: alle wesentlichen Planungsansichten an einem Ort, über gespeicherte Ansichten mit dem Team teilbar, ohne durch verschiedene Produktbereiche navigieren zu müssen.

Vielleicht fragst du dich, warum wir von „Work Items" sprechen und nicht von Issues. Die kurze Antwort: „Issue" skaliert nicht dorthin, wo wir hinwollen. Bald lassen sich Work-Item-Typen vollständig konfigurieren – einschließlich ihrer Bezeichnungen –, um die Planungshierarchie der eigenen Organisation abzubilden. An der bestehenden Terminologie festzuhalten würde diese Flexibilität entgegenwirken. „Work Items" ist die Grundlage für ein Modell, das sich individuell anpassen lässt.

Was hat zur Änderung geführt?

2024 haben wir unsere Vision für eine neue Agile-Planungserfahrung in GitLab vorgestellt, die auf dem Work-Items-Framework basiert. Darin beschrieben wir das zentrale Problem: Epics und Issues existierten als getrennte Erfahrungen und erzeugten Reibung für Teams, die konsistente Funktionalität über Planungsobjekte hinweg erwarteten. Das Work-Items-Framework war unsere Antwort darauf – eine einheitliche Architektur für Konsistenz und neue Möglichkeiten in GitLabs Planungswerkzeugen. Work-Items-Liste und gespeicherte Ansichten sind ein Schritt auf diesem Weg.

Was sind gespeicherte Ansichten?

Gespeicherte Ansichten ermöglichen es, benutzerdefinierte Listenkonfigurationen – einschließlich Filter, Sortierung und Anzeigeoptionen – zu speichern und später aufzurufen. Damit lassen sich wiederkehrende Prüfungen strukturierter durchführen und einheitliche Arbeitsweisen im Team etablieren.

Wie geht es weiter?

Um zu verstehen, warum wir diese Änderungen vornehmen, lohnt sich ein Blick auf das Ziel.

Das Ziel ist nicht nur eine Work-Items-Liste, sondern eine Planungserfahrung, die es erlaubt, zwischen verschiedenen Ansichtstypen – Liste, Board, Tabelle und mehr – zu wechseln und dabei den aktuellen Filterbereich beizubehalten.

In Kombination mit gespeicherten Ansichten lässt sich für jeden Arbeitsablauf eine eigene Ansicht anlegen: Iterationsplanung, Backlog-Pflege, Portfolio-Planung mit verschachtelten Tabellenansichten und mehr.

Jede Ansicht ist sofort einsatzbereit, filtert und zeigt Arbeit konsistent an und lässt sich mit dem Team teilen. Das Framework ermöglicht künftig weitere Funktionen, darunter vollständige Swimlane-Unterstützung für beliebige Work-Item-Attribute in Boards.

Wir wissen, dass Änderungen an täglich genutzten Werkzeugen störend sein können. Wer Arbeitsabläufe rund um die bestehenden Epic- und Issue-Listenseiten aufgebaut hat, wird Unterschiede bemerken. Das nehmen wir nicht auf die leichte Schulter.

Diese Richtung war keine schnelle Entscheidung. Sie spiegelt jahrelanges Feedback, eine erhebliche Investition in die Architektur des Work-Items-Frameworks und die Überzeugung wider, dass eine einheitliche Erfahrung Teams langfristig besser dient. Wir rechnen damit, dass die Umstellung Anpassungen erfordert, und werden auf Basis eures Feedbacks nachjustieren.

Teilt euer Feedback

Probiert die neuen Funktionen aus und teilt eure Erfahrungen mit der Work-Items-Liste und gespeicherten Ansichten in unserem Feedback-Issue. Eure Kommentare helfen dabei, diese Funktionen weiterzuentwickeln.

Das ist neu:

• Erkennung von False Positives bei statischen Anwendungssicherheitstests (SAST) ist jetzt allgemein verfügbar. Dieser Flow nutzt ein LLM für agentisches Reasoning, um die Wahrscheinlichkeit zu bestimmen, ob eine Schwachstelle ein False Positive ist oder nicht. So können sich Sicherheits- und Entwicklungsteams zuerst auf die Behebung kritischer Schwachstellen konzentrieren.
• Agentische SAST-Schwachstellenbehebung ist jetzt als Beta verfügbar. Die agentische SAST-Schwachstellenbehebung erstellt automatisch einen Merge Request mit einem Lösungsvorschlag für verifizierte SAST-Schwachstellen. Das verkürzt die Zeit bis zur Behebung und reduziert den Bedarf an tiefgreifender Sicherheitsexpertise.
• Erkennung von False Positives bei Geheimnissen ist jetzt als Beta verfügbar. Dieser Flow bringt die gleiche KI-basierte Rauschreduzierung in die Erkennung von Geheimnissen und kennzeichnet Dummy- und Test-Geheimnisse, um den Prüfaufwand zu verringern.

Diese Flows stehen Kund(inn)en von GitLab Ultimate zur Verfügung, die GitLab Duo Agent Platform nutzen.

Triage-Zeit mit SAST-False-Positive-Erkennung verkürzen

Herkömmliche SAST-Scanner kennzeichnen jedes verdächtige Codemuster, das sie finden – unabhängig davon, ob Codepfade erreichbar sind oder Frameworks das Risiko bereits abfangen. Ohne Laufzeitkontext können sie eine echte Schwachstelle nicht von sicherem Code unterscheiden, der lediglich gefährlich aussieht.

Das bedeutet, dass Entwickler(innen) möglicherweise Stunden damit verbringen, Ergebnisse zu untersuchen, die sich als False Positives herausstellen. Mit der Zeit kann das das Vertrauen in den Bericht untergraben und die Teams verlangsamen, die für die Behebung echter Risiken verantwortlich sind.

Nach jedem SAST-Scan analysiert GitLab Duo Agent Platform automatisch neue kritische und hochgradig schwerwiegende Ergebnisse und fügt Folgendes hinzu:

• Einen Konfidenzwert, der angibt, wie wahrscheinlich es ist, dass das Ergebnis ein False Positive ist
• Eine KI-generierte Erklärung mit der Begründung
• Ein visuelles Badge, das „Wahrscheinlich False Positive“ und „Wahrscheinlich echt“ in der UI leicht erkennbar macht

Diese Ergebnisse erscheinen im Sicherheitslückenbericht, wie unten dargestellt. Der Bericht lässt sich filtern, um sich auf Ergebnisse zu konzentrieren, die als „Kein False Positive“ markiert sind. So können Teams ihre Zeit für die Behebung echter Schwachstellen nutzen, anstatt Rauschen zu sichten.

Die Bewertung von GitLab Duo Agent Platform ist eine Empfehlung. Die Kontrolle über jedes False Positive bleibt erhalten, und die Begründung des Agenten kann jederzeit überprüft werden, um Vertrauen in das Modell aufzubauen.

Schwachstellen in automatisierte Fixes umwandeln

Zu wissen, dass eine Schwachstelle echt ist, ist nur die halbe Arbeit. Die Behebung erfordert weiterhin das Verständnis des Codepfads, das Schreiben eines sicheren Patches und die Sicherstellung, dass nichts anderes beeinträchtigt wird.

Wenn die Schwachstelle durch den SAST-False-Positive-Erkennungsflow als wahrscheinlich kein False Positive identifiziert wird, führt der agentische SAST-Schwachstellenbehebungsflow automatisch folgende Schritte aus:

1. Liest den anfälligen Code und den umgebenden Kontext aus dem Repository
2. Generiert hochwertige Lösungsvorschläge
3. Validiert die Fixes durch automatisierte Tests
4. Öffnet einen Merge Request mit einem Lösungsvorschlag, der Folgendes enthält:
   • Konkrete Codeänderungen
   • Einen Konfidenzwert
   • Eine Erklärung, was geändert wurde und warum

In dieser Demo siehst du, wie GitLab eine SAST-Schwachstelle automatisch vom Erkennen bis hin zu einem prüfbereiten Merge Request verarbeiten kann. Beobachte, wie der Agent den Code liest, einen Fix generiert und validiert und einen MR mit klaren, nachvollziehbaren Änderungen öffnet – damit Entwickler(innen) schneller beheben können, ohne Sicherheitsexpert(inn)en sein zu müssen.

Wie bei jedem KI-generierten Vorschlag sollte der vorgeschlagene Merge Request vor dem Zusammenführen sorgfältig geprüft werden.

Echte Geheimnisse identifizieren

Die Erkennung von Geheimnissen ist nur dann nützlich, wenn Teams den Ergebnissen vertrauen. Wenn Berichte voller Test-Zugangsdaten, Platzhalterwerte und Beispiel-Token sind, verschwenden Entwickler(innen) möglicherweise Zeit mit der Überprüfung von Rauschen, anstatt echte Sicherheitslücken zu beheben. Das kann die Behebung verlangsamen und das Vertrauen in den Scan verringern.

Die False-Positive-Erkennung bei Geheimnissen hilft Teams, sich auf die relevanten Geheimnisse zu konzentrieren und Risiken schneller zu reduzieren. Bei der Ausführung auf dem Standard-Branch werden automatisch folgende Schritte durchgeführt:

1. Jedes Ergebnis wird analysiert, um wahrscheinliche Test-Zugangsdaten, Beispielwerte und Dummy-Geheimnisse zu identifizieren
2. Ein Konfidenzwert wird zugewiesen, ob das Ergebnis ein echtes Risiko oder wahrscheinlich ein False Positive ist
3. Eine Erklärung wird generiert, warum das Geheimnis als echt oder als Rauschen eingestuft wird
4. Ein Badge wird im Sicherheitslückenbericht hinzugefügt, damit Entwickler(innen) den Status auf einen Blick erkennen können

Entwickler(innen) können diese Analyse auch manuell über den Sicherheitslückenbericht auslösen, indem sie bei einem Ergebnis der Geheimniserkennung „Auf False Positive prüfen“ auswählen. So lassen sich Ergebnisse ohne Risiko aussortieren und echte Geheimnisse schneller adressieren.

KI-basierte Sicherheit jetzt testen

GitLab 18.10 führt Funktionen ein, die den gesamten Schwachstellen-Workflow abdecken – von der Reduzierung von False-Positive-Rauschen bei SAST und der Erkennung von Geheimnissen bis hin zur automatischen Generierung von Merge Requests mit Lösungsvorschlägen.

Um zu erfahren, wie KI-basierte Sicherheit die Prüfzeit verkürzen und Ergebnisse in zusammenführbare Fixes umwandeln kann, starte jetzt eine kostenlose Testversion von GitLab Duo Agent Platform.

Das ändert sich mit GitLab 18.10. Ab sofort können kostenlose GitLab.com-Teams ein monatliches Kontingent an GitLab Credits erwerben und GitLab Duo Agent Platform sofort nutzen. Ein Upgrade des Abonnements ist nicht erforderlich. Dies ist ein vollwertiger Einstieg in agentische KI für Teams, die noch keinen GitLab-Tarif hinzufügen möchten, aber bereit sind, mit KI zu arbeiten.

Das Modell ist einfach: Bezahlt wird für das, was die KI leistet – nicht für die Anzahl der Nutzer(innen). Die Gruppeninhaber(innen) erwerben über die Abrechnungseinstellungen der Gruppe ein monatliches Kontingent an GitLab Credits. Das gesamte Team erhält Zugang zu denselben KI-Agenten und Workflows, die auch GitLab Premium- und Ultimate-Kund(inn)en für Planung, Codegenerierung, automatisierte Code Reviews und Pipeline-Diagnose nutzen – alles aus einem gemeinsamen Credit-Pool.

Das GitLab Credits Dashboard bietet Gruppeninhaber(inne)n Transparenz darüber, welche Agenten und Workflows Credits verbrauchen, sodass die KI-Ausgaben direkt mit der geleisteten Arbeit verknüpft werden können.

Tag Null mit GitLab Duo Agent Platform

Sobald die Gruppeninhaber(innen) Credits erworben haben, kann jedes Teammitglied GitLab Duo Agent Platform sofort nutzen.

So sieht ein typischer Workflow aus:

Alles beginnt mit einer Feature-Anfrage für die Software. Öffne Planner Agent im Agentic Chat und beschreibe in natürlicher Sprache, was benötigt wird. Der Agent zerlegt die Anforderung in strukturierte Workitems: Issues mit Beschreibungen, Labels und Beziehungen. Alles wird direkt im Projekt erstellt. Was früher einen ganzen Nachmittag manueller Issue-Pflege erforderte, dauert jetzt nur noch wenige Minuten.

Wähle eines dieser Issues aus und weise Developer Flow zu, um mit der Arbeit zu beginnen. Der Agent liest den Issue-Kontext, generiert Code gemäß den Anforderungen, führt Tests aus und erstellt einen Merge Request zur Überprüfung. Für iterativere Arbeit – ob Refactoring, Erweiterung oder Code-Erklärung im Projektkontext – steht auch Agentic Chat zur Verfügung.

Wenn der Merge Request bereit ist, führt Code Review Flow eine mehrstufige automatisierte Überprüfung durch: Die Änderungen werden gescannt, der Repository-Kontext einbezogen und strukturiertes Inline-Feedback direkt am Diff gepostet. Die menschlichen Prüfer(innen) können die erste Durchsicht überspringen und sich auf Architektur und Geschäftslogik konzentrieren.

Und wenn die Pipeline fehlschlägt, liest Fix CI/CD Pipeline Flow die Fehlerprotokolle, verfolgt den Fehler bis zur Grundursache und schlägt eine Lösung vor. Anstatt manuell Job-Protokolle durchzugehen, erhält das Team einen Ausgangspunkt für die Fehlerbehebung.

GitLab Duo Agent Platform begleitet die Softwareentwicklung von der Iteration bis zum Deployment – angetrieben von einem einzigen Credit-Pool.

Der Einstieg in Agenten und Workflows ist einfach – von der Planung bis zum Deployment in unter 3 Minuten. Sieh dir dieses Demo an, um mehr zu erfahren:

Code Review zum Festpreis: Planbare Kosten bei wachsendem Umfang

Von allen Workflows, die über GitLab Duo Agent Platform verfügbar sind, liefert die automatisierte Code Review den schnellsten Mehrwert – und genau hier ist eine planbare Preisgestaltung besonders wichtig.

Code Review Flow kostet jetzt pauschal 0,25 GitLab Credits pro Review – unabhängig von der Größe des Merge Requests, der Komplexität des Repository oder der Anzahl der intern durchgeführten Schritte. Vier Reviews entsprechen einem Credit. Ob das Team 500 oder 50.000 Merge Requests pro Monat zusammenführt – die Kosten lassen sich direkt anhand der Anzahl der Reviews kalkulieren.

Ein genauerer Blick auf die Zahlen lohnt sich. Manuelle Code Reviews kosten nicht nur Geld, sondern auch Zeit und verursachen durch ständigen Kontextwechsel Unterbrechungen in der Entwicklung. Die durch Code Review Flow eingesparte Zeit kann mit wachsendem Review-Volumen zu erheblichen Einsparungen führen. Hunderte Reviews können nun gleichzeitig statt nacheinander in einer Warteschlange bearbeitet werden. Die Zeitersparnis potenziert sich so schnell mit der Kostenersparnis.

Für Teams im kostenlosen Tarif von GitLab bedeutet das: Der Anteil des monatlichen Credit-Pools, der für Code Reviews verwendet wird, ist genau kalkulierbar.

Erfahre mehr darüber, wie Code Review Flow funktioniert und was das für die Skalierung der Entwicklungsorganisation bedeutet.

Warum Premium den Mehrwert vervielfacht

GitLab Credits im kostenlosen Tarif bieten einen direkten Einstieg in agentische KI. Wenn das Team GitLab umfassender nutzt, vereint Premium die wirtschaftlichen Vorteile mit erweiterten Funktionen.

Für 29 USD pro Benutzer(in) und Monat enthält GitLab Premium im Rahmen eines Aktionsangebots 12 GitLab Credits pro Benutzer(in). Für ein Team von 20 Personen sind das 240 Credits pro Monat, bevor zusätzliche Kosten entstehen – genug für etwa 960 automatisierte Code Reviews oder eine Kombination aus Code Review, Planung, Entwicklungs-Workflows und Pipeline-Fehlerbehebung.

GitLab Duo Agent Platform ist nur ein Teil dessen, was Premium bietet. Hinzu kommen erweitertes CI/CD für Pipelines mit hohem Volumen, Merge-Approvals und Code Owners für Governance sowie KI, die innerhalb einer einzigen Datenschicht mit einheitlichem Kontext über alle Projekte hinweg arbeitet.

Wenn das Team Credits im kostenlosen Tarif nutzt und feststellt, dass KI zu einem zentralen Bestandteil des Workflows wird, ist Premium der natürliche nächste Schritt – mit den enthaltenen Aktions-Credits. Premium bietet mehr Plattformfunktionen und eine Grundlage, die mitwächst.

Jetzt loslegen

GitLab 18.10 ist ab sofort verfügbar. Ob agentische KI für schnellere Entwicklung oder die vollständige Plattform zur Unterstützung bestehender Arbeitsweisen benötigt wird – es gibt einen klaren Weg zur Beschleunigung des Softwareentwicklungsprozesses.

• Kostenlose GitLab.com-Teams: Erwerbe ein monatliches Kontingent an GitLab Credits über die Abrechnungseinstellungen der Gruppe und nutze GitLab Duo Agent Platform noch heute.
• Teams, die die vollständige Plattform benötigen: Finde das passende GitLab-Abonnement für dein Team oder starte eine kostenlose Testversion von GitLab Ultimate.

Die Einrichtung von Credits für das Team ist schnell und einfach. Sieh dir dieses Demo an, um mehr zu erfahren:

FAQ

Was ist ein monatliches Kontingent an GitLab Credits?

Ein monatliches Kontingent ist eine nutzungsbasierte Kaufoption, bei der die Gruppeninhaber(innen) eine festgelegte Anzahl von Credits auswählen, die als gemeinsamer Pool für die gesamte Gruppe gelten. Credits werden verbraucht, wenn das Team die Funktionen von GitLab Duo Agent Platform nutzt. Weitere Informationen findest du in der GitLab Credits Dokumentation.

Wer kann heute GitLab Credits erwerben?

GitLab Premium- und Ultimate-Kund(inn)en erhalten bereits Aktions-Credits als Teil ihres Abonnements. Ab Version 18.10 können auch kostenlose GitLab.com-Namespaces auf oberster Ebene ein monatliches Kontingent an Credits über die Self-Service-Gruppenabrechnung erwerben. Aktuelle Informationen zur Berechtigung findest du in der GitLab Credits Dokumentation.

Welche KI-Funktionen werden durch Credits im kostenlosen Tarif freigeschaltet?

Teams mit Credits erhalten Zugang zu denselben agentischen KI-Funktionen und Modellen, die auch Premium- und Ultimate-Kund(inn)en zur Verfügung stehen – darunter Planner Agent, Developer Flow, Code Review Flow, Fix CI/CD Pipeline Flow, Agentic Chat, Codevorschläge, benutzerdefinierte Agenten und Workflows und mehr. Die vollständige Liste findest du in der Duo Agent Platform Dokumentation.

Was kostet die automatisierte Code Review?

Code Review Flow berechnet einen Festpreis von 0,25 GitLab Credits pro Review – unabhängig von der Größe oder Komplexität des Merge Requests. Aktuelle Preisdetails findest du in der Code Review Flow Dokumentation.

Kann ich vom kostenlosen Tarif mit Credits auf GitLab Premium upgraden?

In GitLab 18.10 ist das Upgrade von einem kostenlosen Namespace mit monatlichem Credit-Kontingent auf Premium über einen vertriebsgestützten Prozess möglich. Kontaktiere das GitLab-Vertriebsteam, um die Optionen zu besprechen.

Die Branche reagiert mit KI-gestützten Review-Tools, aber die meisten haben einen Haken: unvorhersehbare, tokenbasierte Preise, die es schwierig machen, sie überall zu aktivieren. Einige der neuen Tools kosten zwischen 15 und 25 Dollar pro Review, je nach Größe und Komplexität der Änderung. Zu diesem Preis rationieren Teams Reviews auf hochpriorisierte Änderungen und die Warteschlange bleibt lang.

Code Review Flow, eine agentische KI-Funktion innerhalb von GitLab Duo Agent Platform, kostet 0,25 US-Dollar pro Review. Festpreis. Jeder Merge Request, jedes Projekt, jedes Mal.

Wie es funktioniert

Wenn ein Merge Request geöffnet wird, führt Code Review Flow automatisch einen mehrstufigen Review durch: Scannen von Änderungen, Erkunden des relevanten Repository-Kontexts, Überprüfung anhand deiner Pipeline, der Sicherheitsergebnisse und der Compliance-Anforderungen, dann Generierung von strukturiertem Inline-Feedback.

Das Ergebnis ist ein Review, der auf dem basiert, was tatsächlich in deinem Projekt passiert, nicht nur auf dem, was sich im Diff geändert hat. Und weil es innerhalb von GitLab läuft, erhältst du etwas, das eigenständige Tools nicht bieten können: Hunderte von Reviews, die parallel in deiner gesamten Organisation laufen, nicht einzeln in der IDE einer Person.

Sieh dir Code Review in Aktion an:

Einfache Mathematik, echte Einsparungen

Jeder Review kostet 0,25 GitLab Credits (0,25 US-Dollar zum Listenpreis). Vier Reviews, ein Credit. Ob dein Team 500 MRs pro Monat oder 50.000 zusammenführt, die Mathematik ist gleich.

Keine Token-Schätzung. Keine Rechnungsüberraschungen basierend auf der Komplexität des Merge Requests. Nur ein Festpreis pro Review, den du in einer Tabelle prognostizieren kannst.

Zur Einordnung: Wenn ein manueller Code Review ungefähr 15 Minuten der Zeit eines erfahrenen Profis dauert, sind das etwa 25 US-Dollar an Ingenieurkosten. Bei 0,25 Dollar pro automatisiertem Review ist das eine 99%ige Reduktion der Kosten pro Review. Und weil Reviews parallel laufen, anstatt in einer Warteschlange zu sitzen, sparst du nicht nur Geld. Du bekommst Merge Requests in Minuten statt Stunden freigegeben.

Warum Festpreise alles verändern

Bei variabler Preisgestaltung wählen Teams aus, welche MRs KI-Reviews erhalten. Bei 0,25 US-Dollar denken sie nicht lange nach, sondern schalten es für alles ein.

Jeder MR, jedes Projekt. Stelle Code Review Flow so ein, dass es automatisch bei jedem Merge Request ausgelöst wird. Lasse den Agenten die Warteschlange bearbeiten, während sich deine Entwickler(innen) auf Architektur und Mentoring konzentrieren.

Konsistente Standards im großen Maßstab. Definiere benutzerdefinierte Merge-Review-Anweisungen pro Projekt. Ein Projekt verwendet den integrierten Flow. Ein anderes verwendet Claude Code oder Codex. Ein drittes führt einen benutzerdefinierten Agenten aus. All das läuft parallel, jedes an seine eigenen Schutzmaßnahmen ausgerichtet, alle an einem Ort sichtbar.

Entsperre die Review-Warteschlange. Der Engpass in der modernen Softwarebereitstellung ist nicht das Schreiben von Code – es ist das Warten auf jemanden, der ihn überprüft. Parallele KI-Reviews zum Festpreis verwandeln eine tagelange Warteschlange in einen Prozess von nur Minuten.

Neu bei GitLab Credits? GitLab Credits sind die Verbrauchseinheit für die Nutzung von Duo Agent Platform. 1 Credit = 1 Dollar. Erfahre mehr darüber, wie GitLab Credits funktionieren.

Jetzt starten

Die Festpreisgestaltung von 0,25 US-Dollar für agentische Code Reviews ist jetzt verfügbar, wenn du GitLab Duo Agent Platform auf GitLab.com, Dedicated oder auf Self-Managed-Instanzen mit Version 18.8.4 oder später verwendest. Aktiviere Code Review Flow jetzt standardmäßig für jeden Merge Request, den deine Teams erstellen.

Starte eine kostenlose Testversion von GitLab Duo Agent Platform um es in Aktion zu sehen, oder wende dich als GitLab-Nutzer(in) mit Fragen an deine Account-Vertreter.

Bol stattet seine Teams mit der GitLab DevSecOps-Plattform aus – und spart dabei mehrere tausend manuelle Entwicklerstunden pro Monat bei Compliance-Prüfungen ein.

Wie deutsche Unternehmen ihr gesamtes Compliance-Management automatisieren können, erklären zwei Solutions-Architektinnen aus dem deutschen Team in diesem Beitrag.

"GitLab hilft uns, handlungsfähig zu bleiben, während wir wachsen – und während die Anforderungen wachsen, die unsere Software und unsere Entwickler(innen) erfüllen müssen", sagt Guus Houtzager, Engineering Manager im CI/CD-Team von bol. "Das war unsere größte Herausforderung, und wir haben sie mit GitLab gelöst."

Mit wachsendem Umsatz stiegen auch die regulatorischen Anforderungen. Bol muss seine Software kontinuierlich anpassen, um strenge und häufig aktualisierte Vorschriften zu erfüllen: die Datenschutz-Grundverordnung (DSGVO), ISO-Anforderungen und den EU AI Act. Nach der Einführung der GitLab Community Edition 2016 und des Upgrades auf GitLab Premium einige Jahre später wechselte bol 2024 auf GitLab Ultimate, um der wachsenden Compliance-Last zu begegnen und Projekte schneller und effizienter abzuwickeln.

Mehrere tausend Entwicklerstunden pro Monat eingespart

GitLab ermöglicht es bols DevSecOps-Teams, Richtlinien einzurichten, die Compliance-Konfigurationen und -Prüfungen automatisieren. Das schafft Konsistenz und Skalierbarkeit in den Compliance-Bemühungen des Unternehmens und reduziert das Risiko menschlicher Fehler. Mit automatisierten Compliance-Vorgaben kann sich das Team von 850 Entwickler(inne)n auf die Erstellung sicherer Software konzentrieren.

"Wir haben GitLab Ultimate eingeführt, um verbindliche Compliance-Pipelines zu haben, die sicherstellen, dass unsere Teams von Anfang an innerhalb der Compliance-Vorschriften arbeiten", sagt Houtzager.

"Das hat unseren Entwickler(inne)n insgesamt mehrere tausend Stunden pro Monat eingespart", so Houtzager weiter.

Das Team ist heute in der Lage, neue regulatorische Anforderungen proaktiv zu bewältigen.

"Wir wissen, dass GitLab uns bei Compliance und Softwaresicherheit unterstützen wird", sagt Houtzager. "Selbst wenn neue Vorschriften kommen, haben wir durch GitLab ein Werkzeugset, das uns in die Lage versetzt, jede neue Regulierung einzuhalten. Wir wissen nicht genau, was kommen wird – aber wir wissen, dass wir in der Position sind, damit umzugehen.""

Security nach links verschieben – Kundendaten und Geschäft schützen

Als einer der größten Akteure im europäischen Online-Handel ist Vertrauen ein zentraler Pfeiler des Geschäftsmodells von bol. Das Unternehmen verarbeitet große Mengen personenbezogener Daten – Adressen, Bestelldetails, Zahlungsinformationen. Regulatorische Bußgelder sind dabei eine Sorge, der Vertrauensverlust beim Kundenstamm eine größere.

"Die meisten Menschen in den Niederlanden und Belgien haben schon einmal bei uns gekauft, und sie vertrauen uns", sagt Houtzager. "Sie vertrauen darauf, dass wir ihre Zahlungsdaten ordnungsgemäß verwalten. Wir verkaufen keine personenbezogenen Daten, und sie vertrauen uns, diese sicher zu halten."

Um Kundendaten zu schützen, hat bol die Security nach links verschoben – Entwickler(innen) finden Fehler und Schwachstellen früher im Entwicklungsprozess. Ohne die richtigen Werkzeuge kann dieser Ansatz jedoch neue Belastungen schaffen.

"Wenn man Security nach links verschiebt, ohne den Teams gleichzeitig die Werkzeuge, den Support und die Prozesse bereitzustellen, versanden Teams entweder in Verfahren oder in manueller Arbeit", sagt Houtzager.

Mit GitLab Ultimate hat bol das Berechtigungsmodell so eingerichtet, dass es die Sicherheitsanforderungen des Unternehmens erfüllt – Entwickler(innen) können schnell bauen und ausliefern, während Kunden- und Geschäftsdaten geschützt bleiben. Änderungen und Korrekturen werden automatisch in Compliance-Aufzeichnungen festgehalten.

Wie du Compliance-Standards für dein Unternehmen in der DACH-Region identifizierst und einhältst, erfährst du in diesem Beitrag.

KI als nächster Schritt

Der EU AI Act ist seit August 2024 in Kraft und wird schrittweise verbindlich – für Anbieter und Nutzer von KI-Systemen gleichermaßen. Bol plant, künftig weitere GitLab-Ultimate-Funktionen einzusetzen, darunter KI-Fähigkeiten und erweiterte Sicherheitsfunktionen.

"Die Voraussetzungen müssen stimmen, bevor wir es einsetzen können – aber dann werden wir uns definitiv anschauen, wie es uns helfen kann", sagt Houtzager. "Wir schauen, wie alle anderen auch, wo KI uns dabei helfen kann, Situationen über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu verbessern. Wenn jemand Code entwickelt – wie kann KI helfen? Wenn jemand an anderen Aspekten des Prozesses arbeitet – wie kann KI helfen?"

Weitere europäische Kundenstorys gibt es auf der GitLab-Kundenseite. Ein deutsches Praxisbeispiel zur Compliance-Automatisierung liefert die Deutsche Bahn Kundenstory.

GitLab Ultimate kostenlos testen

Was SSO und SCIM bieten

Single Sign-On (SSO) mit SAML ermöglicht Benutzern, sich einmal bei einem zentralen Identity Provider – wie Azure Entra ID – zu authentifizieren und dann auf mehrere verbundene Anwendungen zuzugreifen, ohne erneute Anmeldung. SCIM automatisiert die Benutzerverwaltung: Wenn Benutzer im Identity Provider erstellt, Gruppen zugewiesen oder deaktiviert werden, synchronisiert SCIM diese Änderungen automatisch mit GitLab – einschließlich Berechtigungen basierend auf Gruppenmitgliedschaften.

Vorteile für Unternehmen

Sicherheit: Zentralisierte Authentifizierung reduziert Passwort-Müdigkeit und Credential-Stuffing-Risiken. Multi-Faktor-Authentifizierung lässt sich auf Identity-Provider-Ebene erzwingen und gilt automatisch für alle verbundenen Anwendungen. Wenn ein Benutzer das Unternehmen verlässt, entfernt die Deaktivierung im Identity Provider sofort den Zugriff auf alle Systeme.

Effizienz: Automatisierte Benutzerbereitstellung reduziert Onboarding-Zeit von Stunden auf Minuten. Gruppenmitgliedschaften in Azure Entra ID synchronisieren automatisch mit GitLab-Berechtigungen. Identitäten werden einmal im Identity Provider verwaltet und propagieren automatisch – kein manuelles Erstellen, Aktualisieren oder Löschen von Konten in jeder Anwendung erforderlich.

Implementierung

Die Konfiguration von GitLab Single Sign-On mit SAML und SCIM erfordert:

• Azure Entra ID Tenant mit Administrator-Zugriff
• GitLab Premium oder Ultimate mit Top-Level-Gruppe
• Konfiguration auf beiden Plattformen (Parameter-Austausch, Attribut-Mappings, SCIM-Token)

Vollständige Schritt-für-Schritt-Anleitung:

→ How-to: GitLab Single Sign-on with SAML, SCIM and Azure's Entra ID

Die englische Anleitung bietet:

• 15 detaillierte UI-Screenshots für Azure Entra ID und GitLab
• Vollständige Attribut-Mapping-Tabellen (SAML Claims, SCIM Provisioning)
• Parameter-Austausch zwischen Plattformen (Identifier, Reply URL, Certificate, SCIM Token)
• Fehlerbehebung für häufige Probleme (Email-Attribut-Fehler, NameID-Mismatch)

Kostenlose Testversionen: Azure Entra ID | GitLab

Weiterführende Informationen

• The ultimate guide to enabling SAML and SSO on GitLab.com
• SAML SSO for GitLab.com groups documentation

Genau hier lohnt sich der Blick auf reale Einsatzszenarien von GitLab. Denn die Erfahrungen von Unternehmen aus Deutschland, Österreich und der Schweiz zeigen, wie GitLab genutzt wird, um Toolchains zu konsolidieren, CI/CD zu beschleunigen, Sicherheit frühzeitig in die Entwicklung einzubinden und Releases effizienter zu steuern. 

In diesem Beitrag werfen wir deshalb nicht nur einen Blick auf Funktionen und Einsatzfelder, sondern vor allem auf die Frage, welchen konkreten Nutzen GitLab in der Praxis stiften kann.

Was ist GitLab?

GitLab ist eine DevSecOps-Plattform, mit der Unternehmen den gesamten Lebenszyklus der Softwareentwicklung in einer zentralen Umgebung abbilden können. Dazu gehören unter anderem Quellcodeverwaltung, Zusammenarbeit im Team, automatisierte Tests, Deployments sowie Sicherheits- und Compliance-Prüfungen.

GitLab bündelt Funktionen, für die oft mehrere Einzeltools im Einsatz sind, in einer integrierten Plattform. Dazu zählen: 

• Versionskontrolle auf Basis von Git
• CI/CD-Pipelines
• Code Reviews
• Projektmanagement
• Security-Scans
• Monitoring

Der entscheidende Vorteil: GitLab bringt Entwicklung, Sicherheit und Betrieb an einem Ort zusammen. So lassen sich Prozesse enger verzahnen, Medienbrüche in der Toolchain reduzieren und Abläufe über den gesamten Entwicklungszyklus hinweg einheitlicher steuern. Vor allem für Unternehmen, die ihre Tool-Landschaft konsolidieren, Prozesse standardisieren und mehr Kontrolle über Entwicklung und Deployment gewinnen möchten, ist das ein wesentlicher Vorteil.

Welche Erfahrungen machen Unternehmen mit GitLab in der Praxis?

Die Stärken und Schwächen einer Software zeigen sich vor allem in der aktiven Nutzung im Unternehmensalltag. Folgende Stärken und Schwächen von GitLab sehen Unternehmen in der praktischen Arbeit mit dem Tool. 

Positive Erfahrungen mit GitLab

• Intelligente Orchestrierung über den gesamten Softwareentwicklungs-Lebenszyklus: Zu den häufigsten positiven GitLab Erfahrungen zählt, dass zentrale Funktionen wie Versionskontrolle, CI/CD, Security und Zusammenarbeit in einer Plattform gebündelt sind. Das reduziert Medienbrüche in der Toolchain und schafft konsistentere Prozesse über den gesamten Entwicklungszyklus hinweg.
• Weniger Reibung im Arbeitsalltag: Wenn Planung, Entwicklung, Sicherheit und Deployment in einer Umgebung zusammenlaufen, müssen Teams seltener zwischen verschiedenen Tools wechseln. Das spart Zeit, vereinfacht Abstimmungen und erhöht die Effizienz im Arbeitsalltag.
• Native CI/CD: Viele Unternehmen bewerten positiv, dass Builds, Tests und Deployments direkt in bestehende Workflows integriert werden können. Gerade dort, wo Releases beschleunigt und manuelle Schritte reduziert werden sollen, zeigt sich dieser Vorteil besonders deutlich.
• Mehr Transparenz und Kontrolle: GitLab führt Informationen aus Planung, Code, Sicherheit, Compliance, Tests und Bereitstellung in einem gemeinsamen Kontext zusammen. Das verbessert die Transparenz und erleichtert es, Abhängigkeiten und Prozesse über den gesamten Entwicklungszyklus hinweg nachzuvollziehen.
• Security & Compliance: Sicherheitsprüfungen lassen sich frühzeitig in den Entwicklungsprozess integrieren, statt erst kurz vor dem Release. Für Unternehmen mit hohen Anforderungen an Governance, Compliance und Risikominimierung ist das ein wesentlicher Pluspunkt.
• Bessere Teamarbeit: Wenn Code, Pipelines, Sicherheitsprüfungen und Abstimmungen an einem Ort gebündelt sind, werden Prozesse für Teams nachvollziehbarer. Das erleichtert die Zusammenarbeit vor allem in Organisationen, in denen mehrere Rollen und Abteilungen eng zusammenarbeiten.
• Self-Hosting und Kontrolle: Für viele Unternehmen ist wichtig, dass sie mehr Kontrolle über Infrastruktur, Daten und Prozesse behalten können. Das ist besonders dann relevant, wenn Datenschutz, interne Richtlinien oder individuelle Betriebsanforderungen eine große Rolle spielen.
• Flexible Bereitstellungsoptionen: GitLab lässt sich je nach Bedarf unterschiedlich betreiben, etwa selbst gehostet oder als SaaS-Lösung. Das schafft Flexibilität für Unternehmen, die regulatorische Vorgaben erfüllen oder ihre Infrastrukturstrategie gezielt steuern möchten.
• Integrationen mit Docker, Kubernetes und anderen Tools: GitLab lässt sich gut in moderne Entwicklungs- und Cloud-Umgebungen einbinden. Das ist vor allem für Unternehmen interessant, die auf Containerisierung und skalierbare Deployment-Prozesse setzen.

Wo Teams bei GitLab Herausforderungen sehen

• Komplexere Benutzeroberfläche: Der große Funktionsumfang ist ein klarer Vorteil, kann GitLab im Alltag aber auch komplex wirken lassen. Vor allem neue Nutzer(innen) sollten etwas mehr Einarbeitungszeit einplanen.
• Steilere Lernkurve: Weil GitLab viele Bereiche des Software-Lebenszyklus abdeckt, ist die Einarbeitung meist anspruchsvoller als bei fokussierten Einzeltools. Wer GitLab meistert, arbeitet mit einer dedizierten Plattform, die den gesamten Softwareentwicklungs-Lebenszyklus orchestriert und Einzellösungen ablöst.
• Kleinere Community als GitHub: Im Vergleich zu GitHub wird GitLab oft als weniger stark community-getrieben wahrgenommen, da GitHub historisch die größte Open-Source-Community bündelt. Gleichzeitig nutzen mehr als 50 Millionen registrierte Nutzer(innen) GitLab und tragen zur Weiterentwicklung der Plattform bei. 
• Je nach Setup höherer Einführungsaufwand: Die Einführung von GitLab ist häufig nicht nur technisch, sondern auch organisatorisch anspruchsvoll. Vor allem dann, wenn bestehende Prozesse, Rollen und Tools angepasst werden müssen, steigt der Aufwand für Einführung und Change Management.

Wann GitLab besonders stark ist

Besonders positive GitLab Erfahrungen machen Unternehmen meist dann, wenn sie nicht nur ein Tool für Quellcodeverwaltung suchen, sondern ihre Entwicklungs-, Sicherheits- und Betriebsprozesse enger zusammenführen möchten. Vor allem für Organisationen, die ihre Tool-Landschaft konsolidieren, Prozesse standardisieren und mehr Kontrolle über CI/CD, Security und Deployment gewinnen wollen, spielt GitLab seine Stärken in der Praxis aus.

GitLab-Erfahrungen aus der Praxis: Einsatzmöglichkeiten bei deutschen Unternehmen

Wie sich GitLab im Unternehmensalltag bewährt, zeigt sich besonders gut in den Case Studies aus Deutschland und der DACH-Region. Die Beispiele machen deutlich, wie Unternehmen GitLab nutzen, um ihre Tool-Landschaft zu konsolidieren, Entwicklungsprozesse zu beschleunigen und Sicherheit sowie Zusammenarbeit enger in den Entwicklungsprozess einzubinden. 

All-in-One-Plattform und Toolchain-Konsolidierung – Beispiel Hilti

Hilti setzt GitLab ein, um zentrale Entwicklungs- und Sicherheitsprozesse in einer Plattform zu bündeln – von SCM über CI/CD bis hin zu Security und Integrationen. Gerade für Unternehmen mit gewachsenen Tool-Landschaften ist das ein wichtiger Vorteil. Weniger Einzellösungen bedeuten weniger Übergaben, weniger Reibung und ein konsistenterer Entwicklungsprozess.

Positive GitLab-Erfahrungen von Hilti:

• 400 % mehr Code Reviews
• 50 % kürzere Feedbackschleifen
• 12x kürzere Bereitstellungszeit

"GitLab ist wie eine Suite gebündelt und wird mit einem sehr ausgeklügelten Installationsprogramm ausgeliefert. Und dann funktioniert es einfach wie von Zauberhand. Das ist sehr schön, wenn man ein Unternehmen ist, das einfach nur alles zum Laufen bringen möchte."

- Daniel Widerin, Head of Software Delivery, Hilti

Erfahre mehr zu den GitLab-Erfahrungen von Hilti in der Kundenstory

Softwareentwicklung und Kollaboration im großen Maßstab – Beispiel Deutsche Bahn

Bei der Deutschen Bahn bildet GitLab die technologische Grundlage für die Entwicklung und den Betrieb zentraler digitaler Produkte. Vor allem in großen Organisationen kommt es darauf an, Zusammenarbeit, Standardisierung und Transparenz über viele Teams hinweg zu ermöglichen. Genau hier spielt GitLab seine Stärken aus.

Positive GitLab-Erfahrungen der Deutschen Bahn:

• 10-20 % Infrastrukturkosteneinsparungen
• 1 Million Pipeline-Builds pro Monat
• 80 % weniger Zeitaufwand für Pipeline-Wartung

"Wir haben unsere primäre digitale Plattform – die Schnittstelle für Millionen unserer Kunden – von Grund auf mit GitLab aufgebaut. Diese Software ist entscheidend für unseren Erfolg, daher ist GitLab es auch."

- Lukas Pradel, Software Engineer, Deutsche Bahn

Erfahre mehr zu den GitLab-Erfahrungen der Deutschen Bahn in der Kundenstory

CI/CD und Automatisierung – Beispiel Siemens

Siemens nutzt GitLab, um CI/CD-Prozesse im großen Maßstab zu automatisieren und unternehmensweit auszurollen. Wenn Build- und Deployment-Prozesse in hoher Frequenz laufen, braucht es skalierbare und verlässliche Abläufe. GitLab schafft dafür die Grundlage und unterstützt gleichzeitig eine stärkere DevOps-Kultur.

Positive GitLab-Erfahrungen von Siemens:

• über 40.000 GitLab-Benutzer(innen)
• über 6,4 Millionen Builds pro Monat

"Wir bemühen uns sehr, eine Open-Source-Kultur einzuführen, und bisher waren wir wirklich erfolgreich. Mit CI/CD haben wir jeden Monat 1,5 Millionen Builds erstellt. Die ganze Kultur hat sich völlig verändert."

- Fabio Huser, Softwarearchitekt bei Siemens Smart Infrastructure, Siemens

Erfahre mehr zu den GitLab-Erfahrungen von Siemens in der Kundenstory

Schnellere Releases und kürzere Time-to-Market – Beispiel Deutsche Telekom

Die Deutsche Telekom nutzt GitLab, um Entwicklungs-, Sicherheits- und Release-Prozesse effizienter miteinander zu verzahnen. Für Unternehmen mit komplexen Release-Strukturen ist das besonders wertvoll: Prozesse werden beschleunigt, Abstimmungen vereinfacht und die Zeit bis zur Auslieferung neuer Funktionen sinkt deutlich.

Positive GitLab-Erfahrungen der Deutschen Telekom:

• 6x schnellere Markteinführung
• 13.000 aktive GitLab-Benutzer(innen)

"Die Markteinführungszeit war für uns ein wichtiges Thema. Vor unserer Transformation zu Agile und DevOps dauerten unsere Release-Zyklen in einigen Fällen fast 18 Monate. Wir konnten diese drastisch auf etwa 3 Monate reduzieren."

- Thorsten Bastian, Business Owner IT, CI/CD-Hub, Telekom IT

Erfahre mehr zu den GitLab-Erfahrungen der Deutschen Telekom in der Kundenstory

Sicherheit und Compliance – Beispiel Connect-i

Connect-i setzt GitLab ein, um Sicherheitsprüfungen, Zugriffskontrollen und Compliance-Anforderungen direkt in die Entwicklungsprozesse zu integrieren. Gerade für Unternehmen mit hohen Anforderungen an Nachvollziehbarkeit und Sicherheit ist es entscheidend, dass Compliance nicht nachgelagert, sondern fest in den Entwicklungsalltag eingebunden ist.

Positive GitLab-Erfahrungen von Connect-i:

• 30 % weniger Kosten
• 2 Stunden Zeitersparnis pro Entwickler(in) und Tag
• 30–40 % schnellere Entwicklung und Bereitstellung

"Die Qualität unserer Software hat sich erheblich verbessert. Da wir alles – das Programmieren, die Tickets, CI/CD und Tests – an einem Ort haben, konnten wir unsere Arbeit um 30 % bis 40 % beschleunigen."

- Axel Minck, CEO, Connect-i

Erfahre mehr zu den GitLab-Erfahrungen von Connect-i in der Kundenstory

Weitere Unternehmen mit ausgezeichneter GitLab-Erfahrung

Neben den ausführlichen Beispielen aus dem DACH-Markt lohnt sich auch der Blick auf weitere internationale Case Studies, die zusätzliche Einsatzfelder von GitLab zeigen.

Weitere Erfolgsgeschichten unserer Kunden findest du auf dieser Übersichtsseite!

Für wen ist GitLab geeignet?

GitLab ist besonders für Unternehmen geeignet, die mehr brauchen als reine Quellcodeverwaltung. Seine Stärken spielt die Plattform vor allem dort aus, wo Entwicklung, Sicherheit und Betrieb enger miteinander verzahnt werden sollen – etwa in Enterprise-Umgebungen mit hohen Anforderungen an Compliance, Governance und Nachvollziehbarkeit.

Auch für DevOps- und Plattformteams sowie für Organisationen mit komplexeren CI/CD-Prozessen ist GitLab oft eine gute Wahl. Das gilt vor allem dann, wenn mehrere Einzellösungen abgelöst, Abläufe standardisiert und Entwicklungsprozesse zentraler gesteuert werden sollen.

GitLab oder GitHub: Wann sprechen die Erfahrungen eher für GitLab?

Der Unterschied zwischen GitLab und GitHub liegt vor allem im Plattformansatz. GitLab ist häufig die bessere Wahl, wenn Unternehmen CI/CD, Security, Governance und Deployment-Prozesse möglichst eng in einer Lösung abbilden möchten. Gerade bei Toolchain-Konsolidierung, Self-Hosting und integrierten DevSecOps-Prozessen zeigt die Plattform ihre Stärken.

GitHub kann mit der Open-Source-Ausrichtung, Reichweite und einer besonders starken Marketplace- und Integrationslandschaft aufwarten. Wer also eine möglichst integrierte DevSecOps-Plattform sucht, findet in GitLab oft den passenden Ansatz. Wer primär an Open-Source-Projekten arbeitet, ist mit GitHub unter Umständen näher an den eigenen Anforderungen.

Fazit

GitLab ist weit mehr als ein Tool für Quellcodeverwaltung. Die Plattform spielt ihre Stärken vor allem dort aus, wo Unternehmen Entwicklung, Sicherheit und Betrieb enger zusammenführen, ihre Tool-Landschaft konsolidieren und Prozesse über den gesamten Software-Lebenszyklus hinweg stärker standardisieren möchten. 

Genau das zeigen auch die Case Studies aus Deutschland und der DACH-Region: von schnelleren Releases über effizientere CI/CD-Prozesse bis hin zu mehr Transparenz, Sicherheit und Compliance. Gleichzeitig ist GitLab nicht für jedes Setup automatisch die beste Wahl. Wer vor allem eine besonders einfache Oberfläche, einen sehr niedrigen Einstieg oder eine maximal große Open-Source-Community sucht, sollte die Plattform sorgfältig einordnen. Für Unternehmen mit komplexeren Anforderungen und einem klaren Fokus auf integrierte DevSecOps-Prozesse kann GitLab in der Praxis jedoch ein erheblicher Hebel sein.

Orchestriere deine gesamte Softwareentwicklung über eine Plattform

Du hast genug von einem aufgeblähten Techstack und isolierten Funktionen? Mach es wie tausende Unternehmen und verzahne deine Prozesse auf einer Plattform! 

Jetzt kostenlos testen!

In diesem Beitrag betrachten wir die wichtigsten Standards im IT-Umfeld und zeigen, wie Organisationen sie strukturieren und operationalisieren können. Außerdem zeigen wir dir, wie GitLab als integrierte DevSecOps-Plattform Standards nicht nur abbildet, sondern ihre Umsetzung aktiv unterstützt.

Was sind Compliance-Standards?

Compliance-Standards sind verbindlich definierte Anforderungen, mit denen Organisationen oft international oder branchenweit sicherstellen, dass ihre Prozesse, Systeme und Datenverarbeitungspraktiken bestimmten Vorgaben entsprechen. Sie entstehen aus rechtlichen Rahmenwerken, regulatorischen Verpflichtungen oder Best-Practice-Katalogen und dienen als gemeinsame Leitlinie für Sicherheit, Datenschutz sowie Qualitäts- und Risikomanagement.

Im IT- und Softwarebereich betreffen diese Standards typischerweise Bereiche wie Zugriffskontrollen, Änderungs- und Release-Prozesse, Protokollierungen, Fehlerbehebungen oder die fortlaufende Überwachung von Systemen.

In diesem Beitrag verwenden wir „Compliance‑Standards“ als Oberbegriff für Normen, Frameworks und gesetzliche bzw. regulatorische Vorgaben – also etwa ISO‑Standards, Branchenframeworks wie das NIST Cybersecurity Framework sowie Gesetze und Verordnungen wie DSGVO, NIS2 oder HIPAA.

Wie du dein gesamtes Compliance-Management automatisieren und Ressourcen einsparen kannst, erfährst du in diesem weiterführenden Beitrag mit vielen deutschen Videos!

Welchen Stellenwert haben Compliance-Standards?

Compliance-Standards sind weit mehr als nur Checklisten. In erster Linie helfen sie, Risiken zu begrenzen und rechtliche bzw. finanzielle Konsequenzen bei Nichteinhaltung zu vermeiden. Zudem erzeugen sie Vertrauen durch eine nachweisbare Einhaltung und werden in vielen Unternehmen auch als Input für Controls, Policies und Prüfprozesse genutzt. Wichtig sind dabei vor allem folgende Ebenen:

• Gesetze und Verordnungen: Compliance-Standards wie ISO/IEC 27001 werden oft herangezogen, um die Einhaltung von Gesetzen wie der DSGVO oder Finanzrechten zu strukturieren und nachweisbar zu machen.
• Frameworks: Ausgearbeitete Leitliniensammlungen helfen dabei, Standards, Best Practices und Kontrollziele zu bündeln. Ein Framework kann mehrere Standards integrieren und in konkrete Maßnahmen überführen.
• Controls: Technische oder organisatorische Maßnahmen machen schließlich einzelne Anforderungen eines Standards operationalisierbar und überprüfbar. Controls sind dafür die Umsetzungselemente im täglichen Betrieb.

Eine klare Definition von Compliance-Standards ist wichtig, weil Unternehmen sonst Gefahr laufen, Anforderungen fragmentiert, reaktiv oder getrennt von ihren operativen Prozessen umzusetzen. Solche Standards funktionieren nur, wenn sie nicht als isolierte Dokumente in Schubladen liegen, sondern in die täglichen Arbeitsabläufe und Verantwortlichkeiten eingebettet sind.

Warum Standards im Compliance-Management zentral sind

Compliance-Management soll sicherstellen, dass Anforderungen nicht nur definiert, sondern im Alltag auch eingehalten werden. Compliance-Standards sind dafür die zentrale Grundlage. Sie übersetzen rechtliche und regulatorische Vorgaben in klare Erwartungen, an denen sich Organisationen orientieren können. Ohne diesen gemeinsamen Referenzrahmen bleibt Compliance oft reaktiv und wird erst relevant, wenn Prüfungen oder Vorfälle auftreten.

Die wichtigsten Aufgaben von Compliance-Standards sind daher:

• Stabilität: In der Softwareentwicklung ändern sich Code, Infrastruktur und Prozesse laufend. Compliance-Standards schaffen hier Verlässlichkeit, weil sie unabhängig von einzelnen Projekten festlegen, welche Mindestanforderungen gelten.
• Risikobewertung: Die Nichteinhaltung von Compliance-Standards kann zu Imageschäden, aber auch zu rechtlichen Sanktionen wie Geldstrafen führen. Eine Standardisierung erleichtert es, Compliance-Risiken einzuordnen und darauf aufbauend Verantwortlichkeiten festzulegen und konsistente Entscheidungen zu treffen.
• Skalierung: Mit zunehmender Anzahl von Teams und Services lassen sich Compliance-Anforderungen häufig schwerer über Absprachen oder manuelle Kontrollen steuern. Klar definierte Standards machen Anforderungen wiederholbar, indem neue Projekte sich einfach daran orientieren können. So bleibt Compliance auch im Wachstum handhabbar.
• Nachvollziehbarkeit: Compliance-Richtlinien definieren, welche Prozesse dokumentiert, welche Änderungen protokolliert und welche Freigaben nachvollziehbar sein müssen. Das ist nicht nur für Audits relevant, sondern sorgt intern auch für mehr Transparenz und ermöglicht kontinuierliche Verbesserungen.

Ihren größten Nutzen entfalten Compliance-Standards, wenn sie direkt in operative Abläufe eingebunden sind. Durch die Integration in Entwicklungs-, Sicherheits- und Deployment-Prozesse sinkt der Abstimmungsaufwand maßgeblich und die Einhaltung wird verlässlicher. Eine integrierte DevSecOps-Plattform wie GitLab ermöglicht benutzerdefinierte Compliance-Frameworks und bindet die Standards somit als festen Bestandteil in tägliche Workflows ein.

Die wichtigsten IT-Compliance-Standards im Überblick

Wie eine Studie von GitLab und The Harris Poll zur DevSecOps-Landschaft 2026 zeigt, gehören Compliance-Standards und deren Einhaltung für Unternehmen zu den größten Herausforderungen in der Softwareentwicklung. Die wichtigsten Standards im europäischen Raum sind dabei folgende:

1. ISO/IEC 27001
2. DSGVO
3. NIST CSF
4. SOC 2
5. Branchenspezifische und sektorale Standards

1. ISO/IEC 27001

Die ISO/IEC 27001 ist eine international weitverbreitete Norm in der Informationstechnik. Als Norm ist sie zwar nicht gesetzlich verpflichtend, gilt allerdings als zentrale Referenz für IT-Compliance – insbesondere dann, wenn Organisationen Sicherheit, Datenschutz und Risikomanagement systematisch und auditierbar aufstellen müssen. Anders als gesetzliche Vorgaben beschreibt sie nicht nur Ziele, sondern auch klare Anforderungen an Prozesse, Verantwortlichkeiten und kontinuierliche Verbesserung.

Im Mittelpunkt dieses Standards steht der Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS). Dieses umfasst unter anderem die systematische Bewertung von Risiken, die Definition von Sicherheitszielen sowie die Auswahl und Umsetzung geeigneter Maßnahmen. Der zugehörige Annex A liefert einen strukturierten Katalog von Controls, etwa für Zugriffskontrollen, Kryptografie, Change Management, Logging oder Lieferantenbeziehungen. Damit bietet ISO 27001 eine Brücke zwischen abstrakten Sicherheitszielen und konkreten organisatorischen und technischen Maßnahmen.

Für Software- und Plattform-Teams ist ISO 27001 besonders relevant, weil viele Anforderungen direkt in Entwicklungs- und Betriebsprozesse hineinwirken. Sichere Code-Änderungen, nachvollziehbare Freigaben, Trennung von Zuständigkeiten oder die lückenlose Protokollierung sicherheitsrelevanter Ereignisse lassen sich nicht losgelöst von Toolchains und Workflows umsetzen. Die Norm verlangt zudem, dass diese Maßnahmen nicht nur definiert, sondern auch regelmäßig überprüft und angepasst werden. ISO-27001-Compliance ermöglicht es damit, unterschiedliche regulatorische Anforderungen wie die DSGVO oder branchenspezifische Vorgaben in ein konsistentes Managementsystem zu integrieren.

8x schnellere Software-Updates & 40x schnellere Projekteinrichtung: Mit GitLabs Automatisierung revolutioniert Thales das Inflight-Entertainment

Erfahre, wie Thales Sicherheits- und Compliance-Standards in der Luftfahrt etabliert hat und mit GitLab Ultimate für deutlich schnellere und günstigere Builds sorgt.

Erfolgsstory lesen

2. DSGVO

Die Datenschutz-Grundverordnung ist eine verbindliche gesetzliche Grundlage für den Umgang mit personenbezogenen Daten in der Europäischen Union. Sie betrifft nahezu jede Organisation, die Daten von EU-Bürgern verarbeitet – unabhängig davon, ob es sich um ein Softwareunternehmen, einen internen IT-Dienstleister oder einen SaaS-Anbieter handelt. Damit ist die DSGVO einer der wichtigsten Treiber für Compliance-Management im europäischen IT-Umfeld.

Im Gegensatz zu Normen wie ISO 27001 beschreibt die DSGVO vorwiegend Schutzziele und Prinzipien. Dazu gehören unter anderem Rechtmäßigkeit der Verarbeitung, Zweckbindung, Datenminimierung, Integrität, Vertraulichkeit und Rechenschaftspflicht. Wie diese Anforderungen technisch und organisatorisch umzusetzen sind, bleibt bewusst offen. In der Praxis bildet die DSGVO deshalb häufig den Rahmen für Richtlinien und Verfahren. Sie wird somit nicht isoliert umgesetzt, sondern mit auditierbaren Standards wie ISO/IEC 27001 kombiniert, um daraus strukturierte Kontrollziele und Managementprozesse ableiten zu können.

Für die Softwareentwicklung hat die DSGVO besonders relevante Implikationen. Themen wie Zugriffskontrolle, Rollen- und Berechtigungskonzepte, Protokollierung von Änderungen, vor allem aber sichere Deployments oder der kontrollierte Umgang mit Daten sind die zentrale Grundlage, um Datenschutzanforderungen praktisch umsetzen zu können. Hinzu kommt die Pflicht, Nachweise über getroffene Maßnahmen zu erbringen, etwa im Rahmen von behördlichen Prüfungen oder Auskunftsersuchen.

3. NIST CSF

Das NIST Cybersecurity Framework ist kein Gesetz oder klassischer Compliance-Standard im engeren Sinn. Es ist also weder regulatorisch verpflichtend, noch gehört es zu den Audit-Standards wie ISO 27001 oder SOC 2. Trotzdem dient es für Unternehmen im IT-Bereich als Orientierung für Sicherheitsmaßnahmen oder als Ergänzung zu ISO-basierten Compliance-Management-Systemen.

Der Kern des Frameworks besteht aus sechs Funktionen: 

• Verwalten (Govern)
• Identifizieren (Identify)
• Schützen (Protect)
• Erkennen (Detect)
• Reagieren (Respond)
• Wiederherstellen (Recover)

Diese unterteilen sich in 22 Kategorien, welche wiederum selbst in 106 Subkategorien unterteilt sind. So deckt das NIST-Cybersecurity-Framework ein breites Spektrum an Compliance-Bezügen ab und bietet damit vielfältige Möglichkeiten als Strukturierungs- und Reifegradmodell.

4. SOC 2

SOC 2 ist ein Compliance-Standard, der speziell für serviceorientierte Unternehmen entwickelt wurde, insbesondere für SaaS-, Cloud- und Plattformanbieter. Er wurde in den USA entwickelt und ist rechtlich nicht verpflichtend, spielt aber speziell bei Kund(inn)en mit internationalem Geschäft oder US-Bezug eine wichtige Rolle, wenn es um Vertrauen, Transparenz und Nachweisbarkeit von internen Kontrollen geht.

Der SOC-2-Standard besteht aus fünf sog. Trust Services Criteria: 

• Sicherheit (Security)
• Verfügbarkeit (Availability)
• Verarbeitungsintegrität (Processing Integrity)
• Vertraulichkeit (Confidentiality)
• Datenschutz (Privacy). 

Allerdings ist nur der Aspekt Sicherheit verpflichtend – die anderen vier Kriterien können je nach Geschäftsmodell ergänzt werden. Um operative Prozesse und deren Anwendung nachvollziehbar darzustellen, unterscheidet SOC 2 zudem zwischen zwei Typen: 

• Type I bewertet die Gestaltung von Kontrollen.
• Type II prüft deren Wirksamkeit über einen festgelegten Zeitraum.

5. Branchenspezifische und sektorale Standards

Neben branchenübergreifenden Standards gibt es im Compliance-Management auch Richtlinien, die sich gezielt an bestimmte Branchen richten. Sie spielen primär dann eine Rolle, wenn Software direkt in regulierten Kontexten eingesetzt wird:

• PCI DSS betrifft Organisationen, die Kreditkartendaten verarbeiten, speichern oder übertragen. Der Standard definiert konkrete technische und organisatorische Sicherheitsanforderungen zu Belangen rund um Netzwerksegmentierung, Umgang mit Zugangsdaten oder Überwachung von Systemen. PCI DSS ist stark technisch geprägt und auch wenn es kein Gesetz darstellt, ist die Einhaltung meist vertraglich geregelt und beim Umgang mit sensiblen Kreditkartendaten faktisch verpflichtend.
• NIS2 ist eine europäische Richtlinie, die von den Mitgliedstaaten in nationales Recht umgesetzt wird und sich hinsichtlich Management‑ und Governance‑Verantwortung ausdrücklich an die Unternehmensführung richtet. Betroffen sind verschiedene Sektoren wie Energie, Verkehr und Gesundheitswesen sowie bestimmte Unternehmen ab einer definierten Größe. Auch wenn sie keinen klassischen Compliance-Standard bilden, ziehen NIS2-Anforderungen in der operativen Umsetzung Implikationen für IT- und Softwareprozesse z. B. in den Bereichen Cybersecurity, Risikomanagement und Meldepflichten nach sich.
• HIPAA (Health Insurance Portability and Accountability Act) ist ein US-Gesetz und richtet sich insbesondere in Form der HIPAA Security und Privacy Rule an Organisationen, die mit Gesundheitsdaten in den USA arbeiten. Sie legt strenge Anforderungen an den Schutz sensibler Informationen fest, vor allem in Bezug auf Zugriffsbeschränkungen, Protokollierung und den sicheren Betrieb von IT‑Systemen. Für europäische Unternehmen ist HIPAA dann relevant, wenn Produkte oder Services für den US‑Gesundheitsmarkt entwickelt oder dort betrieben werden.

Wie GitLab Compliance-Standards in DevSecOps-Prozesse integriert

Compliance-Standards entfalten ihren Nutzen erst dann vollständig, wenn sie nicht neben der täglichen Arbeit existieren, sondern Teil der Entwicklungs- und Betriebsprozesse sind. Genau hier setzt eine integrierte DevSecOps-Plattform wie GitLab an. Anstatt Compliance als separaten Prüfprozess zu behandeln, kannst du Anforderungen dort abbilden, wo Code entsteht, geprüft und ausgeliefert wird.

Das integrierte Compliance Center von GitLab bietet eine zentrale Steuerungsebene für Compliance-relevante Informationen. Verantwortliche erhalten einen konsolidierten Überblick darüber, welche Projekte welchen Standards unterliegen, welche Richtlinien aktiv sind und wo Abweichungen auftreten:

• Ordne Standards Projekten und Teams zu und übersetze die Anforderungen aus Standards wie ISO 27001, SOC 2 oder NIS2 in definierte Vorgaben für Projekte. Dadurch wird klar, welche Repositories im Geltungsbereich bestimmter Compliance-Anforderungen liegen und welche zusätzlichen Kontrollen dort greifen müssen.
• Freigaben, Sicherheitsprüfungen oder verpflichtende Pipeline-Schritte werden nicht manuell eingefordert, sondern einfach technisch hinterlegt. So entsteht eine konsistente Umsetzung von Compliance-Anforderungen, die unabhängig von einzelnen Personen oder Teams funktioniert und direkt mit Entwicklungs- und CI/CD-Prozessen verknüpft ist.
• Änderungen an Code, Konfigurationen oder Zugriffsrechten werden automatisch protokolliert und sind revisionssicher nachvollziehbar. Auditnachweise entstehen als Nebenprodukt der täglichen Arbeit, sodass du sie nicht nachträglich zusammensuchen musst.

Compliance-Standards sollten nie als statische Vorgaben behandelt, sondern als lebendiger Bestandteil von DevSecOps-Prozessen verstanden werden. Mit dem notwendigen Verständnis und dem richtigen Tool werden sie hingegen strukturierbar, umsetzbar und überprüfbar – genau dort, wo moderne Software entsteht.

Verankere regulatorische Anforderungen direkt im Entwicklungsprozess

Automatisiere dein Compliance-Management, stärke dabei deine Entwicklerteams und skaliere Compliance nachhaltig im Unternehmen!

Jetzt starten!

Häufig gestellte Fragen zu Compliance-Standards

Was kann bei Nichteinhaltung von Compliance-Standards passieren?

Bei Nichteinhaltung von Compliance-Standards drohen rechtliche, finanzielle und operative Konsequenzen. Dazu zählen hohe Geldstrafen und rechtliche Schritte durch Aufsichtsbehörden, Schadensersatzforderungen, Vertragskündigungen sowie der Verlust von Zertifizierungen. Zusätzlich können Reputationsschäden entstehen, die das Vertrauen von Kundinnen und Kunden bzw. Geschäftspartnerinnen und Geschäftspartnern einträchtigen. Intern führen Verstöße häufig zu Betriebsunterbrechungen, erhöhtem Kontrollaufwand und persönlichen Haftungsrisiken für Verantwortliche.

Welche Compliance-Standards sind noch wichtig?

Welche Compliance-Standards für ein Unternehmen gelten, hängt von Branche, Markt, Unternehmensgröße und regulatorischem Umfeld ab. So sind im Finanzwesen noch die Standards ISO 22301 (Business Continuity), BAIT und MaRisk wichtig, während für Industrie und Automobil TISAX und IEC 62443 eine Rolle spielen. Im Gesundheitswesen und Life Sciences zählen hingegen ISO 13485 sowie GxP-Richtlinien, und Energie und kritische Infrastruktur müssen ISO 27019 und KRITIS-Anforderungen berücksichtigen.

Was ist der Unterschied zwischen ISO 27000 und ISO 27001?

ISO 27000 ist eine Normenfamilie, die Begriffe, Grundlagen und einen Überblick zum Informationssicherheitsmanagement liefert. ISO 27001 ist Teil dieser Familie und definiert konkrete Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Während ISO 27000 erklärend und einordnend wirkt, ist ISO 27001 die prüf- und zertifizierbare Norm, nach der Organisationen ihre Informationssicherheit offiziell nachweisen können.

In diesem Beitrag geben wir einen Überblick darüber, was Compliance-Risiken sind, in welchen Feldern sie typischerweise auftreten und welche Rolle sie im Compliance-Management spielen. Zudem erfährst du, wie eine strukturierte Risikoanalyse aussieht und wie sich Compliance-Anforderungen mit GitLab so in DevSecOps-Prozessen verankern lassen, dass sie Teams nicht ausbremsen.

Wie deutsche Unternehmen ihr gesamtes Compliance-Management automatisieren können, erklären zwei Solutions-Architektinnen aus dem deutschen Team in diesem Beitrag.

Was sind Compliance-Risiken?

Compliance-Risiken beschreiben die Gefahr, dass Organisationen gegen gesetzliche Vorgaben, normative Anforderungen, vertragliche Verpflichtungen oder anderweitig festgehaltene Richtlinien verstoßen. Entscheidend ist dabei: Es geht nicht erst um den tatsächlich eingetretenen Regelverstoß, sondern bereits um die Möglichkeit, dass ein solcher Compliance-Verstoß stattfinden kann und negative Folgen nach sich zieht.

Die Folgen von Nichteinhaltung im Compliance-Management können vielfältig sein. Dazu zählen teils schwerwiegende rechtliche Sanktionen, finanzielle Schäden, aber auch materielle Schäden oder Einschränkungen im Geschäftsbetrieb. Für Unternehmen besteht dabei auch immer das zusätzliche Risiko von Reputationsschäden und Vertrauensverlust bei Kund(inn)en und Partner(inne)n.

Typische Compliance-Risikofelder

Compliance-Risiken entstehen nicht zufällig, sondern in den Bereichen eines Unternehmens, die durch Gesetze, Normen u. Ä. fortlaufend mit Compliance-Vorschriften konfrontiert sind. Auf diese Risikofelder sollte ein besonderes Augenmerk gelegt werden, um potenzielle Schwachstellen systematisch zu identifizieren und einzuordnen:

• Datenschutz: Bei der Verarbeitung von personenbezogenen Daten gelten strenge rechtliche Vorgaben hinsichtlich Zweckbindung, Transparenz, Speicherfristen und Datensicherheit. Risiken entstehen dabei u. a. in den Bereichen Datenflüsse, Auftragsverarbeitung und Dokumentation.
• Informationssicherheit: Unbefugter Zugriff, Verlust oder Manipulation stellen ein großes Risiko für Systeme und deren Daten dar. Sicherheitsrichtlinien müssen daher konsequent umgesetzt, Zugriffe regelmäßig überprüft und Sicherheitsvorfälle immer sauber dokumentiert werden.
• Vertragliche Verpflichtungen: Kunden- und Partnerverträge enthalten häufig Compliance-Anforderungen zu Verfügbarkeit, Datenschutz oder Audit-Rechten. Risiken entstehen, wenn diese Anforderungen operativ nicht abgebildet oder Verantwortlichkeiten nicht klar geregelt sind.
• Regulatorische Anforderungen: Je nach Branche und Markt können zusätzliche gesetzliche Vorgaben gelten, die bei Neu-Hinzukommen oder Änderung rechtzeitig berücksichtigt werden müssen, um Verstöße zu vermeiden.
• Organisation und Prozesse: Auch unklare Zuständigkeiten bzw. fehlende Trennung oder Dokumentation von Aufgaben erhöhen das Risiko, dass interne wie externe Vorgaben nicht eingehalten werden.
• Lieferketten und Drittanbieter: Viele Unternehmen sind auf externe Dienstleister(innen) und deren Software angewiesen. Compliance-Risiken entstehen, wenn Anforderungen an diese Parteien nicht klar definiert werden oder deren Überprüfung ausbleibt.

Compliance-Risiken im IT-Bereich

Compliance-Risiken werden häufig mit IT- oder Sicherheitsrisiken gleichgesetzt, obwohl sie eigentlich deutlich weiter greifen. Während Sicherheitsrisiken vor allem die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen betreffen, beziehen sich Compliance-Risiken allgemein auf die Einhaltung aller externen und internen Regelungen. Im IT-Umfeld wirken sich Compliance-Risiken allerdings besonders schnell und weitreichend aus, da hier vor allem automatisierte Prozesse rund um Compliance-Richtlinien wie ISO/IEC 27001 gestört werden. Typische Risikobereiche sind daher:

• Zugriffsmanagement: Werden Benutzerrechte nicht nach dem Prinzip der minimalen Rechte vergeben oder regelmäßig überprüft, entstehen Risiken durch schadhafte Zugriffe.
• Protokollierung und Nachvollziehbarkeit: Fehlen Audit-Logs oder sind Änderungen an Systemen und Anwendungen nicht nachvollziehbar dokumentiert, können Anforderungen an Transparenz und Prüfbarkeit nicht erfüllt werden.
• Release-Prozesse: Änderungen an Code, Konfigurationen oder Infrastruktur ohne definierte Freigaben und Prüfungen erhöhen das Risiko unbeabsichtigter Regelverstöße.
• Cloud- und SaaS-Abhängigkeiten: Der Einsatz externer Plattformen kann Compliance-Risiken mit sich bringen, wenn Verantwortlichkeiten, Datenstandorte oder Sicherheitsmaßnahmen nicht klar geregelt sind.
• Open-Source-Software: Werden Drittbibliotheken genutzt, ohne Lizenzbedingungen systematisch zu erfassen und zu prüfen, entstehen rechtliche Risiken, die sich möglicherweise erst spät bemerkbar machen.

Gerade im IT-Umfeld zeigt sich, dass Compliance-Risiken weniger durch einzelne technische Fehler entstehen, sondern durch fehlende oder uneinheitliche Prozesse. Diese müssen Technik, Organisation und Verantwortung miteinander verbunden regulieren.

Welche Rolle spielen Compliance-Risiken im Compliance-Management?

Für die Praxis ist es wichtig, Compliance-Risiken als unternehmerische Risiken zu verstehen. Sie entstehen dort, wo Compliance-Standards nicht ausreichend definiert oder umgesetzt sind. Eine systematische Auseinandersetzung mit den Risiken schafft die Grundlage, um Anforderungen rund um Prozesse, Verantwortlichkeiten oder Kontrollen nicht nur punktuell zu erfüllen, sondern dauerhaft in den Arbeitsalltag zu integrieren. Erst wenn klar ist, wo und wie Regelverstöße entstehen können, lassen sich auch wirklich passende Maßnahmen finden – ohne die Risikoperspektive bleibt Compliance häufig reaktiv und dokumentengetrieben.

Im Kern entstehen im (automatisierten) Compliance-Management so mehrere Ansatzpunkte, die von den drohenden Risiken mitbestimmt werden:

• Orientierung: Durch eine Compliance-Risikoanalyse können relevante Anforderungen von weniger kritischen Themen unterschieden werden – denn nicht jede Regel erfordert die gleiche Aufmerksamkeit oder Kontrolldichte.
• Priorisierung: Ressourcen für Compliance sind begrenzt. Durch die Bewertung von Eintrittswahrscheinlichkeit und Auswirkung lassen sich Maßnahmen dort bündeln, wo das Risiko am höchsten ist.
• Ableitung von Maßnahmen: Richtlinien, Prozesse und Kontrollen sollten nicht isoliert bestehen, sondern gezielt auf identifizierte Risiken reagieren. Compliance-Risiken übersetzen dabei abstrakte Anforderungen in konkrete Handlungsmuster.
• Steuerung und Kontrolle: Als Grundlage für Monitoring und Audits machen Compliance-Risiken die Notwendigkeit von Kontrollprozessen nachvollziehbarer.
• Unternehmenskultur: Ein Risikobewusstsein schärft den internen Umgang. Mitarbeitende und Führungskräfte können durch Transparenz und Integrität gleichermaßen Verantwortung übernehmen und aktiv zu einer Compliance-Kultur beitragen. Unter den Mitarbeitenden entsteht dadurch nebenbei Vertrauen und die Effektivität bei der Arbeit wird gesteigert.

Fallbeispiele und Szenarien

Compliance-Risiken können zunächst sehr abstrakt wirken. Um sie greifbarer erscheinen zu lassen, zeigen die folgenden Szenarien typische Risikobereiche, wie sie in vielen Organisationen auftreten können:

Dokumentation

Ein Finanzdienstleister betreibt eine zentrale Plattform für die Abwicklung von Kundenaufträgen. Um Performance-Probleme schnell zu beheben, nimmt das IT-Team kurzfristige Änderungen direkt im Produktivsystem vor. Es gibt kein formales Freigabeverfahren und keine lückenlose Protokollierung der Anpassungen. Monate später kommt es im Rahmen eines Audits zu Nachfragen, warum bestimmte Sicherheitseinstellungen verändert wurden. Da weder Entscheidungsgrundlagen noch Verantwortlichkeiten dokumentiert sind, können die Änderungen nicht nachvollzogen werden, was zu Compliance-Beanstandungen führt.

Softwareentwicklung

Ein Softwareunternehmen entwickelt eine App für Geschäftskund(inn)en im Logistikbereich. Um Entwicklungszeit zu sparen, integriert das Projektteam mehrere externe Open-Source-Bibliotheken. Eine systematische Prüfung der Lizenzbedingungen findet nicht statt. Erst kurz vor einem größeren Kunden-Rollout wird festgestellt, dass eine verwendete Bibliothek unter einer Lizenz steht, die eine kommerzielle Nutzung in der bestehenden Form ausschließt. Das Geschäftsmodell der App ist damit nicht vereinbar, was rechtliche und wirtschaftliche Risiken nach sich zieht.

Organisation

Ein Unternehmen aus der Medizintechnik wächst stark und baut neue Abteilungen auf. Die Aufgabentrennung im Compliance umfasst mehrere Rollen, ohne klar festzulegen, wer wofür verantwortlich ist. Mitarbeitende melden mögliche Regelverstöße per E-Mail an unterschiedliche Stellen. Einige Hinweise bleiben liegen, andere werden erst Wochen später bearbeitet. In dieser Zeit werden potenzielle Probleme nicht adressiert, was das Risiko erhöht, dass sich kleinere Verstöße zu größeren Eskalationen entwickeln.

~40 % schnellere Entwicklung und integrierte Security & Compliance: Connect-i macht mit GitLab den nächsten Schritt

Erfahre, wie Connect-i mit GitLab seine DevSecOps-Prozesse verschlankt, Sicherheits- und Audit-Funktionen direkt in Workflows integriert und so Compliance-Anforderungen einfacher erfüllt.

Erfolgsstory lesen

Compliance-Risikoanalyse erstellen

Regelmäßige Risikoanalysen identifizieren Schwachstellen in Prozessen – insbesondere in den Bereichen HR, Finanzen und IT – die zu Verstößen gegen Gesetze, Vorschriften oder interne Richtlinien führen können. Eine Studie von GitLab und The Harris Poll zur DevSecOps-Landschaft 2026 zeigt, dass Compliance-Risiken derzeit noch manuell überprüft werden und DevSecOps-Profis glauben, dass Sicherheitsrisiken durch KI sogar noch zunehmen werden. Diese Zahlen machen deutlich, wie wichtig eine funktionale Risikoanalyse ist, um potenzielle Compliance-Verstöße frühzeitig erkennen und gezielt gegensteuern zu können:

1. Geltungsbereich festlegen
2. Relevante Anforderungen identifizieren
3. Risiken identifizieren und beschreiben
4. Risiken bewerten
5. Maßnahmen ableiten
6. Umsetzung und Dokumentation
7. Regelmäßige Überprüfung und Aktualisierung

1. Geltungsbereich festlegen

Definiere, welche Bereiche der Analyse unterliegen – etwa einzelne Abteilungen, Geschäftsprozesse, Systeme oder Standorte. Ein klar umrissener Scope sorgt dafür, dass du nicht „alles und nichts“ analysierst, sondern konkrete Fragestellungen hast, etwa „Welche Prozesse im Vertrieb nutzen Kundendaten?“ oder „Welche IT-Systeme verarbeiten personenbezogene Daten?“

2. Relevante Anforderungen identifizieren

Sammle alle internen und externen Vorgaben, die für dein Unternehmen gelten. Dazu gehören gesetzliche Pflichten, regulatorische Rahmenbedingungen, vertragliche Verpflichtungen und interne Regelwerke. Beispiele sind Datenschutzgesetze, Arbeitsrecht, Anforderungen aus Lieferantenverträgen oder interne Leitlinien. Auf dieser Grundlage kannst du später valide Risiken ableiten.

3. Risiken identifizieren und beschreiben

Leite aus den Anforderungen konkrete Risiken ab. Beschreibe jedes Risiko so, dass klar wird, worin das Problem besteht, wie es entstehen kann und welche Folgen es haben könnte. Eine strukturierte Form hilft, z. B. „Wenn Mitarbeiterdaten unverschlüsselt übertragen werden (Ursache), könnte es zu einem Datenleck kommen (Ereignis), was wiederum zu Bußgeldern und Reputationsschäden führt (Auswirkung).“

4. Risiken bewerten

Bewerte jedes Risiko entlang zweier Dimensionen:

• Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass das Risiko Realität wird?
• Auswirkung: Welche rechtlichen, finanziellen oder Reputationsschäden entstehen, wenn es eintritt?

Eine einfache Risikomatrix kann helfen, Risiken vergleichbar zu machen.

5. Maßnahmen ableiten

Definiere, wie du mit jedem Risiko umgehst:

• Präventiv z. B. Schulungen, Prozessanpassungen, Einführung von Kontrollpunkten.
• Detektiv z. B. Monitoring, regelmäßige Kontrollen.
• Korrektiv z. B. Reaktions- und Eskalationsprozesse, Fehlerbehebungen.

Weise klar zu, wer für die Umsetzung und Überwachung verantwortlich ist und wie der Erfolg gemessen wird.

6. Umsetzung und Dokumentation

Setze die Maßnahmen konsequent um – z. B. mit einem Compliance-Management-System – und dokumentiere sie. Die Dokumentation dient nicht nur der internen Nachvollziehbarkeit, sondern ist später bei Audits oder Prüfungen ein wichtiger Nachweis der Compliance-Strukturen.

7. Regelmäßige Überprüfung und Aktualisierung

Compliance-Risiken verändern sich durch neue Geschäftsprozesse, gesetzliche Änderungen oder technologische Entwicklungen. Führe daher in regelmäßigen Abständen interne Audits zur Einhaltung von Compliance-Standards durch und passe Maßnahmen ggf. an, damit sie relevant bleiben und die Compliance-Steuerung verlässlich ist.

Wie GitLab Compliance-Risiken in DevSecOps-Prozessen minimiert

Compliance-Risiken sinken dauerhaft, wenn Kontrollen und Nachweise dort entstehen, wo Software ohnehin entsteht. GitLab bündelt dafür Richtlinienmanagement, konforme Workflow-Automatisierung und Auditmanagement: Teams können Konformitätseinstellungen und Zugriffskontrollen zentral definieren, geschützte Branches und verpflichtende Pipeline-Schritte durchsetzen und Audit-Ereignisse sowie Audit-Berichte einfach für Prüfungen nutzbar machen.

Den Überblick liefert das GitLab Compliance Center: Es zeigt gruppenweit zentrale Signale wie zugeordnete Compliance-Frameworks, Merge-Request- und Pipeline-Ergebnisse sowie Konformitätsverstöße in Reports. Ergänzend lassen sich über Sicherheits-Dashboards und SBOMs Risiken in Abhängigkeiten und der Software-Lieferkette nachvollziehen.

Ergänzend unterstützt GitLab Software-Compliance durch das Management von Sicherheitslücken und Abhängigkeiten inklusive SBOM-Erstellung, damit Compliance-Anforderungen und Software-Lieferkette zusammen betrachtet werden können.

Verankere regulatorische Anforderungen direkt im Entwicklungsprozess

Automatisiere dein Compliance-Management, stärke dabei deine Entwickler(innen)-Teams und skaliere Compliance nachhaltig im Unternehmen!

Jetzt starten!

Häufig gestellte Fragen zu Compliance-Risiken

Was sind die häufigsten Compliance-Verstöße?

Zu den häufigsten Compliance-Verstößen in Unternehmen zählen Korruption und Bestechung, Interessenkonflikte, Verstöße gegen Datenschutzvorgaben, Kartell- und Wettbewerbsverstöße sowie unzureichende Geldwäscheprävention. Ebenfalls verbreitet sind Verstöße gegen interne Richtlinien, etwa bei Geschenken und Einladungen, sowie mangelhafte Dokumentation oder fehlende Kontrollmechanismen.

Wie regelmäßig muss die Compliance-Risikoanalyse aktualisiert werden?

Eine Compliance-Risikoanalyse sollte regelmäßig, in der Praxis mindestens einmal jährlich, überprüft und ggf. aktualisiert werden. Zusätzlich kann auch eine anlassbezogene Aktualisierung erforderlich werden, beispielsweise bei neuen gesetzlichen Anforderungen, wesentlichen Änderungen im Geschäftsmodell, dem Eintritt in neue Märkte oder nach relevanten Compliance-Vorfällen.

Wer ist im Unternehmen für das Compliance-Risikomanagement zuständig?

Für das Compliance-Risikomanagement ist i. d. R. die Unternehmensführung verantwortlich, da sie die Gesamtverantwortung für die Einhaltung gesetzlicher und interner Vorgaben trägt. Operativ wird das Compliance-Risikomanagement häufig von jemandem in einer speziellen Rolle als Compliance-Beauftragte(r) gesteuert. Unterstützend wirken Fachbereiche, Risikomanagement, interne Revision und gegebenenfalls die Rechtsabteilung, indem sie Risiken identifizieren, Maßnahmen umsetzen und deren Wirksamkeit überwachen.

Dieser Beitrag bietet dir einen Überblick über das Compliance-Management: Er ordnet zentrale Begriffe ein, zeigt Zusammenhänge auf und gibt eine Orientierung für Unternehmen, die sich systematisch mit Compliance beschäftigen.

Was ist Compliance-Management?

Unter dem Begriff Compliance-Management werden gemeinhin alle fortlaufenden Maßnahmen und Prozesse zusammengefasst, mit denen Unternehmen die Einhaltung von Gesetzen, regulatorischen Standards und internen Richtlinien sicherstellen. Das ist keine isolierte Aufgabe der Rechtsabteilung, sondern betrifft Prozesse, Rollen und Entscheidungen im gesamten Unternehmen.

Im Kern schafft Compliance-Management damit Orientierung: Es definiert, welche Anforderungen gelten, wer wofür verantwortlich ist und wie mit Abweichungen umgegangen wird. Gerade in wachsenden oder digital arbeitenden Unternehmen hilft dieser strukturierte Rahmen, die Komplexität zu beherrschen und ein einheitliches Verständnis von regelkonformen Handeln zu etablieren.

Ziele des Compliance-Managements

Das zentrale Ziel des Compliance-Managements ist es, Regelverstöße zu vermeiden und Risiken frühzeitig zu begrenzen. Dazu zählen rechtliche Sanktionen, finanzielle Schäden oder der Verlust von Reputation. Gleichzeitig unterstützt Compliance-Management Unternehmen dabei, Transparenz zu schaffen und Vertrauen bei den eigenen Kund(inn)en und Geschäftspartner(inne)n, aber auch bei den zuständigen Aufsichtsbehörden aufzubauen.

Darüber hinaus zielt Compliance-Management auch auf organisatorische Abläufe ab: Regeln sollen nicht einfach existieren, sondern im Arbeitsalltag auch praktikabel umgesetzt werden können. Durch klare Zuständigkeiten, definierte Prozesse und eine nachvollziehbare Dokumentation wird Compliance zu einem Bestandteil verantwortungsvoller Unternehmensführung, anstatt nur als Hindernis wahrgenommen zu werden.

Compliance-Management vs. Compliance-Management-System

Die Begriffe Compliance-Management und Compliance-Management-System werden im Unternehmensalltag häufig synonym verwendet. Tatsächlich beschreiben sie jedoch unterschiedliche Ebenen: Während Compliance-Management den übergeordneten Ansatz meint, steht das Compliance-Management-System für dessen konkrete organisatorische und technische Ausgestaltung.

Aufbau und Nutzen eines Compliance-Management-Systems

Das Compliance-Management-System (CMS) bildet den strukturellen Rahmen, mit dem Compliance-Management im Unternehmen praktisch umgesetzt wird. Es beschreibt, wie Regeln, Verantwortlichkeiten und Kontrollen organisiert sind und wie deren Einhaltung überprüft wird.

Der konkrete Aufbau eines Compliance-Management-Systems variiert je nach Unternehmensgröße, Branche und Risikolage, folgt jedoch meist ähnlichen Grundelementen. Typische Bestandteile sind:

• klar definierte Zuständigkeiten
• verbindliche Richtlinien
• standardisierte Prozesse
• Mechanismen zur Überwachung und Dokumentation
• Schulungsmaßnahmen und Kommunikationsformate

Seinen hauptsächlichen Nutzen hat das Compliance-Management-System damit vor allem in der Systematisierung. Anforderungen werden nicht theoretisch und isoliert behandelt, sondern in ein einheitliches, praktisch nachvollziehbares Gesamtbild überführt. Durch fundierte Risikoanalysen, Verantwortlichkeitszuweisungen und Nachweise gegenüber internen und externen Stellen ermöglicht ein CMS für jede Position im Unternehmen einen klaren Überblick, wie die eigene Arbeit den verschiedenen Compliance-Anforderungen gerecht wird.

Unser weiterführender Beitrag führt dich in das Thema Compliance-Management-System ein und zeigt, wie du Compliance erfolgreich im Unternehmen etablierst. 

Unterschiede Compliance-Management und Compliance-Management-System

Warum ist Compliance-Management nötig?

Wie bereits erwähnt, ist Compliance-Management immer auch der Umgang mit bestimmten Compliance-Risiken. Solche Risiken reichen vom Datenschutz beim Umgang mit personenbezogenen Daten, über die Informationssicherheit von Software bis hin zu solchen vertraglicher oder organisatorischer Natur.

Die Nichteinhaltung kann im Compliance-Management schwerwiegende Folgen für Unternehmen haben:

• Rechtliche Konsequenzen: Bußgelder, Strafzahlungen oder strafrechtliche Verfahren gegen das Unternehmen oder verantwortliche Personen bei Verstößen gegen Gesetze und regulatorische Vorgaben.
• Finanzielle Schäden: Direkte Kosten durch Strafen, Schadenersatzforderungen oder Vertragsstrafen sowie indirekte Kosten durch Mehraufwand, Prozessverluste oder Umsatzrückgänge.
• Reputationsverluste: Vertrauensverlust bei Kund(inn)en, Geschäftspartner(inne)n und Investor(inn)en, der sich langfristig negativ auf Marke und Marktposition auswirken kann.
• Verlust von Geschäftsbeziehungen: Kündigungen von Verträgen oder Ausschluss von Ausschreibungen, insbesondere bei Kund(inn)en aus regulierten Branchen oder dem öffentlichen Sektor.
• Eingriffe durch Aufsichtsbehörden: Verschärfte Prüfungen, Auflagen oder Sonderkontrollen, die operative Abläufe beeinträchtigen und zusätzlichen Aufwand verursachen.
• Persönliche Haftungsrisiken: Haftung von Geschäftsführung oder Führungskräften, wenn Compliance-Regeln nicht angemessen organisiert oder überwacht wurden.

Deshalb ist es notwendig, das interne Compliance-Management-System an geltenden Compliance-Richtlinien bzw. Standards auszurichten, die abhängig von Branche, Geschäftsgebiet und Rechtslage gelten.

Erhalte einen umfassenden Einblick in Compliance-Risiken und deren Bewältigung in unserem weiterführenden Beitrag.

Was sind Compliance-Standards und Compliance-Richtlinien?

Compliance-Standards sind externe Vorgaben, an denen sich Unternehmen bei der Ausgestaltung ihres Compliance-Managements orientieren. Sie entstehen durch Gesetze, regulatorische Anforderungen oder anerkannte Normen und definieren, welche Mindestanforderungen an regelkonformes Handeln gestellt werden. Compliance-Standards geben damit den Rahmen vor, den eine Organisation durch interne Maßnahmen und Richtlinien konkret ausfüllen muss.

Zu den wichtigsten Compliance-Standards im IT-Bereich zählen:

• ISO/IEC 27001
• DSGVO
• NIST CSF
• SOC 2
• Branchenspezifische bzw. sektorale Standards wie PCI DSS, NIS2 und HIPAA

In unserem weiterführenden Beitrag zu Compliance-Standards geben wir dir einen umfassenden Überblick über relevante Standards und deren Etablierung im Unternehmen.

Als Compliance-Richtlinien werden hingegen häufig die internen Übersetzungen der Compliance-Standards bezeichnet. Durch sie werden aus externen Anforderungen konkrete Handlungsregeln abgeleitet, die auf Unternehmensstandards und den eigenen Werten basieren. Im Rahmen des Compliance-Managements übernehmen diese Richtlinien also die zentrale Steuerungsfunktion. Sie machen abstrakte gesetzliche oder normative Anforderungen greifbar und sorgen dafür, dass Erwartungen an Verhalten, Prozesse und Zuständigkeiten in unterschiedlichen Geschäftsfeldern klar formuliert sind. Damit geben sie Mitarbeiter(inne)n Orientierung, um sich in bestimmten Situationen regelkonform zu verhalten, und schaffen eine gemeinsame Grundlage für Entscheidungen im Arbeitsalltag.

Compliance-Management im Unternehmen umsetzen

Die Umsetzung von Compliance-Management im Unternehmen ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der externe und interne Anforderungen dauerhaft in unternehmenseigene Strukturen und Abläufe integrieren soll. Als Orientierung dient dabei häufig ISO 37301 als international anerkanntes Rahmenwerk, das grundlegende Prinzipien für die Einführung eines Compliance-Management-Systems und dessen Weiterentwicklung beschreibt.

Typische Bausteine bei der Umsetzung von Compliance im Unternehmen sind:

1. Analyse der Ausgangslage: Relevante gesetzliche, regulatorische und unternehmenseigene Anforderungen sowie erste Compliance-Risiken im Unternehmen werden erfasst.
2. Festlegung von Rollen und Verantwortlichkeiten: Zuständigkeiten werden klar verteilt, damit Compliance-Aufgaben verbindlich wahrgenommen werden können.
3. Ableitung interner Richtlinien: Externe Compliance-Standards werden in unternehmensspezifische Compliance-Richtlinien für den Arbeitsalltag übersetzt.
4. Verankerung in eigenen Abläufen: Die übersetzten Anforderungen werden in bestehende Geschäftsabläufe eingebettet, um integrierte Compliance-Prozesse zu schaffen, statt diese isoliert zu behandeln.
5. Kommunikation und Sensibilisierung: Es wird sichergestellt, dass Mitarbeiter(innen) die geltenden Regeln kennen und deren Bedeutung verstehen.
6. Überprüfung und Weiterentwicklung: Die Wirksamkeit der Maßnahmen sowie deren Anpassung bei neuen Anforderungen oder veränderten Rahmenbedingungen wird regelmäßig kontrolliert.

Wer all das manuell umsetzen will, muss sich auf einen enormen Aufwand einstellen. Um Zeit zu sparen und Entwicklerteams zu entlasten, ist es mit GitLab möglich, große Teile des Compliance-Managements in der Softwareentwicklung (z. B. Richtlinien, Sicherheitsscans und Nachweise) zu automatisieren.

Wie genau du das Compliance-Management automatisieren und Ressourcen einsparen kannst, erfährst du in unserem weiterführenden Beitrag!

Lohnt sich ein digitales Compliance-Management-System?

Auch wenn die analoge Implementierung des Compliance-Managements grundsätzlich möglich ist, wird spätestens nach der Umsetzung schnell klar, wie aufwendig auch die fortlaufende Steuerung von Regeln, Verantwortlichkeiten und Nachweisen sein kann.

Spätestens dann stellt sich nicht mehr die Frage, ob ein digitales Compliance-Management-System sinnvoll ist, sondern wie dessen Einführung im eigenen Unternehmen konkret aussehen sollte:

• Regulatorische Anforderungen: Gelten mehrere Gesetze, Standards oder branchenspezifische Vorgaben, die parallel berücksichtigt werden müssen?
• Organisatorische Komplexität: Gibt es mehrere Standorte, internationale Tätigkeiten oder verteilte Teams?
• Manueller Aufwand: Werden Compliance-Aufgaben überwiegend über Tabellen, E-Mails oder Einzellösungen gesteuert?
• Anforderungen an Nachweisbarkeit: Müssen regelmäßig Audits, Prüfungen oder Anfragen von Kund(inn)en und Behörden erfolgen?
• Transparenz über den aktuellen Status: Müssen Risiken, Maßnahmen oder Verantwortlichkeiten zentral einsehbar sein?

Ein digitales CMS sollte diese Punkte bedienen können, wodurch langfristig die Effizienz und Transparenz, aber auch das Bewusstsein für Verantwortung im Unternehmen und dessen rechtliche Sicherheit gestärkt werden.

Compliance-Management mit GitLab

Wenn Compliance-Anforderungen in der Softwareentwicklung manuell abzusichern sind, entstehen Kontrollen und Nachweise oft zu spät oder an zu vielen Stellen. Mit GitLab wird Compliance direkt in den Entwicklungsfluss integriert:

• Richtlinien und Kontrollen werden in Pipelines verankert, indem Vorgaben nicht nur dokumentiert, sondern als durchsetzbare Regeln in den Build- und Release-Prozess integriert werden.
• Compliance-Frameworks lassen sich standardisieren, um organisationsspezifische Frameworks projektübergreifend mit wiederverwendbaren, versionskontrollierten Richtlinien umzusetzen.
• Durch automatisierte Protokolle und Nachweiserfassung wird der Last-Minute-Aufwand vor Audits reduziert und deren Status bleibt nachvollziehbar.
• Compliance wird mit Themen wie Schwachstellen- und Abhängigkeitsmanagement inklusive der Erstellung der Software-Lieferkette (SBOM) zusammen gedacht, statt getrennt dokumentiert zu werden.

Fazit: Moderne Compliance-Software macht aus Pflicht eine Selbstverständlichkeit

Wer heute Compliance im eigenen Unternehmen umsetzen will, muss viele Dinge berücksichtigen – denn mit zunehmenden Risiken durch KI und die fortschreitende Digitalisierung wachsen auch die alltäglichen Compliance-Anforderungen. Hinzu kommt die steigende Anzahl an Gesetzen und Vorschriften, die ein lückenloses Compliance-Management zwingend erforderlich machen.

Um finanzielle Verluste, Imageschäden oder andere schwerwiegende Folgen zu vermeiden, gleichermaßen aber die unternehmenseigenen Abläufe nicht grundlegend verändern zu müssen, lohnt sich der Einsatz eines modernen Compliance-Management-Systems. Denn mit einer nahtlosen Integration von Compliance in den Alltag und regelmäßigen (zielgruppenspezifischen) Schulungen der Mitarbeiter(innen) wird Compliance-Management von einer Last zur Selbstverständlichkeit.

Setze regulatorische Anforderungen direkt im Entwicklungsprozess um

Automatisiere dein Compliance-Management, stärke dabei deine Entwickler-Teams und skaliere Compliance nachhaltig im Unternehmen!

Jetzt starten!

Häufig gestellte Fragen zum Thema Compliance-Management

Was ist Compliance einfach erklärt?

Compliance bedeutet, dass sich ein Unternehmen und alle Mitarbeiter(innen) an geltende Gesetze, interne Regeln und ethische Standards halten. Ziel ist es, Rechtsverstöße, Betrug und unethisches Verhalten zu vermeiden. Compliance sorgt damit für rechtssicheres, verantwortungsvolles Handeln im Geschäftsalltag.

Was sind die drei Säulen des Compliance-Managements?

Die drei Säulen des Compliance-Managements sind Prävention, Aufdeckung und Reaktion. Prävention umfasst Regeln, Schulungen und klare Prozesse, um Verstöße von vornherein zu verhindern. Aufdeckung bedeutet, Risiken und Regelverstöße frühzeitig zu erkennen, zum Beispiel durch Kontrollen oder Hinweisgebersysteme. Reaktion beschreibt die konsequente Aufarbeitung von Verstößen sowie Maßnahmen, um Wiederholungen zu vermeiden.

Was macht ein Compliance-Manager?

Ein Compliance-Manager oder Compliance-Officer entwickelt und überwacht das Compliance-System eines Unternehmens. Dazu gehören die Analyse von Risiken, die Erstellung von Richtlinien, Schulungen für Mitarbeiter(innen) und die Beratung der Unternehmensleitung. Außerdem prüft er oder sie mögliche Verstöße und koordiniert notwendige Maßnahmen zur Einhaltung von Gesetzen und internen Vorgaben.

Ein Compliance-Management-System schafft genau diesen Rahmen. Es unterstützt Unternehmen dabei, rechtliche Risiken zu erkennen, Compliance-Anforderungen direkt in Entwicklungs- und Delivery-Prozesse zu integrieren und Verstöße wirksam zu vermeiden. In diesem Beitrag erfährst du, was ein Compliance-Management-System ist, warum es wichtig ist, wie es aufgebaut ist und wie sich ein CMS praxisnah implementieren lässt.

Was ist ein Compliance-Management-System?

Ein Compliance-Management-System ist ein ganzheitliches System aus Maßnahmen, Prozessen und organisatorischen Strukturen, mit dem Unternehmen die Einhaltung gesetzlicher Vorgaben, regulatorischer Anforderungen und interner Regeln sicherstellen. Es ist fest in die Organisation eingebunden, wird kontinuierlich weiterentwickelt und hilft dir, Compliance-Risiken frühzeitig zu erkennen, zu bewerten und Regelverstöße wirksam zu verhindern oder darauf zu reagieren.

Compliance-Management vs. Compliance-Management-System

Compliance-Management beschreibt die grundsätzliche Aufgabe eines Unternehmens, gesetzliche und interne Vorgaben einzuhalten, sowie das operative und strategische Handeln im Umgang mit Compliance-Themen.

Ein Compliance-Management-System bildet den strukturierten Rahmen dafür. Es bündelt alle relevanten Prozesse, Strukturen und Maßnahmen, ist fest in die Organisation integriert und sorgt dafür, dass Regelkonformität systematisch, dauerhaft und überprüfbar sichergestellt wird.

Während Compliance-Management also die inhaltliche Aufgabe beschreibt, liefert das Compliance-Management-System die organisatorische Struktur und Methodik, um diese Aufgabe systematisch, einheitlich und nachhaltig zu erfüllen.

Wie deutsche Unternehmen ihr gesamtes Compliance-Management automatisieren können, erklären zwei Solutions-Architektinnen aus dem deutschen Team in diesem Beitrag.

Warum ist ein Compliance-Management-System wichtig?

Compliance hat sich in den vergangenen Jahren von einem reinen Pflichtthema zu einem zentralen Bestandteil verantwortungsvoller Unternehmensführung entwickelt. Gesetzliche und regulatorische Anforderungen nehmen kontinuierlich zu, werden komplexer und ändern sich immer schneller. Gleichzeitig steigen die Erwartungen von Aufsichtsbehörden, Geschäftspartnern und Kund(inn)en an Transparenz, Integrität und verantwortungsvollen Umgang mit Daten. Unternehmen stehen damit vor der Herausforderung, Regelkonformität nicht nur punktuell sicherzustellen, sondern dauerhaft, nachvollziehbar und organisationsweit zu verankern.

Ziele eines Compliance-Management-Systems

• Vermeidung von Gesetzes- und Regelverstößen
• Reduzierung von Haftungs- und Reputationsrisiken
• Schutz von Führungskräften und Mitarbeiter(innen)
• Schaffung von Transparenz und klaren Verantwortlichkeiten
• Stärkung einer regelkonformen Unternehmenskultur

Welchen Nutzen hat ein Compliance-Management-System?

Der konkrete Nutzen eines Compliance-Management-Systems liegt darin, rechtliche und organisatorische Risiken beherrschbar zu machen. In vielen Branchen ist der Aufbau von Compliance-Strukturen gesetzlich oder regulatorisch gefordert. Zudem kann ein fehlendes oder unzureichendes CMS im Schadensfall als Organisationsverschulden gewertet werden.

Darüber hinaus schafft ein CMS Rechtssicherheit im Umgang mit nationalen und internationalen Vorgaben (z. B. anerkannten Standards wie ISO 27001) und erleichtert die Steuerung komplexer, teils widersprüchlicher Anforderungen, insbesondere bei internationaler Tätigkeit. Klare Prozesse und Aufgabentrennung – wie im Beitrag "Mit GitLab Aufgabentrennung und Compliance sicherstellen" beschrieben – verbessern interne Abläufe, reduzieren Fehlerquellen und senken das Risiko von Bußgeldern, Schadensersatzansprüchen und Reputationsschäden.

Gleichzeitig stärkt ein funktionierendes Compliance-Management-System das Vertrauen von Geschäftspartnern, Kund(inn)en und Aufsichtsbehörden und unterstützt eine verantwortungsvolle, nachhaltige Unternehmensführung – ohne sich in der reinen Zielbeschreibung zu erschöpfen.

Compliance-Management in der Softwareentwicklung

In der Softwareentwicklung ist ein Compliance-Management-System besonders relevant, da Software häufig sensible Daten verarbeitet, international eingesetzt wird und vielfältigen rechtlichen sowie technischen Anforderungen unterliegt. Ein CMS hilft dir, diese Vorgaben systematisch zu steuern und frühzeitig in Entwicklungsprozesse zu integrieren.

Ein automatisiertes Compliance-Management sorgt dafür, dass Compliance-Anforderungen wie Datenschutz, IT-Sicherheit oder Dokumentationspflichten nicht erst im Nachhinein geprüft, sondern von der Planung bis zum Betrieb berücksichtigt werden. Klare Richtlinien, Verantwortlichkeiten und Standards schaffen Rechtssicherheit für Entwicklungsteams und reduzieren Risiken durch Fehlentscheidungen oder Nachbesserungen.

Gerade in agilen und internationalen Entwicklungsumgebungen unterstützt ein CMS dabei, unterschiedliche Anforderungen konsistent umzusetzen. So wird Compliance zu einem integralen Bestandteil der Softwareentwicklung und trägt zu sicheren, qualitativ hochwertigen und vertrauenswürdigen Softwareprodukten bei.

7,5x schnellere Pipeline-Zeit und eine 5x kürzere Bereitstellungszeit: HackerOne nutzt GitLab für optimierte Prozesse

Erfahre, wie HackerOne mit GitLab die Effizienz der Entwickler(innen) steigert und zeitgleich höchste Sicherheitsstandards gewährleistet.  

Erfolgsgeschichte lesen! 

Vorteile eines Compliance-Management-Systems

Ein Compliance-Management-System ist in der Regel keine Pflicht, bietet Unternehmen jedoch zahlreiche Vorteile.

• Strukturierte Steuerung von Compliance-Themen: Ein Compliance-System schafft klare Abläufe und Verantwortlichkeiten, sodass Compliance nicht zufällig oder personenabhängig, sondern systematisch gesteuert wird.
• Systematische Risikoerkennung und -bewertung: Compliance-Risiken werden regelmäßig identifiziert, bewertet und priorisiert, statt erst im Schadensfall sichtbar zu werden.
• Einheitliche Standards und Prozesse: Unternehmensweit geltende Regeln sorgen für Konsistenz, auch über Standorte, Abteilungen oder Länder hinweg.
• Transparente Rollen und Zuständigkeiten: Klare Verantwortlichkeiten entlasten Führungskräfte und Mitarbeitende und reduzieren Unsicherheiten im Umgang mit Compliance-Fragen.
• Laufende Überwachung und Kontrolle: Kontrollmechanismen, Kennzahlen und Prüfungen ermöglichen eine kontinuierliche Überwachung der Wirksamkeit von Compliance-Maßnahmen.
• Bessere Prüfungs- und Nachweisfähigkeit: Ein dokumentiertes CMS erleichtert interne und externe Audits und kann gegenüber Behörden oder Gerichten die Einhaltung der Sorgfaltspflicht belegen.
• Integration in bestehende Managementsysteme: An anerkannten Compliance-Standards ausgerichtete Systeme lassen sich mit anderen Managementsystemen verbinden und effizient in bestehende Strukturen einbetten.

Diese Vorteile zeigen, dass ein Compliance-Management-System nicht nur Regeln definiert, sondern vor allem Ordnung, Transparenz und Verlässlichkeit in den Umgang mit Compliance-Themen bringt.

Der Aufbau eines Compliance-Management-Systems

Ein Compliance-Management-System besteht aus mehreren ineinandergreifenden Bausteinen, die gemeinsam sicherstellen, dass Compliance nicht punktuell, sondern dauerhaft und nachvollziehbar umgesetzt wird. Ziel ist ein klar strukturierter Rahmen, der Verantwortlichkeiten definiert, Risiken adressiert und die Wirksamkeit von Maßnahmen überprüfbar macht.

Zentrale Bausteine eines Compliance-Management-Systems

Diese Bausteine orientieren sich häufig an anerkannten Standards und Prüfungsrahmen und sollten stets an Größe, Branche und Risikoprofil des Unternehmens angepasst werden.

Rollen und Verantwortlichkeiten in einem Compliance-Management-System

Neben den inhaltlichen Bausteinen spielt die organisatorische Verankerung eine zentrale Rolle:

• Vorstand oder Geschäftsleitung: Die oberste Führungsebene trägt die Gesamtverantwortung für das CMS. Sie prägt die Compliance-Kultur, gibt verbindliche Richtlinien vor und stellt sicher, dass Compliance im Unternehmen ernst genommen wird.
• Compliance-Beauftragte: Compliance-Verantwortliche koordinieren die Umsetzung des CMS, entwickeln Richtlinien, bewerten neue Risiken, berichten regelmäßig an die Geschäftsleitung und begleiten Schulungen, Kontrollen und Korrekturmaßnahmen.
• Compliance-Programm: Das operative Herzstück des CMS. Es beinhaltet alle Richtlinien und Verfahren, Berichts- und Meldewege sowie Korrekturmaßnahmen bei Verstößen. Regelmäßige Audits und Überwachung sichern die Wirksamkeit des Systems.

Insgesamt zeigt der Aufbau eines Compliance-Management-Systems, dass wirksame Compliance nicht aus Einzelmaßnahmen besteht, sondern aus einem klar strukturierten Zusammenspiel von Kultur, Organisation, Prozessen und Kontrolle.

Compliance-Management-System implementieren: Eine Anleitung

Die Implementierung eines Compliance-Management-Systems erfolgt schrittweise und sollte strategisch geplant werden. Die folgende Anleitung zeigt die zentralen Schritte für den Aufbau eines wirksamen CMS:

1. Analyse der Ausgangslage: Prüfe bestehende Prozesse, Richtlinien und Kontrollen und identifiziere relevante rechtliche, regulatorische und organisatorische Risiken. Eine strukturierte Compliance-Risikoanalyse bildet die Grundlage für alle weiteren Maßnahmen.
2. Definition von Zielen und Verantwortlichkeiten: Lege fest, welche Compliance-Ziele erreicht werden sollen, und definiere klare Rollen und Zuständigkeiten innerhalb der Organisation, um Transparenz und Verbindlichkeit zu schaffen.
3. Entwicklung und Anpassung von Richtlinien und Prozessen: Erstelle oder aktualisiere interne Regelwerke, Verhaltenskodizes und Prozessbeschreibungen. Achte darauf, dass diese verständlich formuliert und praxisnah in bestehende Arbeitsabläufe integriert sind.
4. Einbindung von Führungskräften und Stakeholdern: Binde Geschäftsleitung und relevante Stakeholder frühzeitig ein und stelle sicher, dass deren Verantwortung für Compliance klar geregelt ist. Die Unterstützung der Führungsebene ist entscheidend für eine gelebte Compliance-Kultur.
5. Schulung und Kommunikation: Sensibilisiere Mitarbeiter(innen) regelmäßig für Compliance-Themen und vermittle sowohl die geltenden Regeln als auch deren Bedeutung für das Unternehmen und den Einzelnen.
6. Einführung von Kontroll- und Meldewegen: Implementiere interne Kontrollen, Audits und vertrauliche Hinweisgebersysteme, um Regelverstöße frühzeitig zu erkennen und angemessen zu reagieren.
7. Festlegung von Rechenschaftspflichten: Definiere klare Erwartungen an das Verhalten der Mitarbeiter(innen) und setze verbindliche Rechenschafts- und Sanktionsmechanismen um.
8. Kontinuierliche Überwachung und Verbesserung: Überprüfe die Wirksamkeit des CMS regelmäßig und passe es an neue gesetzliche, organisatorische oder technologische Anforderungen an.

Integrierte Compliance-Management-Lösungen

In der Praxis wird ein Compliance-Management-System häufig als separates Konstrukt eingeführt, das bestehenden Prozessen nachgelagert ist. Dieser Ansatz führt jedoch oft zu Mehraufwand, Akzeptanzproblemen und Medienbrüchen. Wirksames Compliance-Management entsteht erst dann, wenn Compliance als integraler Bestandteil der täglichen Arbeitsabläufe, Rollen und Verantwortlichkeiten verstanden und umgesetzt wird.

Integrierte CMS-Lösungen setzen genau hier an. Sie verankern Compliance direkt in den bestehenden Prozessen, statt zusätzliche Parallelstrukturen aufzubauen. Digitale, integrierte Systeme bündeln Richtlinien, Kontrollen, Dokumentation und Nachweise zentral und machen Compliance dort sichtbar, wo operative Arbeit tatsächlich stattfindet. Dieser Ansatz bietet:

• Maximale Effizienz: Durch die Digitalisierung von Compliance-Prozessen lassen sich Audits besser vorbereiten, Nachweise schneller erbringen und Prüfungen strukturierter durchführen.
• Höhere Akzeptanz: Der Schulungsaufwand wird reduziert, da Mitarbeiter(innen) nicht mit isolierten Compliance-Tools arbeiten müssen, sondern Compliance-Funktionen in vertrauten Systemen nutzen.
• Stärkere Transparenz: Integrierte Compliance-Plattformen ermöglichen die nahtlose Anbindung an bestehende Datenquellen und Workflows. Informationen müssen nicht mehrfach gepflegt werden, und Compliance-relevante Aktivitäten lassen sich automatisiert dokumentieren.
• Bessere Skalierbarkeit: Integrierte CMS-Lösungen wachsen mit den organisatorischen und regulatorischen Anforderungen mit und lassen sich flexibel an neue Märkte, Teams oder Vorgaben anpassen.

Plattformen wie GitLab zeigen, wie Compliance durch Integration in Entwicklungs-, Dokumentations- und Kontrollprozesse Teil eines durchgängigen Workflows werden kann. Compliance wird so nicht als zusätzliche Pflicht wahrgenommen, sondern als natürlicher Bestandteil effizienter, transparenter und verantwortungsvoller Zusammenarbeit.

Fazit

Ein Compliance-Management-System bildet die strukturelle Basis für regelkonformes, verantwortungsvolles und nachhaltiges Handeln im Unternehmen. Es unterstützt dich dabei, rechtliche und regulatorische Anforderungen systematisch zu erfüllen, Risiken frühzeitig zu erkennen und Verstöße wirksam zu verhindern oder zu adressieren.

Entscheidend für den Erfolg ist, dass ein CMS nicht nur formal eingeführt, sondern aktiv in Prozesse, Verantwortlichkeiten und die Unternehmenskultur integriert wird. Durch kontinuierliche Überprüfung und Weiterentwicklung bleibt es wirksam und anpassungsfähig. Ein gut umgesetztes Compliance-Management-System stärkt das Vertrauen von Kund(inn)en, Geschäftspartnern und Behörden, fördert ethisches Verhalten und kann unabhängig von Unternehmensgröße zu einem echten Wettbewerbsvorteil werden.

Integriere Compliance direkt in deine Softwareentwicklung Mit GitLab verankerst du Software-Compliance dort, wo sie entsteht: in Entwicklung, Deployment und Betrieb. Jetzt testen!

Häufig gestellte Fragen zu Compliance-Management-System

Ist ein Compliance-Management-System Pflicht? 

Ein Compliance-Management-System ist nicht für alle Unternehmen gesetzlich verpflichtend. In bestimmten Branchen, etwa im Finanz- und Versicherungswesen, bestehen jedoch konkrete rechtliche Vorgaben zur Einrichtung von Compliance-Strukturen. Auch ohne ausdrückliche Pflicht kann ein fehlendes oder unzureichendes CMS im Schadensfall als Organisationsverschulden gewertet werden. Gerichte und Aufsichtsbehörden berücksichtigen zunehmend, ob angemessene Compliance-Maßnahmen implementiert waren. Der Bundesgerichtshof urteilte beispielsweise, dass ein wirksames Compliance-Management-System Geldbußen deutlich senken kann. Ein CMS ist daher kein formales Muss für jedes Unternehmen, aber ein zentraler Bestandteil wirksamer Risikovorsorge.

Was sind konkrete Beispiele für Compliance-Verstöße? 

Compliance-Verstöße können in vielen Bereichen auftreten. Typische Beispiele sind Verstöße gegen Datenschutzvorgaben, etwa durch unzulässige Verarbeitung personenbezogener Daten, Korruptions- oder Bestechungshandlungen im Geschäftsverkehr, Verstöße gegen Geldwäschevorschriften oder Insiderhandel. Auch Kartellrechtsverstöße, fehlende Dokumentationen, unzureichende IT-Sicherheitsmaßnahmen oder die Missachtung interner Richtlinien zählen dazu.

Welche rechtlichen Vorgaben gibt es bezüglich Compliance-Management-Systemen?

In Deutschland ist der Begriff Compliance-Management-System nicht allgemein gesetzlich definiert. Rechtliche Anforderungen ergeben sich je nach Branche aus unterschiedlichen Gesetzen, Aufsichtsregeln und Vorschriften. Im Finanz- und Versicherungssektor sind interne Kontrollsysteme mit Compliance-Funktion ausdrücklich vorgeschrieben. Hinzu kommen nationale und internationale Regelwerke, zum Beispiel aus dem Datenschutz-, Straf- oder Wirtschaftsrecht. Orientierung bieten außerdem anerkannte Standards (z. B. ISO-Normen) und Kodizes (z. B. der Deutsche Corporate Governance Kodex) zur ordnungsgemäßen Unternehmensführung.

Dieser Beitrag zeigt, wie kontinuierliche Compliance im Entwicklungsprozess sichergestellt werden kann – automatisiert, ohne Reibungsverluste und unterstützend statt bremsend. Videos aus einem deutschsprachigen GitLab-Webinar runden diesen Beitrag ab.

Sieh dir jetzt das gesamte Webinar "Compliance im Wandel - ein Wegweiser" kostenlos an.

Herausforderungen bei der Arbeit mit Compliance-Standards

Traditionelle Compliance-Ansätze erzeugen Reibung und bremsen Entwicklungsteams aus. Die administrativen Aufgaben nehmen zu, kosten Zeit und Nerven und führen oftmals dazu, dass das Thema Sicherheit als zusätzliche Belastung betrachtet und vernachlässigt wird. 

Compliance-Management automatisieren: Ein Praxisbeispiel

Ein junges, wachstumsstarkes B2B-Unternehmen im Sicherheitssektor möchte neue Kund(inn)en gewinnen. Das Marktumfeld sowie die Zielkund(inn)en verlangen die Einhaltung strenger Standards im Bereich Informationssicherheit (z. B. ISO 27001). 

Für das Bestehen einer solchen Zertifizierung ist eine enorme Anstrengung aufseiten der gesamten Organisation nötig. Entwicklerteams, Manager(innen) und Sicherheitsteams müssen Hand in Hand arbeiten, um die Zertifizierung trotz des Drucks des täglichen Geschäfts zu erlangen und dabei den Wachstumskurs nicht zu bremsen. 

12x kürzere Bereitstellungszeit: Dank GitLabs vollständiger Integration lebt Hilti Effizienz.

GitLab bringt vollständige Transparenz, eine umfassende Codeverwaltung und umfangreiche Sicherheitsscans mit, um Hilti neue Softwarefähigkeiten zu ermöglichen. Erfahre, wie Hilti seine Softwareentwicklung revolutioniert hat. Erfolgsstory lesen

Compliance im Unternehmen umsetzen

Für die Umsetzung der Compliance-Standards im Unternehmen ist ein strukturierter Prozess nötig. 

1. Compliance-Prozesse definieren: Ableitung spezifischer Maßnahmen aus den Anforderungen der Auditoren
2. Aktuelle Compliance-Situation verstehen: Definition der betroffenen Projekte
3. Korrekturmaßnahmen umsetzen: Implementierung neuer Prozesse und Korrekturen in den Projekten 
4. Compliance nachweisen: Reporting an das Management und die Auditoren 

Das größte Problem dabei ist der hohe manuelle Aufwand, um Informationen zu sammeln. Die Beteiligung unterschiedlicher Teams an diesem Prozess sorgt für hohen Abstimmungsaufwand und Unterbrechungen der täglichen Arbeit. 

Wie du Compliance-Risiken erkennst und bewältigst, erfährst du hier.

Compliance-Management automatisieren mit GitLab: Eine Anleitung

Nicht alle Anforderungen einer Zertifizierung nach Compliance-Standards obliegen dem Bereich der Software-Entwicklung. Um den manuellen Aufwand der Zertifizierung für Entwicklerteams jedoch so gering wie möglich zu halten und Zeit zu sparen, hilft GitLab bei der Automatisierung des Compliance-Managements. 

Ziel ist es, dass die Mitarbeitenden einen Mehrwert liefern, statt bloß Checklisten auszufüllen. 

1. Arbeit mit dem Compliance-Center

GitLab bietet mit dem Compliance-Center ein zentrales Dashboard, in dem alle Informationen auf einen Blick ersichtlich sind. Über die zentrale Ansicht kann der Compliance-Status über alle betroffenen Projekte hinweg eingesehen werden. 

Um zum Compliance-Center zu gelangen, klicke in der linken Navigationsleiste deines GitLab-Accounts auf “Secure” > “Compliance Center”. 

Sieh dir jetzt das gesamte Webinar "Compliance im Wandel - ein Wegweiser" kostenlos an.

2. Framework erstellen

Für die Sicherstellung der jeweiligen Compliance-Standards ist die Arbeit mit entsprechenden Frameworks notwendig. Jedes Unternehmen verfügt dabei über einzigartige Compliance-Anforderungen, die auf Branchenstandards, regulatorischen Vorgaben oder internen Richtlinien basieren. Diese können im Reiter “Frameworks” mit GitLab so modelliert werden, dass sie automatisch überwacht und durchgesetzt werden. 

GitLab ermöglicht die Erstellung individueller Frameworks oder die Nutzung existierender Templates, die ebenfalls auf die eigenen Bedürfnisse angepasst werden können. 

In diesem Video (ausnahmsweise auf Englisch) führen wir dich Schritt für Schritt durch den Prozess zur Erstellung eines neuen Frameworks!

Um ein neues Framework zu erstellen, sind folgende Schritte nötig:

• Name und Beschreibung vergeben: Kommuniziert den Zweck und die Wichtigkeit des Frameworks.
• Farb-Batch auswählen: Dient als Identifier für projektübergreifende Frameworks.
• optional: Framework als Standard festlegen: Stellt die Aufrechterhaltung der Compliance-Anforderungen von Anfang an sicher und setzt Leitplanken. 
• Anforderungen hinzufügen: Repräsentieren die übergeordneten Compliance-Ziele
• • Name und Beschreibung hinzufügen: Kommuniziert den Zweck und die Wichtigkeit der Anforderung.
  • Controls festlegen: Repräsentieren die technischen Checks, die automatisch geprüft und verifiziert werden können.

Beispiel: Die Anforderung “Segregation of Duties” stellt die Durchführung von Code-Reviews sicher. Dazu sollen Genehmigungen eigener Merge Requests verhindert werden. Über die Erstellung der Controls “Author approved merge request is forbidden” und “At least one approval” wird sichergestellt, dass Codeänderungen durch mindestens eine weitere Person überprüft und genehmigt werden. 

Sieh dir jetzt das gesamte Webinar "Compliance im Wandel - ein Wegweiser" kostenlos an.

Nachdem die spezifischen Anforderungen für das neue Framework definiert wurden, kann das Framework erstellt werden. Compliance-Anforderungen werden mittels Frameworks in automatische Checks umgewandelt, sodass eine manuelle Verifizierung nicht mehr nötig ist. 

Diese Richtlinie kann nun auf Projekte angewendet werden. 

3. Framework zu Projekt hinzufügen

Das Framework muss anschließend den jeweiligen Projekten zugeordnet werden, um das Compliance-Monitoring zu beginnen. 

Dazu können im Reiter “Projects” alle Projekte und die angewendeten Frameworks angezeigt werden. Um einem einzelnen Projekt ein neues Framework hinzuzufügen, kann das Projekt in der Spalte “Action” bearbeitet und das entsprechende Framework hinzugefügt werden. 

Über die Bulk-Bearbeitung kann ein Framework allen Projekten hinzugefügt werden. 

• Markiere alle Projekte 
• Klicke auf die Option “Choose one bulk action” 
• Klicke auf “Apply frameworks to selected projects”
• Klicke auf “Select framework” und wähle das entsprechende Framework aus
• Klicke auf “Apply” 

Nachdem das jeweilige Framework einem Projekt hinzugefügt wurde, beginnt die Anwendung des Compliance-Monitorings, ohne die Entwicklerteams zu stören. Es gibt keinen separaten Onboarding-Prozess oder Formulare, die manuell ausgefüllt werden müssen.

4. Arbeit mit dem Compliance-Status-Report

Der Compliance-Status-Report gibt einen Überblick über die Projekte und die entsprechenden Anforderungen. Damit ist ersichtlich, welche Anforderungen erfolgreich bzw. nicht erfolgreich umgesetzt wurden. 

Im Reiter “Status” im Compliance-Center kann eine detaillierte Ansicht über die Einhaltung der Frameworks über alle Projekte hinweg aufgerufen werden. 

Die Filterfunktion ermöglicht eine einfache Navigation bei umfangreichen Organisationen mit zahlreichen Projekten. Damit kannst du das Reporting auf deine Bedürfnisse anpassen und genau die Berichte generieren, die für die jeweiligen Stakeholder relevant sind. 

Der Status-Report ermöglicht Transparenz, indem grüne bzw. rote Flaggen eine schnelle visuelle Bewertung der aktuellen Anforderungen bieten, spezifische Controls kommuniziert und Probleme schnell identifiziert werden können – ohne aufwändiges Audit. 

Damit erhältst du einen klaren Einblick in den Compliance-Status und Maßnahmen, die zu ergreifen sind. 

5. Compliance-Verstöße direkt lösen

Sollte im Status-Report eine fehlgeschlagene Anforderung angezeigt werden, kann diese direkt gelöst werden. Für jedes Projekt wird angezeigt, welche Controls fehlgeschlagen sind. Mit Klick auf den entsprechenden Fehler wird eine Dokumentation des Problems geöffnet. 

Neben der Dokumentation kannst du direkt zu den relevanten Projekteinstellungen geführt werden, um das Problem sofort zu beheben, anstatt lange in den entsprechenden Projekten suchen zu müssen. 

Sieh dir jetzt das gesamte Webinar "Compliance im Wandel - ein Wegweiser" kostenlos an.

6. Korrektur fehlerhafter Compliance-Anforderungen für mehrere Projekte

Solltest du Compliance-Anforderungen für mehrere Projekte definiert haben, kannst du relevante Korrekturen automatisiert durchführen, statt alles manuell zu prüfen. Dazu nutzt du Security Policies. Diese ermöglichen es, sicherheitsrelevante Controls auf Projekt-, Gruppen- oder Framework-Ebene als Teil des Standardworkflows zu erzwingen. 

Klicke dazu in der linken Navigationsleiste deines GitLab-Accounts auf “Secure” > “Policies”. 

Unter “New Policy” kannst du automatisierte Compliance-Anforderungen für mehrere Projekte aktivieren. Dabei kannst du wählen zwischen

• Scan execution policy: Erzwingt Sicherheitsscans, entweder als Teil der Pipeline oder nach einem festgelegten Zeitplan.
• Merge request approval policy: Erzwingt Einstellungen auf Projektebene und Approvalregeln auf Basis der Ergebnisse des Scans.
• Pipeline execution policy: Erzwingt CI/CD-Jobs als Teil von Projekt-Pipelines.
• Vulnerability management policy: Behebt automatisch Sicherheitslücken, die im Standard-Branch nicht mehr erkannt werden. 

Um beispielsweise im Bereich “Secret Detection” eine umfassende Sicherheitsmaßnahme anzulegen, gehe wie folgt vor. 

• Klicke auf “New Policy”
• Wähle “Scan execution policy” aus
• Definiere einen Namen 
• Wähle aus, ob die Policy mit 
• • allen Projekten (“all projects in this group”),
  • spezifischen Projekten (“specific projects”) oder
  • einem Compliance-Framework (“projects with compliance framework” + relevantes Framework) verknüpft werden soll. 
• Wähle unter “Configuration Type” aus, ob du ein Template für die Policy oder eine individuelle Einstellung nutzen willst
• Speichere die neue Policy 

Einmal gespeichert, wird die Policy automatisch durchgesetzt. Jede Pipeline-Ausführung in diesem Projekt wird eine “Secret Detection” Anforderung enthalten. 

7. Reporting- und Audit-Unterstützung mit GitLab

Die Automatisierung des Compliance-Managements unterstützt nicht nur die tägliche Arbeit der Entwickler(innen), sondern erleichtert auch das Reporting an relevante Stakeholder. Mit dem Compliance-Center steht dir ein vollumfängliches Reportingtool zur Verfügung, das die Kommunikation gegenüber Aufsichtsbehörden, Kund(inn)en und sonstigen Stakeholdern erleichtert. 

Über das Compliance-Center erhältst du Einblicke in:

• die Gesamtzahl der Projekte, die durch ein Compliance-Framework abgedeckt sind.
• die Compliance-Rate, d. h., wie viele Projekte die Compliance-Anforderungen erfüllen.
• aktive Frameworks für die gesamte Organisation.
• kritische Verstöße, die Aufmerksamkeit erfordern.

GitLab erleichtert so die Statuserfassung, da der Informationsfluss automatisiert wird, manuelle Abstimmungstätigkeiten entfallen und Echtzeitdaten verarbeitet werden können. Zahlreiche Exportformate stellen sicher, dass du dein Reporting nach außen kommunizieren kannst.

Du hast Fragen zum Compliance-Prozess mit GitLab? Dann sprich jetzt mit uns und wir beantworten gerne alle Fragen!

Vorteile des automatisierten Compliance-Managements mit GitLab 

• Single Source of Truth: Statt manueller Excel-Listen und Abstimmungsrunden bietet GitLab eine zentrale Anlaufstelle für das Compliance-Management. 
• Integrierte Compliance: Integration von Compliance in den Entwicklungsprozess ohne zusätzlichen Prozessaufwand 
• Höhere Effizienz: Compliance wird ohne zusätzliche manuelle Workflows umgesetzt
• Direktes Eingreifen: GitLab automatisiert Compliance-Checks, sodass Verstöße direkt erfasst und Lösungen unkompliziert umgesetzt werden 
• Mehr Fokus: Entwicklerteams können sich auf die tägliche Arbeit konzentrieren
• Mehr Sicherheit: Compliance wird als zentrale Rahmenbedingung im Unternehmen etabliert
• Stärkere Wahrnehmung: Compliance-Verantwortliche und Compliance-Maßnahmen erhalten mehr Sichtbarkeit im Unternehmen 
• Einfacheres Reporting: Auditor(inn)en erhalten zeitnah alle relevanten Nachweise

"Dieser optimierte Ansatz transformiert Compliance von einem reaktiven, zeitaufwändigen Prozess in ein proaktives, effizientes System, das mit eurer Organisation skaliert."

– Karolina Franz, Solutions Architect @GitLab

Sieh dir hier das Webinar "Compliance im Wandel" mit Karolina Franz kostenlos an.

Der Compliance-Prozess mit GitLab

Die Automatisierung des Compliance-Managements mit GitLab bietet dir zahlreiche Vorteile. Wie bereits am Anfang dieses Beitrags beschrieben, benötigt ein Unternehmen einen strukturierten Prozess zur Sicherstellung der Compliance-Standards. 

GitLab unterstützt den Aufbau eines solchen Prozesses wie folgt.

• Compliance-Prozesse definieren: Mit individuellen Frameworks kannst du jeden Compliance-Standard modellieren und überwachen lassen. Dies sorgt dafür, dass Compliance ohne Engpässe im gesamten Unternehmen skaliert werden kann. 
• Aktuelle Compliance-Situation verstehen: Das umfassende Monitoring erfasst alle relevanten Projekte sowie Anforderungen und kommuniziert Verstöße noch vor dem Audit, sodass ein schnelles Eingreifen möglich ist. 
• Korrekturmaßnahmen umsetzen: Über die Nutzung von Policies können Compliance-Standards automatisiert über alle Projekte und Teams hinweg sichergestellt werden.
• Compliance nachweisen: Für das Reporting steht das Compliance-Center zur Verfügung, das alle Projekte zentral darstellt, manuelle Statuserfassungen und Workflows eliminiert und sicherstellt, dass Nachweise korrekt bereitgestellt werden. 

Wie du Compliance-Standards für dein Unternehmen in der DACH-Region identifizierst und einhältst, erfährst du in diesem Beitrag.

Fazit

Compliance ist kein einmaliges Audit-Projekt, sondern ein kontinuierlicher Prozess, der direkt in die Softwareentwicklung integriert werden muss. Manuelle Prüfungen und isolierte Workflows stoßen dabei schnell an ihre Grenzen und bremsen Teams aus.

GitLab ermöglicht es, Compliance-Anforderungen in automatisierte, überprüfbare Standards zu übersetzen. Über Frameworks, Policies und zentrales Monitoring wird Compliance transparent, skalierbar und durchsetzbar – ohne zusätzlichen Aufwand für Entwickler(innen). So wird Compliance zu einer verlässlichen Grundlage für sichere Softwareentwicklung und nachhaltiges Wachstum.

Verankere regulatorische Anforderungen direkt im Entwicklungsprozess

Automatisiere dein Compliance-Management, stärke dabei deine Entwicklerteams und skaliere Compliance nachhaltig im Unternehmen!

Jetzt starten!