Pipeline-Perimeter im Zeitalter KI-gestützter Entwicklung absichern

KI-gestützte Entwicklung bewegt sich schneller als die Sicherheitsmodelle, die zu ihrer Steuerung entwickelt wurden – Agenten schreiben Code, öffnen Merge Requests und liefern Änderungen in einem Tempo, bei dem Schwachstellen unbemerkt bleiben. Das Problem ist kein Mangel an Scan-Werkzeugen; es ist, dass Sicherheit außerhalb des Workflows lebt, in dem Entscheidungen tatsächlich getroffen werden – und Richtlinien damit zu Empfehlungen werden.

GitLab Ultimate ändert das, indem Application Security zu einer Kerneigenschaft der Plattform selbst wird – kein separates Portal, das Entwicklungsteams gesondert aufsuchen müssen.

Dieser Artikel beschreibt die drei sich gegenseitig verstärkenden Dimensionen, die das ermöglichen – Sehen, Durchsetzen und Beheben – und warum alle drei zusammen GitLab zu einer echten DevSecOps-Control-Plane für den KI-nativen Software Development Lifecycle (SDLC) machen.

Keine Absicherheit ohne Sichtbarkeit

Governance beginnt damit, jedes Projekt, jeden Scanner und jede Aktion im SDLC zu sehen. Projektbezogene Dashboards lassen Lücken unsichtbar – und in diesen Lücken lebt nicht durchgesetzte Richtlinie.

• Das Group Security Dashboard fasst Findings aus Static Application Security Testing (SAST), Software Composition Analysis (SCA), Secret Detection, Container Scanning, Infrastructure as Code (IaC) Scanning, Dynamic Application Security Testing (DAST) und Fuzz Testing zusammen. Das Dashboard zeigt Ergebnisse aus allen Repositories in einer einzigen Ansicht – ohne Exporte aus mehreren Werkzeugen zusammenzufügen. Es liefert Trends über Zeit, Risiken aufgeschlüsselt nach Geschäftsbereich und Expositionsgrad sowie das Security Inventory in derselben Ansicht. Das Security Inventory zeigt Projekte ohne Bewertung, weil sie nie gescannt wurden – die Lücke, die die meisten projektbezogenen Dashboards nie melden.
• Die Application Security von GitLab Ultimate macht Identitätsrisiken sichtbar, die andere Scanner häufig vollständig ignorieren. Das Credentials Inventory listet jeden Token der Instanz mit Eigentümer, Scopes und Ablaufdatum. Ein einzelner Filter zeigt alle aktiven, nicht widerrufenen und kompromittierten Credentials. Das ermöglicht die sofortige Sperrung kompromittierter Tokens – ohne mitten in einem Incident Skripte schreiben zu müssen.
• Token Lifetime Enforcement überführt die Rotationsrichtlinie vom Papier in eine Plattform-Leitplanke: kein Token bleibt länger aktiv als das festgelegte Maximum.
• Audit Event Streaming sendet strukturierte, zeitgestempelte Ereignisse wie Token-Erstellung, Berechtigungsänderungen, Merge-Request-Genehmigungen und Rollenänderungen in Echtzeit an das SIEM. Jede sicherheitsrelevante Aktion in GitLab ist für das Security Operations Center sichtbar, sobald sie stattfindet – nicht im Nachhinein aus Logs rekonstruiert.
• Mit der Group Software Bill of Materials (SBOM) lässt sich die Exposition gegenüber Open-Source-Abhängigkeiten sofort über das gesamte Projektportfolio hinweg suchen.

Keine Durchsetzung ohne Automatisierung

Durchsetzung ist der Unterschied zwischen einer Richtlinie, die existiert, und einer, die läuft. Dokumentierte Richtlinien verlangen von Entwicklungsteams, sie zu kennen, zu konfigurieren und bei jeder Änderung anzuwenden – das ist auf menschlicher Geschwindigkeit schwierig und auf Agenten-Geschwindigkeit unmöglich. GitLab setzt Richtlinien von innerhalb der Plattform durch – bei jeder Pipeline und jedem MR, unabhängig davon, ob ein Mensch oder ein Agent die Änderung vornimmt.

• Scan Execution Policies injizieren verbindliche SAST-, SCA- und Secret-Detection-Jobs in jede Pipeline, die auf die Produktion zielt. Entwicklungsteams schreiben sie nicht, können sie nicht sicher entfernen und nicht mit [skip ci] umgehen. Einmal auf Group-Ebene gesetzt, werden die Berechtigungen automatisch auf alle Projekte kaskadiert – keine projektbezogene Konfiguration, keine Opt-outs.
• Pipeline Execution Policies (PEPs) gehen weiter und erzwingen ein plattformeigenes CI-Template. Das adressiert das Shadow-Pipeline-Problem: Eine selbst gebaute Pipeline außerhalb der verwalteten Templates läuft mit demselben Zugriff und demselben Vertrauen wie eine sanktionierte. PEPs schließen diese Lücke – Security-Jobs laufen unabhängig davon, was die Pipeline eines Projekts enthält.
• MR Approval Policies kodieren, was früher in der Dokumentation stand: geschützte Branches, Mindestanzahl von Genehmigenden und Code-Owner-Anforderungen.
• Das Compliance Center ordnet diese Richtlinien BSI C5, ISO 27001, BSI IT-Grundschutz und PCI DSS zu – mit Live-Dashboards und Nachweisketten, die Spreadsheet-Audits in der Woche vor einer Prüfung ersetzen.
• Secret Push Protection blockiert Credentials am Pre-Receive-Hook – bevor sie die Git-History erreichen. Der Push wird mit Datei, Zeile und Secret-Typ abgelehnt. Umgehungsversuche werden protokolliert. Durchsetzung und Transparenz in einer einzigen Kontrolle.

Keine Behebung ohne Verständnis

Transparenz und Durchsetzung bringen Findings vor Entwicklungsteams. Die nächste Frage ist, wie effizient diese Findings behoben werden. Backlogs offener Schwachstellen gehören zu den größten Herausforderungen und Risiken in der Enterprise-Entwicklung – und die Lücke wächst weiter, wenn KI-gestützte Entwicklung mehr Code durch die Pipeline treibt. GitLab Ultimate arbeitet von beiden Seiten: Prävention und Remediation. Es blockiert Schwachstellen proaktiv, bevor sie den Default-Branch erreichen, und rationalisiert gleichzeitig die Behebung bestehender Security-Schulden. Findings werden innerhalb desselben Workflows geschlossen, in dem sie erkannt wurden – mit Kontext, Priorisierung und KI-generierter Remediation, die dieselben Freigaben durchläuft wie jede andere Änderung.

• Das MR Security Widget zeigt SAST-, SCA-, Container-, IaC- und Secret-Detection-Findings inline mit dem Code-Diff – bevor der Code den Default-Branch erreicht. Entwicklungsteams sehen, was in diesem MR neu ist, wo es liegt und wie es behoben werden kann. Kein separates Portal. Kein Kontextwechsel. Der richtige Moment am richtigen Ort.
• Advanced SAST nutzt dateiübergreifende Taint-Analyse, um nicht vertrauenswürdige Eingaben über mehrere Funktionen und Dateien hinweg zu verfolgen – so wie ein Angreifer über den Code nachdenken würde. Entwicklungsteams sehen den vollständigen Code-Fluss von der Quelle bis zur Senke.
• GitLab Duo Agent Platform bewertet mögliche False Positives und erklärt, warum – damit Teams sich auf reale Risiken konzentrieren, statt das Rauschen eines weiteren Scanners zu triagieren. Statt manueller Analyse nutzen Unternehmen kontextbewusstes, KI-gesteuertes Triaging zur Beschleunigung der Remediation.
• Der GitLab Duo Security Analyst Agent priorisiert diese Schwachstellen – unter Berücksichtigung von Ausnutzbarkeit, Exposition und Geschäftskontext, nicht nur Common Vulnerability Scoring System (CVSS)-Scores.
• Für SAST-Findings mit hoher Auswirkung öffnet Agentic Vulnerability Resolution automatisch einen Fix-MR mit Kontext. Das Entwicklungsteam prüft und mergt – und schließt den Kreislauf ohne Security-Expertise.

Jetzt starten

KI-gestützte Entwicklung verlangsamt sich nicht, und die Lücke zwischen Richtlinie auf Papier und Richtlinie in der Produktion wächst mit jedem Commit. GitLab Ultimate verringert diese Lücke bei jeder Änderung – im Workflow, in dem der Code geschrieben wird. Kostenlose Testversion starten oder mit einem Solutions Architect sprechen, um die Vorteile in der eigenen Pipeline zu sehen.