Retour au blogDéveloppement

GitLab 19.2 est là : ce qu'il faut retenir pour vos pipelines CI/CD

CZSyn
16 juillet 2026
7 min

GitLab 19.2, sorti le 16 juillet 2026, généralise Duo CLI, les custom flows et les scheduled pipeline policies : le résumé sans lire tout le changelog.

Tableau de bord de pipeline CI/CD affiché sur plusieurs écrans dans un bureau de développement en soirée
Ce qu'il faut retenir.
  1. GitLab 19.2, publié le 16 juillet 2026, fait passer GitLab Duo CLI et les custom flows en disponibilité générale, ainsi que les scheduled pipeline execution policies qui permettent de planifier des jobs CI/CD sans toucher au .gitlab-ci.yml de chaque projet.
  2. Le nouveau mode headless de Duo CLI permet d'exécuter l'agent directement dans un job de pipeline, tandis que le Fix CI/CD Pipeline Flow, accessible depuis Agentic Chat, diagnostique et corrige automatiquement un pipeline en échec.
  3. Côté sécurité, la remédiation automatique des dépendances (bêta) ouvre des merge requests de mise à jour et corrige les cassures de pipeline via l'Agentic Breaking Change Resolution, une capacité qui consomme des GitLab Credits.

Résumé généré par IA

Le 16 juillet 2026, GitLab a publié la version 19.2. Au programme : plusieurs briques de sa plateforme d'agents IA, GitLab Duo, qui passent en disponibilité générale, une nouvelle façon de planifier des pipelines sans toucher au fichier de configuration de chaque projet, et une poignée de fonctionnalités de sécurité en bêta. Voici ce qu'il faut retenir sans dérouler les deux cents lignes du changelog officiel.

GitLab publie une version mineure chaque mois. Depuis plusieurs cycles, l'éditeur pousse une même feuille de route : faire passer GitLab Duo du statut d'assistant conversationnel à celui d'acteur autonome dans le cycle DevSecOps, de la revue de code jusqu'à la remédiation de vulnérabilités. La 19.2 confirme ce virage : plusieurs fonctionnalités Duo sortent de bêta, et de nouveaux outils de gouvernance apparaissent pour encadrer leur usage en entreprise.

Scheduled pipeline execution policies : la fin du copier-coller de YAML

C'est sans doute la nouveauté qui parlera le plus directement à qui gère des pipelines au quotidien. Les scheduled pipeline execution policies passent en disponibilité générale (offre Ultimate). Le principe : vous définissez une planification une seule fois, dans un projet de politique de sécurité, et elle s'applique à tous les projets couverts par cette politique, sans modifier le .gitlab-ci.yml de chacun d'entre eux.

Concrètement, cela sert à exécuter des scripts de conformité, des scans de sécurité ou tout job CI/CD récurrent selon une cadence quotidienne, hebdomadaire ou mensuelle, indépendamment de l'activité de commit. C'est particulièrement utile pour les dépôts peu actifs, où personne ne pense à relancer un scan de dépendances tant qu'aucune ligne de code ne bouge. Chaque politique tourne comme un pipeline séparé, avec prise en charge des fuseaux horaires, une distribution des fenêtres d'exécution dans le temps et un ciblage par branche.

GitLab Duo CLI en disponibilité générale : l'agent débarque dans le terminal

GitLab Duo CLI, la déclinaison en ligne de commande de la plateforme d'agents Duo, passe en GA (offres Premium et Ultimate). Contrairement à un outil d'IA générique, le CLI a accès au contexte de votre projet GitLab, à vos pipelines et à vos configurations d'agents.

Deux modes sont disponibles : un mode interactif façon chat, et un mode headless pensé pour tourner directement dans un job CI/CD. C'est ce second mode qui change la donne pour l'automatisation de pipelines : vous pouvez déclencher l'agent depuis une étape de pipeline, sans interaction humaine, pour du diagnostic ou de la remédiation automatisée.

La liste des fonctionnalités est dense : sélection de modèle et sessions partagées, validation explicite des outils appelés par l'agent, connexions au Model Context Protocol (MCP), commandes slash (y compris pour suivre et compacter l'usage du contexte), et prise en charge des fichiers de personnalisation AGENTS.md. Sur les instances Self-Managed et Dedicated, les administrateurs gardent un contrôle global d'activation ou de désactivation. Installation via l'extension glab ou en outil autonome.

Custom flows : de l'automatisation multi-étapes accessible dès l'offre gratuite

Autre passage en GA notable : les custom flows, disponibles cette fois sur toutes les offres, y compris Free. Un flow est un workflow YAML réutilisable qui orchestre plusieurs agents pour automatiser une tâche complexe : revue systématique d'un type de merge request, réponse à un mot-clé dans un commentaire, action déclenchée par un événement de pipeline.

Les flows s'appuient sur les déclencheurs natifs de GitLab (mentions, assignations, événements de pipeline, cycle de vie des merge requests), s'exécutent directement dans GitLab CI/CD depuis l'interface, et peuvent inclure des points de validation humaine (human-in-the-loop) aux étapes sensibles. Ils se créent et se gèrent depuis un projet ou depuis l'AI Catalog, avec une visibilité publique ou privée, une exécution sécurisée via comptes de service et identité composite, et une validation du YAML avant l'exécution pour repérer les erreurs de configuration en amont.

Agentic Chat sait désormais lancer les flows spécialisés

Avant la 19.2, les flows dits « fondamentaux » se déclenchaient via des actions d'interface, des mentions ou des assignations spécifiques. Ils sont désormais accessibles directement depuis une conversation avec Agentic Chat. Quand votre demande correspond à un scénario connu, Agentic Chat propose de passer la main à l'un de ces trois flows :

  • Developer Flow : implémente les changements demandés ou ouvre une merge request.
  • Code Review Flow : effectue la revue d'une merge request.
  • Fix CI/CD Pipeline Flow : diagnostique et corrige un pipeline en échec.

Vous validez la passation dans le chat, puis suivez la progression directement dans la conversation ou depuis la page AI > Sessions. Le Fix CI/CD Pipeline Flow est probablement le plus intéressant pour les équipes qui perdent du temps à comprendre pourquoi un job casse après une mise à jour de dépendance.

Sécurité : remédiation automatique des dépendances et revue des vulnérabilités métier

Deux nouveautés en bêta (offre Ultimate) concernent la sécurité et méritent d'être suivies avant leur généralisation. La remédiation automatique de dependency scanning combine deux capacités. La première, les mises à jour automatiques de version, ouvre elle-même des merge requests pour corriger les dépendances vulnérables vers une version sûre, en ciblant par défaut les versions mineures et correctives. La seconde, l'Agentic Breaking Change Resolution, va plus loin : si la mise à jour d'une dépendance casse le pipeline, GitLab Duo analyse les erreurs de pipeline, le changelog de la dépendance et la façon dont votre code l'utilise, puis commite des correctifs dans la même merge request et relance le pipeline jusqu'à ce qu'il passe. Cette seconde capacité consomme des GitLab Credits, contrairement à la première.

En parallèle, Security Review Flow (bêta) s'attaque aux vulnérabilités de logique métier directement dans les merge requests. Plutôt que de chercher des motifs connus comme le fait une analyse statique classique, il raisonne sur l'intention du code pour repérer des failles propres à la logique de votre application.

Gouvernance : encadrer l'usage de Duo en entreprise

La 19.2 ajoute aussi des outils de contrôle destinés aux équipes de conformité et aux administrateurs de grandes instances. L'AI audit event report (bêta) centralise, pour chaque session d'agent, les entrées, le modèle et sa configuration, la chronologie des événements et les sorties produites, consultable et téléchargeable depuis la page Governance. Sur GitLab Dedicated, les administrateurs peuvent aussi désormais verrouiller GitLab Duo pour certains sous-groupes tout en le laissant activable ailleurs, avec une politique par défaut de refus. Enfin, le suivi des vulnérabilités s'étend en bêta aux branches autres que la branche par défaut, utile pour des branches de release de longue durée comme celles dédiées à un environnement ou une plateforme spécifique.

Notre lecture chez CZSyn

Ce qui nous frappe dans cette 19.2, c'est le choix de rendre les custom flows disponibles dès l'offre Free. Cela ouvre l'automatisation agentique multi-étapes à des équipes qui n'ont pas de budget Premium ou Ultimate. Pour une PME ou une agence comme la nôtre, qui gère plusieurs dépôts clients, les scheduled pipeline execution policies règlent un vrai problème opérationnel : centraliser les scans de sécurité récurrents sans dupliquer la configuration CI/CD projet par projet.

Le mode headless de Duo CLI est le point à surveiller de près. Faire tourner un agent dans un job de pipeline sans supervision humaine directe est puissant, mais impose de traiter les comptes de service utilisés avec la même rigueur que n'importe quel accès automatisé : permissions minimales, revue des actions autorisées, et lecture régulière des journaux d'audit désormais disponibles via l'AI audit event report. Sur la partie sécurité, gardez à l'œil la consommation de GitLab Credits de l'Agentic Breaking Change Resolution : une fonctionnalité utile pour absorber la dette de mise à jour de dépendances, mais dont le coût dépend du nombre de breaking changes que l'agent doit résoudre, pas d'un forfait fixe.

À noter enfin un joli clin d'œil dans les notes de version : le contributeur du mois, Vivek Shukla, ingénieur data chez Emirates, a ajouté le support du langage Scala à GitLab Orbit, améliorant les capacités de code graph pour les équipes qui travaillent en Scala. Un rappel que, même sur une plateforme aussi poussée par l'IA, une bonne partie des progrès vient encore de contributions open source classiques.

Envie d'industrialiser vos pipelines GitLab avec l'IA sans tout casser ?

Nous auditons vos pipelines CI/CD et configurons Duo CLI, les custom flows ou les scheduled pipeline policies en toute sécurité pour votre équipe. Audit gratuit sous 24h.

06 64 81 45 03

ou programmez votre appel · devis gratuit en ligne

29 avis 5/5 · +200 projets livrés · réponse express

Sources primaires

Un projet en tête ?

Diagnostic gratuit, devis ferme, et un seul interlocuteur du premier appel à la mise en ligne.