GitLab vai para o Google Cloud com gestão gerenciada, conformidade reforçada e IA nativa

A oferta gerenciada do GitLab no Google Cloud não é só mais um SaaS hospedado, é uma arquitetura de plataforma DevSecOps com identidade de agente, governança de IA e residência de dados controlada. Ela usa MSPs certificados (como Beyond e Digital Future) para entregar infraestrutura como código pré-configurada, com políticas de conformidade embutidas desde o provisionamento: Assured Workloads do Google garante localização física dos dados, enquanto os controles de auditoria do GitLab rastreiam cada ação do agente, desde correções automáticas de vulnerabilidades até aprovações de merge.

O núcleo técnico está na GitLab Duo Agent Platform, agora nativamente integrada ao Gemini 3.5 e Gemma 4. Isso não é apenas 'chamada de API': os agentes operam com contexto profundo do SDLC graças ao GitLab Orbit, que correlaciona issues, pipelines, segurança e implantações em tempo real. A novidade crítica é a 'Governance for Agents', em beta privado, que aplica políticas de acesso, aprovação e registro de ações de IA como se fossem usuários humanos, alinhando-se diretamente à iniciativa do Google de conceder identidades próprias a agentes, anunciada em 8 de maio.

Em abril, a integração entre GitLab Duo e modelos Google era limitada ao uso via API, contabilizado nos compromissos de consumo do cliente. Agora, em junho, há uma oferta gerenciada end-to-end no Google Cloud, com SLA, suporte MSP, controle de residência de dados e governança de IA ativada por padrão. Também evoluiu o escopo da IA agentic: a versão 18.11 (abril) focava em remediação de segurança e configuração de pipeline; agora, com Gemini 3.5 e Gemma 4, os agentes operam em todo o ciclo, desde análise de falhas de pipeline até geração de funcionalidades com linguagem natural, com contexto enriquecido pelo GitLab Orbit.

Para equipes de plataforma, isso reduz a fricção entre inovação em IA e exigências de compliance. Não é mais preciso escolher entre usar Gemini 3.5 ou manter dados no Brasil, a solução entrega ambos. Para DevOps, significa pipelines que auto-remediam vulnerabilidades *com rastreabilidade completa*, sem abrir mão de auditoria ou controle de política. E para arquitetos de segurança, é a primeira vez que um agente de IA tem identidade, histórico de ações e aprovação explícita, não como feature opcional, mas como camada obrigatória da plataforma.