今月は内容が盛りだくさんです。GitLab 18.10、エージェント型AIへのアクセス拡大、Claude Marketplaceでの大きな前進、グローバルなハッカソン、そしてお客様による実際の素晴らしい成果についてお話しします。

取り上げる内容がたくさんあるので、さっそく見ていきましょう👇👇👇👇👇👇👇

AIによってコードを書くスピードはこれまでになく速くなりました。しかし、多くのチームが実感しているように、もはや本当のボトルネックはそこではありません。

問題は、その後のプロセスです。

GitLab 18.10は、エージェント型AIをソフトウェアライフサイクルのより深い部分に組み込み、あらゆる規模のチームがより簡単に、より手頃に、そしてより実用的に導入できるように設計されています。

私が特に注目しているポイントをいくつかご紹介します：

• 無料プランにもエージェント型AIを提供：GitLab.comの無料プランを利用しているチームでも、GitLabクレジットの月額コミットを購入することで、ユーザー単位の課金なしにGitLab Duo Agent Platformを利用できるようになりました
• Agentic Code Reviewのコストを固定化：コードレビュー1件あたり25セント（現在はGitLabクレジット1つで4件）となり、コストの予測性を保ちながら、すべてのプロジェクトやマージリクエストにスケール可能になりました
• SASTの誤検出判定機能が一般提供開始：GitLab Duo Agent Platformを利用するGitLab Ultimateユーザー向けに提供され、セキュリティおよび開発チームが重要な脆弱性とその対応をより適切に優先付けできるようになります
• 60以上の改善：プランニングからセキュリティ、CI/CDまで、このリリースはコミット間でチームのボトルネックを解消することに焦点を当てています

ここでの大きな変化は明確です。コードを書くスピードを上げるAIから、その後に必要となるすべてのソフトウェアエンジニアリング業務を支援するAIへと移行しているのです。

🔗 リリースノートの詳細はこちら。

GitLab Duo Agent PlatformがClaude Marketplaceで利用可能に

組織は、既存のAnthropicとの契約を活用してGitLabを購入し、エンタープライズレベルのセキュリティ、品質、ガバナンスを維持しながら、ソフトウェアライフサイクル全体でエージェント型AIを統合・活用できるようになりました。

（はい…Flowlandsは実在します。まあ、概念として。）

最近、GitLabのテーマパークについて何か見かけたなら、それは見間違いではありません。

Flowlandsは、エイプリルフールの企画でした。ソフトウェア開発が“物理的な体験”になるという、少し突飛で完全に想像上の世界です。

でも正直なところ、みんな行ってみたいですよね。

🎢🎡🎪🎠 見逃した方は、ぜひテーマパークのカルーセルをご覧ください！（ダジャレです😄）

GitLab Hackathon: 2026年4月16日〜23日

現実に戻りましょう。

グローバルGitLabハッカソンは2026年4月16日から23日まで開催され、プラットフォームやコミュニティに実際に触れながら参加できる最高の機会のひとつです。

• 実際のGitLabプロジェクトに貢献
• グローバルなオープンソースコミュニティと協働
• コード、ドキュメント、UXなど幅広い分野で開発
• 賞品を獲得し、GitLabプロフィールを強化

初心者でも経験者でも、参加して実際に手を動かし始める絶好のチャンスです。

🔗 こちらから参加できます。どなたでも歓迎です！

カスタマースポットライト：Canada Life

今月特に印象的だったのは、チームが本格的にAIを活用したときに何が起こるかを目の当たりにしたことです。

私たちはCanada Lifeと提携し、2日間のAIハッカソンを実施しました。開発、セキュリティ、コンプライアンス、ビジネス部門から100名以上が参加し、実際にエンタープライズレベルのソリューションを構築しました。

その結果は驚くべきものでした：

• わずか48時間で10件のエンタープライズ向けAIソリューションを構築
• コードレビュー時間を40％削減
• リリースノート作成時間を90％削減
• コンプライアンス違反を80％削減

さらに、コストを96.7％削減したレガシーコードのモダナイゼーション支援ツールや、オンボーディング時間を半分に短縮した開発者向けオンボーディングアシスタントなども開発されました。

彼らの言葉を借りると：

「もし48時間でこれだけのことができるなら、

この先に何が待っているのか想像してみてください。」

今後のイベント

今月はオンライン・オフラインともに多数のイベントを予定しており、ぜひご参加いただければ嬉しいです。

注目のイベントをいくつかご紹介します：

🔗 Wherever you are in the world, there’s something happening so check out our events page here!

今月のおすすめ

今月も興味深い記事をいくつか紹介します。

政府機関のチームがAIを活用したDevOpsによってどのようにモダナイゼーションを進めているのか、技術的負債の削減からライフサイクルの早い段階でのセキュリティ組み込みまでを探っています。

また、企業全体でのAI導入がどのように進化しているのかにも注目しています。特に、単なるコード生成を超えてワークフローを統合する方法や、SDLC全体にわたる複雑性の管理について考察しています。

🔖 少し時間があるときにじっくり読めるよう、ぜひブックマークしておいてください！

画像出典：Chemical Heritage Foundation

本当に、この4月はたくさんのことが起きています。エージェント型AIによって、より多くの実験や探求の余地が生まれていて、こんな言葉を思い出しました。

「新しいアイデアに心を開き、いろいろ試してみることでさまざまなことが起こり得る。」

ケブラーの発明者であるステファニー・クオレクの言葉です。まさに今の状況にぴったりだと感じます。

AIが反復的な作業の多くを担うようになることで、開発者はより自由に実験し、探求し、次のものを創り出す余地を手にしています。

お読みいただきありがとうございました。ウェブキャストやIssueでお会いできるのを楽しみにしています。そして、これからも対話を続けていきましょう。それでは、いつものようにHappy Merging!

Fatima Sarah Khalid｜Senior Developer Advocate, GitLab

このニュースレターが気に入ったら、ぜひチームに共有してください。 そして👉YouTubeチャンネルの登録もお忘れなく！

わずか12日間で4件の独立したサプライチェーン攻撃が発生し、継続的インテグレーション／継続的デリバリー（CI/CD）パイプラインが高度な脅威アクターにとって格好の標的となっていることが明らかになりました。

2026年3月19日から31日にかけて、脅威アクターは以下のツールを侵害しました。

• オープンソースのセキュリティスキャナー（Trivy）
• Infrastructure as Code（IaC）セキュリティスキャナー（Checkmarx KICS）
• AIモデルゲートウェイ（LiteLLM）
• JavaScript HTTPクライアント（axios）

いずれの攻撃も同じ侵入口を狙っていました。それがビルドパイプラインです。 本記事では、何が起きたのか、なぜパイプラインが特に脆弱なのか、そしてGitLabの集中型ポリシー適用（以下で定義するポリシーを使用）が、これらの攻撃パターンを本番環境に到達する前にブロック・検出・封じ込める方法を解説します。

数百万人が信頼するツールが、わずか数分で侵害された

サプライチェーン攻撃のタイムラインは以下のとおりです。

3月19日：Trivyセキュリティスキャナーが攻撃のベクターに

Trivyは、世界で最も広く使われているオープンソースの脆弱性スキャナーの1つです。脆弱性を検出するためにパイプライン内で実行されるツールです。

3月19日、TeamPCPと呼ばれる脅威アクターグループが侵害された認証情報を使用し、aquasecurity/trivy-action GitHub Actionの76バージョンタグ（全77件中）およびaquasecurity/setup-trivyの全7タグに悪意のあるコードをforce-pushしました。同時に、トロイの木馬化されたTrivyバイナリ（v0.69.4）が公式配布チャネルに公開されました。このペイロードは認証情報を窃取するマルウェアで、Trivyスキャンを実行したすべてのパイプラインから環境変数、クラウドトークン、SSHキー、CI/CDシークレットを収集しました。

このインシデントにはCVE-2026-33634が割り当てられ、CVSSスコアは9.4でした。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は数日以内にこれを既知の悪用済み脆弱性カタログに追加しました。

3月23日：次はCheckmarx KICSが標的に

TeamPCPは窃取した認証情報を使い、CheckmarxのオープンソースプロジェクトであるKICS（Keeping Infrastructure as Code Secure）に攻撃対象を移しました。ast-github-actionおよびkics-github-action GitHub Actionに同じ認証情報窃取マルウェアを注入し、3月23日の12:58〜16:50 UTCの間、これらのアクションを参照するCI/CDパイプラインはすべて、APIキー、データベースパスワード、クラウドアクセストークン、SSHキー、サービスアカウントの認証情報などの機密データを密かに外部に送信していました。

3月24日：Trivyの侵害された認証情報を経由してLiteLLMも被害を受ける

月間9,500万ダウンロードのLLM APIプロキシであるLiteLLMが次の標的になりました。TeamPCPは、TrivyでスキャンしていたLiteLLM自身のCI/CDパイプラインから収集した認証情報を使用し、PyPIにバックドアを仕込んだバージョン（1.82.7および1.82.8）を公開しました。

バージョン1.82.7を標的としたマルウェアは、litellm/proxy/proxy_server.pyにインポート時に実行されるbase64エンコードされたペイロードを直接注入していました。バージョン1.82.8を標的としたものは、Pythonインタープリタ起動時に自動実行される.pthファイルを使用していました。LiteLLMをインストールするだけでペイロードが起動してしまう仕組みです。攻撃者は窃取したデータ（SSHキー、クラウドトークン、.envファイル、暗号資産ウォレット）を暗号化し、本物のドメインに似せたmodels.litellm.cloudに外部送信しました。

3月31日：単純なパッケージングミスがAIコーディングアシスタントのソースコードを流出させる

TeamPCPの攻撃キャンペーンがまだ続く中、あるソフトウェア企業が59.8 MBのソースマップファイルを含むnpmパッケージを公開してしまいました。そのファイルには、AIコーディングアシスタントの完全な未縮小TypeScriptソースコードへの参照が含まれており、自社のCloudflare R2バケットでホストされていました。

この流出により、1,900のTypeScriptファイル、512,000行以上のコード、44の隠し機能フラグ、未公開のモデルコードネーム、そして知る人ぞ知る場所へのアクセス方法を知っていれば誰でも確認できるシステムプロンプトの全文が公開されてしまいました。エンジニアのGabriel Anhaia氏が解説したように、「.npmignoreまたはpackage.jsonのfilesフィールドの設定ミスが1つあるだけで、すべてが露出してしまいます」。

3月31日：axiosとサプライチェーンへのもう1つのトロイの木馬

同日、週間1億ダウンロード超のJavaScript HTTPクライアントであるaxios npmパッケージを狙った高度なキャンペーンが実行されました。

侵害されたメンテナーアカウントによりバックドアを仕込んだバージョン（1.14.1および0.30.4）が公開されました。悪意のある依存関係（plain-crypto-js@4.2.1）が注入され、macOS、Windows、Linuxで動作するリモートアクセス型トロイの木馬（RAT）がデプロイされました。2つのリリースブランチともに39分以内に感染し、マルウェアは実行後に自己消去するよう設計されていました。

これらの攻撃に潜む共通パターン

5件のインシデントを通じて、3つの明確な攻撃パターンが浮かび上がってきます。いずれもCI/CDパイプラインがその入力に対して暗黙的に持つ信頼を悪用するものです。

パターン1：汚染されたツールとアクション

TeamPCPのキャンペーンは、ある根本的な前提を突いていました。それは、パイプライン内で実行されるセキュリティツール自体は信頼できるという思い込みです。GitHubアクションのタグやPyPIパッケージのバージョンが悪意のあるコードに解決された場合、パイプラインはそれを環境シークレット、クラウド認証情報、デプロイトークンへのフルアクセス権限で実行してしまいます。パイプラインはタグを信頼するため、検証ステップが存在しないのです。

推奨されるパイプラインレベルの対策： 可変バージョンタグではなく、不変の参照（コミットSHAまたはイメージダイジェスト）にツールとアクションをピン留めしてください。ピン留めが現実的でない場合は、既知の正常なチェックサムまたは署名に対してツールと依存関係の整合性を検証してください。検証に失敗した場合は実行をブロックします。

パターン2：知的財産（IP）を漏洩するパッケージング設定ミス

設定ミスのあるビルドパイプラインが、デバッグ成果物をそのまま本番パッケージに含めて出荷してしまいました。.npmignoreまたはpackage.jsonのfilesフィールドの設定ミスが1つあれば十分です。公開前の検証ステップを設けておけば、こうした問題は毎回防ぐことができます。

推奨されるパイプラインレベルの対策： パッケージを公開する前に、パッケージの内容を許可リストに対して検証し、予期しないファイル（ソースマップ、内部設定ファイル、.envファイル）をフラグとして検出し、チェックに失敗した場合は公開ステップをブロックする自動チェックを実行してください。

パターン3：推移的依存関係の脆弱性

axiosへの攻撃は、axiosを直接使用しているユーザーだけでなく、依存関係ツリーが侵害されたバージョンに解決されるすべてのユーザーを標的にしました。ロックファイル内で一度依存関係が汚染されると、組織全体のビルドインフラに波及する可能性があります。

推奨されるパイプラインレベルの対策： 依存関係のチェックサムを既知の正常なロックファイルの状態と比較してください。予期しない新しい依存関係やバージョン変更を検出し、未検証のパッケージを導入するビルドをブロックします。

GitLabパイプライン実行ポリシーによる各攻撃パターンへの対処

GitLabパイプライン実行ポリシー（PEP）は、セキュリティチームおよびプラットフォームチームが、開発者が.gitlab-ci.ymlで定義した内容に関わらず、組織全体のすべてのパイプラインに必須のCI/CDジョブを注入できる仕組みです。PEPで定義されたジョブは、[skip ci]や[no_pipeline]ディレクティブを使ってもスキップできません。ジョブは開発者のパイプラインを前後から挟む予約済みステージ（.pipeline-policy-preおよび.pipeline-policy-post）で実行できます。

3つのパターンすべてに対応するパイプライン実行ポリシーをオープンソースプロジェクトとして公開しています：Supply Chain Policies。これらのポリシーは独立してデプロイ可能で、それぞれテスト用の違反サンプルが同梱されています。各ポリシーの仕組みをご紹介します。

ユースケース1：パッケージ公開時の意図しない情報露出を防ぐ

問題： ビルドパイプラインが公開時の検証をスキップしたため、ソースマップファイルがAIコーディングツールのnpmパッケージに含まれてしまいました。

PEPによるアプローチ： この種のエラーに特化したオープンソースのパイプライン実行ポリシーを作成しました：Artifact Hygiene。

このポリシーは、公開ステップが実行される前に、アーティファクトタイプ（npmパッケージ、Dockerイメージ、またはHelmチャート）を自動検出してその内容を検査する.pipeline-policy-preジョブを注入します。npmパッケージに対しては、3つのチェックを実行します。

1. ファイルパターンのブロックリスト。 npm packの出力をスキャンし、ソースマップ（.map）、テストディレクトリ、ビルド設定、IDE設定、src/ディレクトリを検出します。
2. パッケージサイズゲート。 AIツールを流出させた59.8 MBパッケージのように、50 MBを超えるパッケージをブロックします。
3. sourceMappingURLスキャン。 外部URL（大手AI企業のソースコードを露出させたR2バケットのパターン）、インラインのdata: URI、JavaScriptバンドルに埋め込まれたローカルファイル参照を検出します。

違反が検出されると、パイプラインは失敗したCIジョブのログに明確なレポートを出力して終了します。

=============================================
FAILED: 3 violation(s) found
=============================================
BLOCKED: dist/index.js.map (matched: \.map$)
BLOCKED: dist/index.js contains external sourceMappingURL
BLOCKED: dist/utils.js contains inline sourceMappingURL

This check is enforced by a Pipeline Execution Policy. If this is a false positive, contact the security team to update the policy project or exclude this project.

このポリシーには、ユーザーが設定できるCI変数はありません。開発者が無効化したり回避したりすることはできません。例外はポリシーレベルでセキュリティチームが管理するため、意図的なプロセスと明確な監査証跡が確保されます。

リポジトリには意図的な違反を含むテストプロジェクト（examples/leaky-npm-package/）が含まれており、組織にデプロイする前にポリシーの動作を確認できます。READMEには、セットアップとデプロイの完全なクイックスタートガイドが含まれています。

検出できる問題： これらのコントロールのどれか1つでもあれば、AI企業のソースコード流出は防げていた可能性があります。

• ソースマップファイルはファイルパターンのブロックリストに引っかかります。
• 59.8 MBというサイズはサイズゲートに引っかかります。
• 外部R2バケットを指すsourceMappingURLはURLスキャンに引っかかります。

ユースケース2：依存関係の改ざんとロックファイル操作を検出する

問題： axiosへの攻撃では、インストール時にRATを実行する悪意のある推移的依存関係（plain-crypto-js）が導入されました。侵害が行われた期間中にnpm installを実行したすべての人がトロイの木馬を取り込んでしまいました。

PEPによるアプローチ： Dependency Integrityポリシーは、パッケージエコシステム（npmまたはPython）を自動検出し、3つのチェックを実行する.pipeline-policy-preジョブを注入します。

npmプロジェクトの場合（package-lock.json、yarn.lock、またはpnpm-lock.yamlによってトリガー）：

1. ロックファイルの整合性。 npm ci --ignore-scriptsを実行します。node_modulesの内容がロックファイルの指定と異なる場合、失敗します。これにより、package.jsonは更新されたがロックファイルが再生成されていないケースを検出し、SRIインテグリティハッシュも検証します。
2. ブロックパッケージスキャン。 ロックファイルの完全な依存関係ツリーを、侵害が確認済みのパッケージバージョンのGitLab管理リストであるblocked-packages.ymlと照合します。同梱のブロックリストにはaxios@1.14.1、axios@0.30.4、plain-crypto-js@4.2.1が含まれています。
3. 未宣言の依存関係の検出。 インストール後、node_modulesの内容をロックファイルと比較します。ディスク上に存在するがロックファイルに存在しないパッケージは改ざんの証拠です（例：追加パッケージを取得する侵害されたpostinstallスクリプト）。

Pythonプロジェクトの場合（requirements.txt、Pipfile.lock、poetry.lock、またはuv.lockによってトリガー）：

1. ロックファイルの整合性。 分離された仮想環境にインストールし、ロックファイルからのインストールが成功することを確認します。
2. ブロックパッケージスキャン。 同じブロックリストのアプローチです。同梱リストにはlitellm==1.82.7およびlitellm==1.82.8が含まれています。
3. .pthファイルの検出。 site-packagesの.pthファイルをスキャンし、実行可能なコードパターン（import os、exec(、eval(、__import__、subprocess、socket）を検出します。これはLiteLLMバックドアが使用したまさにその仕組みです。

違反が検出されると：

=============================================
FAILED: 1 violation(s) found
=============================================
BLOCKED: axios@1.14.1 is a known-compromised package

This check is enforced by a Pipeline Execution Policy.

このポリシーはストリクトモードで動作します。コミット済みのロックファイルに存在しない依存関係は、パイプラインをブロックします。開発者が依存関係を追加する必要がある場合は、更新されたロックファイルをコミットします。ポリシーはインストールされたバージョンがコミットされたバージョンと一致することを確認します。コミットされていないものが現れた場合（例：侵害されたアップストリームパッケージ経由で注入された推移的依存関係）、パイプラインはブロックされます。

検出できる問題： plain-crypto-jsという新規かつ未確認の依存関係の導入は、未宣言の依存関係チェックによってフラグが立てられます。axios@1.14.1バージョンはブロックパッケージスキャンによって検出されます。LiteLLMの.pthファイルは.pth検出チェックによって検出されます。各攻撃に対して、少なくとも1つ、多くの場合は2つの独立した検出シグナルがあります。

ユースケース3：侵害されたツールを実行前に検出・ブロックする

問題： TeamPCPは、信頼できるTrivyとCheckmarxのGitHubアクションタグを悪意のあるバージョンに置き換えました。これらのタグを参照するパイプラインはすべて、認証情報を窃取するマルウェアを実行してしまいました。

PEPによるアプローチ： Tool Integrityポリシーは、GitLab CI Lint API（またはフォールバックとして.gitlab-ci.ymlを評価する仕組み）にクエリを発行し、コンテナイメージの参照を抽出して、セキュリティチームが管理する承認済みイメージ許可リストと照合する.pipeline-policy-preジョブを注入します。

許可リスト（approved-images.yml）は、イメージごとに3つの制御をサポートしています。

承認済みリポジトリ： リスト上のリポジトリからのイメージのみが許可されます。未知のリポジトリはパイプラインをブロックします。

許可されているタグ： 承認済みリポジトリ内でも、特定のタグのみが許可されます。これにより、未テストバージョンへの移行を防ぎます。

ブロックされているタグ： リポジトリが承認済みであっても、既知の侵害バージョンを明示的にブロックできます。同梱の許可リストは、TeamPCPがトロイの木馬化した正確なバージョンであるaquasec/trivy:0.69.4から0.69.6をブロックします。

違反が検出されると、他のジョブが実行される前にパイプラインが失敗します。

=============================================
FAILED: 1 violation(s) found
=============================================
BLOCKED: aquasec/trivy:0.69.4 (job: trivy-scan)

 - tag '0.69.4' is known-compromised

This check is enforced by a Pipeline Execution Policy.

許可リストは、ポリシープロジェクトに対するMRを通じて管理されます。新しい承認済みイメージを追加するには、セキュリティチームがMRを開きます。新たな侵害への対応には、ブロックするタグを追加するだけです。コードの変更は不要で、YAMLだけで管理できます。

検出できる問題： 未承認のタグを持つイメージが検出されると、ポリシーはイメージのリポジトリ名とタグを許可リストと照合します。一致しない場合、スキャナーが実行される前にパイプラインをブロックし、認証情報の外部送信を防ぎます。

注：上記のサンプルを拡張することで、PEPをタグではなくダイジェストへのピン留めを強制するために使用できます。これはforce pushに対して耐性があります。このサンプルは、より基本的なタグベースの適用パターンを示しています。

PEPを超えて：GitLabのサプライチェーン防御

パイプライン実行ポリシーは適用のレイヤーですが、サプライチェーン保護において多層防御（defense-in-depth）戦略の一部として機能するときに最大の効果を発揮します。GitLabは、サプライチェーン保護においてPEPを補完するいくつかの機能を提供しています。

シークレット検出

GitLabのシークレット検出は、認証情報がそもそもリポジトリに入り込むことを防ぎ、侵害されたパイプラインツールが収集できる情報を大幅に削減します。2026年3月の攻撃の文脈では：

• リポジトリに保存された認証情報は、攻撃者にとって発見しやすく、ローテーションも遅くなります。Trivyのインシデントでは、ローテーションプロセス自体も悪用されました。Aqua Securityのローテーションはアトミックではなく、攻撃者は古いトークンが完全に失効する前に新たに発行されたトークンを取得しました。GitLabのシークレット検出には、漏洩したGitLabトークンの自動失効機能と、サードパーティプロバイダーへの認証情報失効通知を行うパートナーAPIが含まれており、侵害発生時の対応を迅速化します。
• シークレット検出と適切なシークレット管理（短命トークン、Vault基盤の認証情報、パイプラインシークレットへの最小限の露出）を組み合わせることで、信頼済みツールが悪意を持つ動作をした場合でも、攻撃者がアクセスできる範囲を制限します。

ソフトウェアコンポジション解析（SCA）による依存関係スキャン

GitLabの依存関係スキャンは、ロックファイルとマニフェストを解析することで、プロジェクトの依存関係における既知の脆弱性を特定します。2026年3月の攻撃の文脈では：

• LiteLLMについては、侵害されたバージョン（1.82.7、1.82.8）がGitLabのアドバイザリデータベースで追跡されており、影響を受けるPythonプロジェクトに自動的にフラグを立てます。
• axiosについては、依存関係スキャンが組織内のすべてのプロジェクトで侵害されたバージョン（1.14.1、0.30.4）を特定し、セキュリティチームに影響範囲の評価と認証情報ローテーションの優先順位付けのための一元的なビューを提供します。
• 同様に、TeamPCPのCanisterWorm伝播によって侵害されたすべてのnpmパッケージも、使用されている場合はフラグが立てられます。

GitLabコンテナスキャンは、デプロイメントで使用される脆弱なコンテナイメージを検出します。Trivyの侵害については、コンテナスキャンがコンテナレジストリまたはデプロイメントマニフェストに現れたトロイの木馬化されたTrivyのDockerイメージ（0.69.4〜0.69.6）にフラグを立てます。

マージリクエスト承認ポリシー

マージリクエスト承認ポリシーは、依存関係のロックファイルやCI/CD設定への変更がマージされる前にセキュリティチームの承認を必須とすることができます。これにより、サプライチェーン攻撃が一般的に導入する種類の変更に対して、人間によるチェックポイントが確保されます。

近日公開予定：依存関係ファイアウォール、アーティファクトレジストリ、SLSAレベル3の認証と検証

今後予定されているGitLabのサプライチェーンセキュリティ機能は、レジストリとパイプラインという2つの重要なコントロールポイントにおけるポリシー適用を強化します。依存関係ファイアウォールとアーティファクトレジストリは非準拠のパッケージをブロックし、SLSAレベル3の認証によってアーティファクトが承認されたパイプラインで生成され、改ざんされていないという暗号学的な証明が提供されます。これらを組み合わせることで、セキュリティチームはソフトウェアサプライチェーンへの入出力を検証可能な形で管理できるようになります。

あなたの組織にとっての意味

AI支援型の脅威が高まる中、CI/CDパイプラインへの攻撃はますます一般的になっています。TeamPCPのキャンペーンは、1つの侵害された認証情報が信頼済みツールのエコシステム全体にどう波及するかを示しています。

影響を受けたコンポーネントを使用していた場合は、すべてのパイプラインシークレットが露出したという前提で行動してください。直ちにローテーションし、永続的なバックドアがないかシステムを監査してください。いずれの場合も、認証情報を定期的にローテーションし、短命トークンを使用することで、将来の侵害のブラスト半径を制限できます。

推奨事項をまとめます：

1. 可能な限り、依存関係をチェックサムにピン留めしてください。 TeamPCPが悪用した可変バージョンタグは、セキュリティ境界ではありません。すべてのCI/CDコンポーネント、アクション、コンテナイメージにはSHAピン留め参照を使用してください。
2. 実行前の整合性チェックを実行してください。 パイプライン実行ポリシーを使用して、パイプラインジョブが実行される前にツールと依存関係の整合性を確認してください。これが.pipeline-policy-preステージです。
3. 公開するものを監査してください。 すべてのパッケージ公開ステップには、アーティファクトの内容を自動検証する処理を含めてください。ソースマップ、環境ファイル、内部設定はビルド環境から外部に出すべきではありません。Supply Chain Policyプロジェクトは、npm、Docker、Helmアーティファクトのすぐにデプロイできる出発点を提供しています。
4. 依存関係のドリフトを検出してください。 すべてのパイプライン実行において、依存関係の解決結果をコミット済みロックファイルと比較してください。予期しない新しい依存関係を監視します。
5. ポリシー管理を集中化してください。 セキュリティチェックを含めることを開発者の記憶に頼らないでください。開発者が削除やスキップをできないポリシーを通じて、グループまたはインスタンスレベルで適用してください。
6. セキュリティツール自体が標的になると想定してください。 脆弱性スキャナー、静的アプリケーションセキュリティテスト（SAST）ツール、AIゲートウェイは侵害される可能性があります。各ツールの権限は最低限必要なものに限定し、その他へのアクセスが不可能であることを確認してください。

GitLabでパイプラインを保護する

2週間にわたり、攻撃者はソフトウェア開発エコシステムで最も広く採用されているツールの一部を使用している組織の本番パイプラインを侵害しました。

教訓は明確です。ビルドパイプラインには、ネットワークやクラウドインフラに適用するのと同じレベルの集中管理されたポリシー駆動の保護が必要です。

GitLabパイプライン実行ポリシーは、その適用レイヤーを提供します。個々のプロジェクト設定に関わらず、すべてのプロジェクトのすべてのパイプラインでセキュリティチェックが実行されることを保証します。依存関係スキャン、シークレット検出、マージリクエスト承認ポリシーと組み合わせることで、2026年3月に見られたクラスの攻撃をブロック、検出、封じ込めることができます。

Supply Chain Policiesプロジェクトは、大手AI企業の流出事故の背後にある種類のエラーを正確に検出する、動作するパイプライン実行ポリシーを提供しています。npmパッケージ、Dockerイメージ、Helmチャートに対応しています。クローンして、グループにデプロイし、今後のサプライチェーン攻撃に備えてすべてのパイプラインを準備してください。

集中管理されたパイプラインポリシーを始めるには、GitLab Ultimateの無料トライアルにサインアップしてください。

このブログ記事には、1933年証券法第27A条（改正済み）および1934年証券取引法第21E条の意味における「将来の見通しに関する記述」が含まれています。これらの記述に反映された予想は合理的であると信じておりますが、実際の結果や成果を大幅に異なるものにする可能性のある既知および未知のリスク、不確実性、前提条件、その他の要素の影響を受けることがあります。これらのリスクおよびその他の要素に関するさらなる情報は、SECへの提出書類の「リスク要因」という見出しの下に記載されています。法律で要求される場合を除き、このブログ投稿の日付以降にこれらの記述を更新または修正する義務を負いません。

これらの機能により、以下のことが可能になります。

• 日常のワークフローにおいて繰り返し設定する必要のあったフィルター設定が不要になります
• チーム全体が統一された方法で作業を確認・評価できます
• 標準化されたレポート作成やステータス確認が容易になります

ワークアイテムとは？

これまで、エピックとイシューはそれぞれ別のリストページに存在していたため、ユーザーはページ間を行き来する必要がありました。ワークアイテムリストは、エピック・イシューをはじめとするすべてのワークアイテムタイプを単一の統合リストにまとめ、異なるワークアイテムタイプごとにページを切り替える手間をなくします。

この機能は、今後提供予定のより高度な計画機能の基盤でもあります。すべてのワークアイテムタイプを一か所に集約することで、エピック・イシューなどのアイテム間の関係性や構造を一目で把握できる階層ビュー（テーブルビューなど）の実現への道が開かれます。

リストビューや階層ビューにとどまらず、ボードなどの他の一般的なワークフローもこの統合された体験に組み込んでいく予定です。その結果、計画に必要なすべてのビューが一か所に集まり、保存済みビューを通じてチームと共有できるようになります。製品の異なる部分をまたいで移動する必要はなくなります。

なぜ「イシュー」ではなく「ワークアイテム」と呼ぶのか、疑問に思われるかもしれません。簡単に言うと、「イシュー」という言葉は今後の展開に対応できないからです。近い将来、ワークアイテムタイプは、その名称も含めて自由に設定し、組織のプランニング階層に合わせてカスタマイズできるようになります。既存の名称に縛られた体験では、その柔軟性が損なわれてしまいます。「ワークアイテム」は、独自の裁量で作成できるモデルの基盤となる概念です。

ワークアイテムへの移行の背景は？

2024年、私たちはワークアイテムフレームワークを基盤としたGitLabにおける新しいアジャイル計画体験のビジョンを発表しました。その記事では、エピックとイシューが別々の体験として存在していたため、計画オブジェクト全体で一貫した機能を期待するチームとは齟齬が生じていたという核心的な問題を説明しました。その解決策といして登場したのがワークアイテムフレームワークです。一貫性を実現し、GitLabの計画ツール全体で新たな機能を実現可能にするために設計された統合アーキテクチャです。ワークアイテムリストと保存済みビューは、その道のりにおける一歩です。

保存済みビューとは？

保存済みビューを使用すると、フィルター・並び替え順・表示オプションを含むカスタマイズされたリスト設定を保存し、後から呼び出すことができます。日常的な確認作業を効率化し、チーム全体で一貫した標準的な作業確認方法をサポートすることを目的としています。

今後の展望

GitLabが行っている変更の理由を理解するには、GitLabが目指す先をイメージしていただくことが助けになります。

目標は単なるワークアイテムリストではありません。現在のフィルタースコープを保持しながら、さまざまなビュータイプ（リスト・ボード・テーブルなど）をスムーズに切り替えられる計画体験の実現です。

そこに保存済みビューを組み合わせることで、各ワークフロー専用のビューを作成できます。イテレーションプランニング、バックログリファインメント、ネストされたテーブルビューを使ったポートフォリオレベルの計画など、さまざまな用途に対応します。

各ビューはすぐに使える状態で、フィルタリングや作業の表示方法が統一されており、チームと共有することができます。このフレームワークは、ボードのあらゆるワークアイテム属性に対するフルスイムレーンサポートなど、今後のより強力な機能実現への道も開きます。

日々使用しているツールの変更が、作業の妨げになることは十分に理解しています。既存のエピックおよびイシューリストページを中心としたワークフローを構築されている場合、見た目や使い心地は変わるでしょう。決してその点を軽く考えているわけではありません。

この方針は短期間で決めたものではありません。長年にわたるフィードバック、ワークアイテムフレームワークへの多大なアーキテクチャ投資、そして統合された体験が長期的にチームをより良くサポートできるという確信を反映したものです。移行には慣れが必要だと思いますが、皆さまのご意見をもとに継続的に改善を重ねてまいります。

フィードバックをお聞かせください

ぜひこれらの新機能をお試しください。そして、ワークアイテムリストと保存済みビューについてのご意見をフィードバックイシューにてお知らせください。皆さまのコメントが、これらの機能のさらなる改善につながります。

GitLab 18.10リリース

エージェント型SASTの誤検出判定機能とFreeでのクレジット購入に対応したGitLab 18.10をリリース

このたび、SASTの誤検出判定（GitLab Duo Agent Platform対応）、Freeでのクレジット購入、パスキーによる安全なサインイン、作業アイテムリストと保存済みビューなど、さまざまな新機能を搭載したGitLab 18.10のリリースを発表しました。

これらの機能は、今回のリリースに含まれる60件以上の改善点のほんの一部です。以下で、すべてのアップデートをご確認ください。

GitLabコミュニティの皆さまからは、GitLab 18.10に対して212件ものコントリビュートをいただきました。GitLabでは誰でもコントリビュート可能です。皆さまのご協力に心より感謝いたします。

来月のリリース予定については、What's newページをご覧ください。

Notable Contributor（注目のコントリビューター）

今月のNotable Contributorは、Harshith Sudarさんです。

Harshithさんは現在レベル3のコントリビューターであり、コミュニティツールやアナリティクスの改善に大きくコントリビュートしています。トリアージの自動化、コントリビューター表彰機能からGitLab Duoの使用状況インサイトまで、幅広い領域でインパクトのあるコントリビュートを続けています。

Harshithさんのコントリビュートは、GitLabのDevRelエンジニアリング部門のフルスタックエンジニアであるLee Tickett氏が最初に認め、推薦しました。Harshithさんの取り組みは、自動化やコントリビューター向けエクスペリエンスの改善を通じて、舞台裏からコントリビューターを支える仕組みを強化しています。例えば、triage-opsのIssueSummaryプロセッサーを複数プロジェクトに対応させるよう更新し、contributors.gitlab.comを含むコミュニティプロジェクト全体のサマリー作成と可視化を容易にしました。また、新しい「コンテンツ追加」ボタンとフローの実装により、コントリビューターが自身のプロフィールからブログ記事、動画、その他のコンテンツを直接登録し、リワードを獲得できるようになりました。

さらに、アナリティクスやGitLab Duoの使用状況インサイトにもコントリビュートしています。主な成果として、GitLab Duoの使用量算出方法の改善、180日間のデフォルト制限の撤廃によるAIの長期的な影響分析の改善、DORAメトリクスの日付範囲定数の統合、そしてバリューストリームアナリティクスのカスタムステージラベルピッカーへの無限スクロール追加によるスケーラブルなアナリティクス体験の向上があります。これらの変更により、チームは実際のプロジェクトにおけるGitLabの活用状況をより深く理解できるようになりました。

Harshithさんのコメント：

「コントリビュート活動を通じて特に楽しんでいるのは、コミュニティ内でアイデアが丁寧に議論されるプロセスです。MR !1288に関するディスカッションのように、提案が協力的に検討される様子は大変励みになり、素晴らしい学習体験にもなりました。このコミュニティの一員であることを嬉しく思っており、今後もさらに多くのコントリビュートを続けていきたいと考えています。」

Harshithさん、GitLabのコードベースとコントリビューターエクスペリエンスの向上へのご尽力、ありがとうございます。

Harshithさんとつながり、コントリビュートの詳細を知りたい方は、GitLabプロフィールおよびLinkedInプロフィールをご覧ください。

GitLab 18.10の主な改善点

SASTの誤検出判定（GitLab Duo Agent Platform対応）

GitLab.com: Ultimate、Duo Core、Duo Pro、Duo Enterprise
Self-Managed: Ultimate、Duo Core、Duo Pro、Duo Enterprise
GitLab Dedicated: Ultimate、Duo Core、Duo Pro、Duo Enterprise

GitLab 18.7でベータ版として導入されたSASTの誤検出判定機能が、GitLab 18.10で一般提供開始となりました。

セキュリティスキャンの実行時に、GitLab Duo Agent Platformが重大度「致命的」および「高」のSAST脆弱性を自動分析し、誤検出の可能性を判定します。評価結果は脆弱性レポートに直接表示されるため、チームは不確実性に悩まされることなく、的確なトリアージを行えます。

主な機能は以下のとおりです。

• 自動分析: セキュリティスキャンのたびに、手動操作なしで誤検出判定が自動実行されます。
• 手動実行オプション: 脆弱性の詳細ページから、個別の脆弱性に対してオンデマンドで誤検出判定を手動実行することも可能です。
• 重大な検出結果に集中: 「致命的」と「高」の重大度のSAST脆弱性に限定して分析を行うことで、最も重要な部分のノイズを効果的に削減します。
• コンテキストを踏まえたAI推論: 各評価では、コードのコンテキスト、データフロー、静的解析に特有の脆弱性特性を考慮し、検出結果が誤検出である可能性がある理由（または実際の脆弱性である理由）を説明します。
• 既存ワークフローとのシームレスな統合: 結果は脆弱性レポート上で、既存の重大度、ステータス、修正情報と一緒に表示されるため、既存のワークフローを変更する必要はありません。

この機能は、GitLab Duo Agent Platformが有効なUltimateのお客様がご利用いただけます。グループまたはプロジェクトの設定で機能を有効にする必要があります。フィードバックはイシュー583697からお寄せください。

ドキュメント | エピック

Freeでの GitLabクレジット購入（GitLab.com）

GitLab.com: Free、GitLab Credits

GitLab.comのFreeグループのオーナーは、GitLabクレジットを購入してAI機能を利用できるようになりました。月額のクレジット購入量を設定し、年間契約にコミットすることで、GitLab Duo Agent Platformのエージェントとフローにアクセスできます。クレジットは毎月自動的に更新されるため、チームは常に必要なリソースを確保し、より速く、よりスマートに開発を進められます。

主なポイントは以下のとおりです。

• 使用量ベースの料金体系: ベースプランのサブスクリプションなしで、月額のクレジットコミットメントを購入可能です。
• セルフサービスでの購入: GitLabの購入フローからクレジットを直接購入できます。
• シームレスなアップグレードパス: PremiumまたはUltimateに後からアップグレードした場合も、クレジットのコミットメントは引き継がれます。
• 使用状況の追跡: GitLabクレジットダッシュボードからクレジットの使用状況を確認できます。

この購入オプションは、現在GitLab.comのFreeトップレベルグループのみで利用可能です。

ドキュメント | エピック

パスキーによる安全なサインイン

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

GitLabがパスワードレスサインインおよびフィッシング耐性のある2要素認証（2FA）方式としてパスキーに対応しました。パスキーは公開鍵暗号方式と生体認証（指紋、顔認証）またはデバイスのPINを使用して、アカウントに安全にアクセスする仕組みです。

パスキーの主なメリットは以下のとおりです。

• パスワード不要の利便性: パスワードを覚える必要なく、デバイスの生体認証やPINでサインインできます。
• マルチデバイス対応: デスクトップブラウザー、モバイルデバイス（iOS 16以降、Android 9以降）、FIDO2/WebAuthn対応のハードウェアセキュリティキーでパスキーを利用できます。
• フィッシング耐性のあるセキュリティ: 秘密鍵はデバイスの外に出ることはありません。GitLabは公開鍵のみを保存するため、万が一GitLabサーバーが侵害された場合でもアカウントは保護されます。
• 自動2FA統合: 2FAが有効なアカウントでは、パスキーがデフォルトの2FA方式として自動的に利用可能になります。

パスキーの利用を開始するには、アカウント設定からパスキーを追加してください。ご質問やフィードバックはイシュー366758からお寄せください。

ドキュメント | エピック

作業アイテムリストと保存済みビューの導入

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

GitLabのプランニング体験が、作業アイテムリストと保存済みビューにより大幅にアップグレードされます。長らくご要望いただいていた2つの機能をまとめてお届けします。

• 作業アイテムリストは、エピック、イシュー、その他の作業アイテムを1つの統合されたリストにまとめ、作業アイテムの種類ごとに別々のページを切り替える必要をなくします。プランニングオブジェクト間の関係がより把握しやすくなります。
• 保存済みビューでは、フィルター、ソート順、表示オプションを含むカスタマイズされたリスト構成を作成・保存できます。定期的な確認作業が効率化され、チーム全体での標準的な表示方法を確立できます。

これは、GitLab作業アイテムの統一アーキテクチャに向けた次のステップであり、GitLabのプランニングツール全体での一貫性と新しい機能の実現を目指しています。

ご意見・フィードバックはイシュー590689からお寄せください。

ドキュメント | エピック

カスタムエージェントがMCPで外部データにアクセス可能に

GitLab.com: Premium、Ultimate

AIカタログのカスタムエージェントを、Model Context Protocol（MCP）を通じて外部のデータソースやツールに接続できるようになりました。GitLabの外に出ることなく統合が可能です。

これは実験的機能です。フィードバックはイシュー593219からお寄せください。

ドキュメント | イシュー

正規表現によるマージリクエストのタイトル命名規則の適用

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

一貫性のあるマージリクエストのタイトルを維持することは、Conventional Commitsフォーマットや社内トラッキングシステムとの連携など、構造化された命名規則に依存しているチームにとって重要です。従来、こうした規則を適用するには外部ツールやカスタムCI/CDパイプラインジョブが必要でしたが、パイプライン実行後にマージリクエストのタイトルが変更された場合に再検証が行われず、非準拠のタイトルのままマージされてしまうという課題がありました。

プロジェクト設定でマージリクエストの必須タイトル正規表現を設定できるようになりました。設定後、GitLabはマージ可能性チェックとしてマージリクエストのタイトルをパターンに照合します。タイトルが準拠するまでマージがブロックされ、タイトルの最終変更時点にかかわらず常に検証が実施されます。

設定するには、プロジェクトの設定 > マージリクエストに移動し、Title must match required pattern（タイトルは正規表現に一致する必要があります）フィールドに正規表現パターンを入力してください。

既存のマージリクエストワークフローはこれまでどおり動作します。このチェックは、タイトル正規表現を明示的に設定したプロジェクトにのみ適用されます。

ドキュメント | エピック

AIによるシークレット誤検出判定（ベータ版）

GitLab.com: Ultimate、Duo Core、Duo Pro、Duo Enterprise
Self-Managed: Ultimate、Duo Core、Duo Pro、Duo Enterprise
GitLab Dedicated: Ultimate、Duo Core、Duo Pro、Duo Enterprise

セキュリティチームは、テスト用クレデンシャル、サンプル値、プレースホルダートークンなど、実際のシークレットではないにもかかわらず誤って検出されるシークレット検出の誤検出の調査に多大な時間を費やしています。誤検出はアラート疲れを引き起こし、スキャン結果への信頼を損ない、本当のセキュリティリスクから注意をそらします。

GitLab 18.10では、AIを活用したシークレット誤検出判定（ベータ版）を導入し、本当に重要なシークレットに集中できるようにしました。セキュリティスキャンの実行時に、GitLab Duoが重大度「致命的」および「高」のシークレット検出の脆弱性を自動分析し、誤検出かどうかを判定します。

AIによる評価結果は脆弱性レポートに直接表示され、セキュリティエンジニアは即座にコンテキストを把握し、より迅速で確信を持ったトリアージを行えます。

主な機能は以下のとおりです。

• 自動分析: セキュリティスキャンのたびに、手動トリガーなしで誤検出判定が自動実行されます。
• 手動トリガーオプション: 脆弱性の詳細ページから、個別の脆弱性に対してオンデマンドで誤検出判定を手動トリガーすることも可能です。
• 重大な検出結果に集中: 「致命的」と「高」の重大度の脆弱性に限定し、シグナル対ノイズ比を最大化します。
• コンテキストを踏まえたAI推論: 各評価には、コードのコンテキストと脆弱性の特性に基づき、検出結果が真のポジティブである可能性がある理由（またはない理由）の説明が含まれます。
• 信頼度スコア: 各検知には信頼度スコアが付与され、モデルの確信度に基づいてレビューの優先順位付けが可能です。
• 既存ワークフローとのシームレスな統合: 結果は脆弱性レポート上で、既存の重大度、ステータス、修正情報と一緒に表示されます。

この機能は、Ultimateのお客様に無料ベータとしてご利用いただけます。グループまたはプロジェクトの設定で有効にする必要があります。フィードバックはイシュー592861からお寄せください。

ドキュメント | エピック

CI/CDジョブでのランタイムインプットの使用

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

CI/CD変数を使用した動的なジョブ設定には課題がありました。変数は複雑なオーバーライド階層に従うため管理が難しく、さまざまなユースケースに対応できない場合がありました。

ジョブレベルで明示的な型付きインプットを定義するinputsが利用可能になりました。ジョブインプットを使用して、ジョブがランタイムで受け入れる値を定義・制御できます。ジョブインプットでは以下が可能です。

• 型安全性（string、number、boolean、array）
• 静的な値または既存の変数を参照するデフォルト値
• 使用可能な値の厳密なリストの定義
• インプット値を検証するための正規表現のサポート

ジョブインプットは、ユーザーの操作なしにデフォルト値を使用できますが、ジョブのリトライ時や手動ジョブの実行時に値を変更することも可能です。

ドキュメント | エピック

GitLab 18.10のその他の改善点

Markdownテーブルでのタスクアイテムのサポート

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

Markdownのテーブルセル内でタスクアイテムのチェックボックス構文を直接使用できるようになりました。

従来、これを実現するにはHTMLとMarkdownの組み合わせが必要で、保守が困難でした。

この改善により、イシュー、エピック、その他のコンテンツ内の構造化されたテーブルレイアウトで、タスクの完了状況を直接追跡しやすくなりました。

ドキュメント | イシュー

macOS Tahoe 26およびXcode 26ジョブイメージ

GitLab.com: Premium、Ultimate

macOS Tahoe 26とXcode 26を使用して、最新世代のAppleデバイス向けアプリケーションの作成、テスト、デプロイが可能になりました。

macOSのホステッドRunnerを利用することで、開発チームはGitLab CI/CDに統合された安全なオンデマンドビルド環境で、macOSアプリケーションをより迅速にビルド・デプロイできます。

.gitlab-ci.ymlファイルでmacos-26-xcode-26イメージを指定して、ぜひお試しください。

ドキュメント | エピック

GitLab Helmチャートレジストリが一般提供を開始

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

Helmを使用してKubernetesアプリケーションのデプロイを管理しているチームは、GitLab Helmチャートレジストリを本番ワークロードに活用できるようになりました。ベータ版として提供されていたこのレジストリが、主要なアーキテクチャおよび信頼性の問題が解決されたことで、一般提供開始となりました。

一般提供に向けた主な改善として、1,000件を超えるチャートのindex.yamlエンドポイントの制限の解消、新しく公開されたチャートバージョンがインデックスに反映されないバックグラウンドインデックスのバグ修正、AppSecセキュリティレビューの完了、GitLab Geoを使用したセルフマネージドのお客様向けの高可用性を確保するHelmメタデータキャッシュのGeoレプリケーションサポートの追加が含まれます。

プラットフォームチームおよびDevOpsチームは、パーソナルアクセストークン、デプロイトークン、CI/CDジョブトークンによる認証をサポートした標準的なHelmクライアントワークフローを使用して、HelmチャートをGitLabから直接公開・インストールできます。ソースコード、パイプライン、セキュリティスキャンとともにチャートを一元管理できるようになりました。

ドキュメント | イシュー

SBOMベースの依存関係スキャンでJava Gradleビルドファイルに対応

GitLab.com: Ultimate
Self-Managed: Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

SBOMを使用したGitLabの依存関係スキャンが、Javaのbuild.gradleおよびbuild.gradle.ktsビルドファイルのスキャンに対応しました。

従来、Gradleを使用したJavaプロジェクトの依存関係スキャンにはロックファイルが必要でした。今回のリリースでは、ロックファイルが存在しない場合、アナライザーが自動的にbuild.gradleおよびbuild.gradle.ktsファイルのスキャンにフォールバックし、脆弱性分析のために直接的な依存関係のみを抽出・レポートします。この改善により、Gradleを使用するJavaプロジェクトでロックファイルなしでも依存関係スキャンを容易に有効化できます。

マニフェストフォールバックを有効にするには、CI/CD変数DS_ENABLE_MANIFEST_FALLBACKを"true"に設定してください。

ドキュメント | イシュー

Pubパッケージマネージャーを使用したDart/Flutterプロジェクトのライセンススキャン対応

GitLab.com: Ultimate
Self-Managed: Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

pubパッケージマネージャーを使用したDartおよびFlutterプロジェクトのライセンススキャンに対応しました。従来、DartまたはFlutterで開発するチームは、オープンソース依存関係のライセンスをGitLab内で直接特定することができず、ライセンスポリシー要件を持つ組織にとってコンプライアンスの盲点となっていました。

ライセンスデータは、Dartの公式パッケージリポジトリであるpub.devから直接取得され、他のサポートされているエコシステムとともに結果が表示されます。Dart/Flutterの依存関係スキャンと脆弱性検出は、すでにサポートされています。

ドキュメント | エピック

クレジット使用データのCSVダウンロード

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

請求管理者は、Customers PortalのGitLabクレジットダッシュボードからクレジットの使用データをCSVファイルとして直接ダウンロードできるようになりました。

エクスポートには、現在の請求月の日別・アクション別のクレジット消費の内訳が含まれ、コミットメント、免除、トライアル、オンデマンド、付属クレジットの使用状況が確認できます。

財務チームおよびオペレーションチームは、このデータを使用して手動でのデータ収集やサポートリクエストなしに、Excel、Googleスプレッドシート、BIツールでコスト配分、チャージバックレポート、使用状況分析を実施できます。

ドキュメント | イシュー

GitLabクレジットダッシュボードでのユーザーソート

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

エンタープライズ管理者は、GitLabクレジットダッシュボードのユーザーごとの使用状況テーブルを、クレジット使用合計またはユーザー名でソートできるようになりました。

デフォルトのソート順は使用クレジット合計（降順）であるため、スクロールせずに最も使用量の多いユーザーをすぐに確認できます。

このビューにより、数千人のGitLab Duoユーザーを管理する管理者は、コスト配分、チャージバックレポート、ライセンス利用状況の監査のために使用量の多いユーザーを迅速に特定できます。

ドキュメント | イシュー

グループおよびインスタンスのコード検索に対応した GitLab Blob Search

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

gitlab_blob_searchツールにより、GitLab AIエージェントが以下の範囲でコード検索を実行できるようになりました。

• グループ内のすべてのプロジェクト
• インスタンス上のアクセス可能なすべてのプロジェクト

従来、Blob Searchは単一プロジェクトに限定されるか、明示的なプロジェクトIDの指定が必要でした。この変更により、AI搭載ワークフローで複数の関連プロジェクトにまたがるコードの発見と再利用が容易になりました。

ドキュメント | イシュー

Exploreのプロジェクトの新しいナビゲーション体験

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

Exploreのプロジェクトページを整理し、長い間蓄積されてきた冗長なオプションを削除しました。シンプルになったインターフェースは、2つの主要なビューに集中しています。

• アクティブタブ：最近のアクティビティがあり、開発が進行中のプロジェクトを確認できます。
• 非アクティブタブ：アーカイブされたプロジェクトや削除予定のプロジェクトにアクセスできます。

冗長なタブを削除しました。

• スター数が最も多いプロジェクトは、アクティブまたは非アクティブタブをスター数でソートすることで確認できます。
• すべてのプロジェクトは、アクティブと非アクティブの両方のタブを表示することで確認できます。
• トレンドタブは、機能の制限と低い利用率のため、GitLab 19.0で完全に削除されます。

整理されたデザインは、他のプロジェクトリストとの視覚的な一貫性を確保しています。より論理的な構成と柔軟なソートオプションにより、従来と同じコンテンツにすべてアクセスできます。

ドキュメント | エピック

GitLab Duo Agent Platform向けセルフホストVertex AI

Self-Managed: Premium、Ultimate

GitLab Duo Agent Platform Self-Hostedで、Vertex AIがサポートされるLLMプラットフォームとして利用可能になりました。

Vertex AI上でホストされるAnthropicモデルを、GitLab Duo Agent Platform機能に使用するよう設定できるようになりました。

ドキュメント | イシュー

プロジェクトからエージェントとフローを直接有効化

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

メンテナーおよびオーナーが、現在のコンテキストを離れることなく、プロジェクトまたはExploreページから直接エージェントとフローを有効化できるようになりました。

トップレベルグループのオーナーは、グループおよびエージェントやフローを有効にする特定のプロジェクトも選択でき、ワークフローの設定を効率化できます。

ドキュメント | イシュー

GitLab Runner 18.10

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

GitLab Runner 18.10もリリースしました。GitLab Runnerは、CI/CDジョブを実行し、結果をGitLabインスタンスに返送する高いスケーラビリティを備えたビルドエージェントです。GitLab Runnerは、GitLabに含まれるオープンソースの継続的インテグレーションサービスであるGitLab CI/CDと連携して動作します。

新機能:

• ビルドポッドのPodレベルリソースをKubernetes Runnerで定義可能に
• すべてのRunnerプロジェクトのGoバージョンおよびパッケージ更新を自動化

バグ修正:

• RoleARNを使用したS3キャッシュが、キャッシュ未存在時に404ではなく403を返す問題を修正
• ヘルパーイメージgitlab-runner-helper:x86_64-v16.11.1-nanoserver21H2使用時にinit-permissionsエラーが発生する問題を修正
• macOS: LaunchAgent - M1アーキテクチャでサービスが初期化できない問題を修正

すべての変更点のリストは、GitLab RunnerのCHANGELOGをご覧ください。

ドキュメント | イシューボード

Conan 2.0パッケージレジストリのサポート（ベータ版）

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

パッケージマネージャーとしてConanを使用するCおよびC++開発チームから、GitLabでのレジストリサポートが長く求められていました。従来、Conanパッケージレジストリは実験的機能の段階でConan 1.xクライアントのみをサポートしていたため、最新のConan 2.0ツールチェーンに移行したチームの採用には限界がありました。

Conanパッケージレジストリが、Conan 2.0に対応し、実験的機能からベータ版に昇格しました。今回のリリースでは、v2 API完全互換性、レシピリビジョンサポート、検索機能の改善、--forceフラグを含むアップロードポリシーの適切な処理が含まれます。標準的なConanクライアントワークフローを使用して、Conan 2.0パッケージをGitLabから直接公開・インストールでき、JFrog Artifactoryなどの外部アーティファクト管理ソリューションへの依存を軽減できます。

このアップデートにより、CおよびC++の依存関係を管理するプラットフォームエンジニアリングチームは、ソースコード、CI/CDパイプライン、セキュリティスキャンとともにパッケージ管理をGitLab内で一元化できます。Conanレジストリはプロジェクトレベルおよびインスタンスレベルのエンドポイントに対応しており、パーソナルアクセストークン、デプロイトークン、CI/CDジョブトークンによる認証が可能です。

一般提供に向けた改善にご協力ください。ご利用の感想はエピックからお寄せください。

ドキュメント | イシュー

専用UIでのコンテナ仮想レジストリの管理（ベータ版）

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

前回のマイルストーンでコンテナ仮想レジストリがベータとして提供開始された際、プラットフォームエンジニアは複数のアップストリームコンテナレジストリ（Docker Hub、Harbor、Quayなど）を単一のプルエンドポイントの背後に集約できるようになりました。しかし、すべての設定にはAPI呼び出しが直接必要であり、レジストリの作成・管理、アップストリームの設定、変更の処理にスクリプトや手動のcurlコマンドを維持する必要がありました。

コンテナ仮想レジストリをGitLab UIから直接作成・管理できるようになりました。グループレベルのコンテナレジストリページから、新しい仮想レジストリの作成、認証情報を含むアップストリームソースの設定、既存の構成の編集、不要になったレジストリの削除が可能です。GitLabを離れたりAPI呼び出しを記述したりする必要はありません。UIは既存のコンテナレジストリ体験とシームレスに統合されており、仮想レジストリがグループのアーティファクト管理ワークフローの中でファーストクラスの機能となりました。

この機能はベータ版です。フィードバックはフィードバックイシューからお寄せください。

ドキュメント | エピック

SBOMベースの依存関係スキャンがセルフマネージドに拡張

GitLab.com: Ultimate
Self-Managed: Ultimate

GitLab 18.10では、新しいSBOMベースの依存関係スキャン機能の限定提供ステータスをセルフマネージドインスタンスに拡張しました。

この機能は、GitLab 18.5でGitLab.comのみを対象とした限定提供として初めてリリースされ、フィーチャーフラグdependency_scanning_sbom_scan_apiの下でデフォルトでは無効化されていました。

追加の改善と修正により、新しいSBOMスキャン内部APIを確実に使用できるようになり、このフィーチャーフラグをデフォルトで有効化しました。この内部APIにより、依存関係スキャンアナライザーは全コンポーネントの脆弱性を含む依存関係スキャンレポートを生成します。CI/CDパイプライン完了後にSBOMレポートを処理していた従来の動作（ベータ版）とは異なり、改善されたプロセスではCI/CDジョブ実行中にスキャン結果を即座に生成し、カスタムワークフロー向けに脆弱性データへの即時アクセスが可能になりました。

問題が発生したセルフマネージドのお客様は、dependency_scanning_sbom_scan_apiフィーチャーフラグを無効化することで、従来の動作にフォールバックできます。

この機能を使用するには、v2依存関係スキャンテンプレートJobs/Dependency-Scanning.v2.gitlab-ci.ymlをインポートしてください。

この機能に関するフィードバックをお待ちしております。ご質問、コメント、チームとのやり取りについては、フィードバックイシューからお問い合わせください。

ドキュメント | イシュー

セキュリティ構成プロファイルでのパイプラインシークレット検出

GitLab.com: Ultimate
Self-Managed: Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

GitLab 18.9では、プッシュ保護から始まるSecret Detection - Defaultプロファイルとともにセキュリティ構成プロファイルを導入しました。このプロファイルを使用して、単一のCI/CD設定ファイルも変更することなく、標準化されたシークレットスキャンを数百のプロジェクトに適用できます。

Secret Detection - Defaultプロファイルにパイプラインベースのスキャンも含まれるようになり、開発ワークフロー全体にわたるシークレット検出の統一的な制御を提供します。

このプロファイルは3つのスキャントリガーを有効にします。

• プッシュ保護: すべてのGitプッシュイベントをスキャンし、シークレットが検出されたプッシュをブロックすることで、シークレットがコードベースに入ることを防ぎます。
• マージリクエストパイプライン: オープンなマージリクエストがあるブランチに新しいコミットがプッシュされるたびに自動的にスキャンを実行します。結果にはマージリクエストで導入された新しい脆弱性のみが含まれます。
• ブランチパイプライン（デフォルトブランチのみ）: 変更がデフォルトブランチにマージまたはプッシュされたときに自動的に実行され、デフォルトブランチのシークレット検出状態の完全な可視化を提供します。

プロファイルの適用にはYAML設定は不要です。プロファイルはグループに適用してすべてのプロジェクトにカバレッジを伝播させるか、個別のプロジェクトに適用してより詳細な制御を行えます。

ドキュメント | エピック

クレジット使用状況をGitLab Duo Agent Platformセッションにリンク

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

GitLabクレジットダッシュボードで、クレジット消費を生成したGitLab Duo Agent Platformセッションに直接リンクできるようになりました。

ユーザー別の詳細ビューで、Agent Platform使用行（Agentic Chatや基本エージェントなど）のアクション列がクリック可能なハイパーリンクとなり、対応するセッションの詳細に遷移できます。

このリンクにより、請求からAIセッションの動作への直接的な監査証跡が提供されます。管理者は、別々のシステム間でタイムスタンプを手動で照合することなく、クレジット使用状況の調査、サポートのエスカレーション、コンプライアンスレビューを実施できます。

ドキュメント | イシュー

プロジェクトのリモートフローにネットワークアクセス制御を設定

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

プロジェクト内のGitLab Runnerを使用するフローに対して、ネットワークアクセス制御を設定できるようになりました。

ネットワーク宛先の制御を維持しながら、安全な外部統合を実現します。プロジェクトのメンテナーは、必要なAPI接続、MCPサーバー、サードパーティサービスを許可しつつ、セキュリティ境界を適用する柔軟性を備えています。

ネットワークアクセス制御は、agent-config.ymlのnetwork_policyセクションで設定します。agent-config.ymlはブランチ保護ルールおよびマージリクエスト承認ワークフローによって保護されています。

ドキュメント | イシュー

パイプライン管理のためのGitLab MCPサーバーツール

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

新しいmanage_pipelineツールにより、CI/CDパイプラインをGitLabプロジェクト内で管理できるようになりました。このGitLab MCPサーバーツールを使用すると、AIエージェントがパイプラインの作成、キャンセル、リトライ、削除、メタデータの更新を単一の呼び出しで実行できます。複数のステップを組み合わせてパイプラインワークフローを自動化する必要がなくなりました。

その他のGitLab MCPサーバーツールのご要望があれば、フィードバックイシューからお知らせください。

ドキュメント | イシュー

プロジェクトメンテナーがカスタムエージェントとフローを有効化可能に

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

従来、AIカタログからのAIエージェントとフローの有効化には、トップレベルグループの権限が必要でした。

ExploreレベルまたはプロジェクトレベルでAIカタログを閲覧する際、プロジェクトのメンテナーが自身のプロジェクトで直接エージェントとフローを有効化できるようになりました。

ドキュメント | イシュー

IDEおよびCI/CDパイプラインでのAgent Skillsのサポート

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate

GitLab Duo Agent Platformが、AIエージェントに新しい機能と専門知識を付与するための新しい標準規格であるAgent Skills仕様に対応しました。

プロジェクトのワークスペースレベルでAgent Skillsを定義し、特定のフレームワークでのテスト記述など、特定タスクに対する専門知識とワークフローをエージェントに付与できます。エージェントは該当するタスクに遭遇した際、関連するスキルを自動的に検出・ロードします。

名前、ファイルパス、カスタムスラッシュコマンドでスキルを手動でトリガーすることも可能です。Agent SkillsはIDE内のフローやAgentic Chat、CI/CDパイプラインで実行されるフローからアクセスでき、仕様をサポートする他のAIツールでも利用できます。

ドキュメント | イシュー

実験的機能

ジョブアドミッション制御のためのRunnerコントローラー

Runnerコントローラーにより、Runner割り当て前にCI/CDジョブにカスタムポリシーを適用できるようになりました。Runnerコントローラーはジョブルーターに接続し、カスタムルールに基づいて受入または拒否の判断を行います。アドミッション制御、コンプライアンスの適用、コストおよびリソースガバナンスにご活用ください。コントローラーはインスタンスRunnerに対応しており、適用前の安全な検証のためのドライランモードもサポートしています。これは実験的機能です。詳細は、チュートリアル: Runnerアドミッションコントローラーの構築をご覧ください。

バグ修正、パフォーマンスの改善、UIの改善

GitLabでは、ユーザーの皆さまに最高のエクスペリエンスを提供することに取り組んでいます。リリースのたびに、バグの修正、パフォーマンスの改善、UIの向上に努めています。GitLab.comの100万人以上のユーザーの方も、他のプラットフォームをお使いの方も、快適でスムーズなご利用をお届けします。

以下のリンクから、18.10で提供されたすべてのバグ修正、パフォーマンス改善、UI改善をご確認いただけます。

• バグ修正
• パフォーマンスの改善
• UIの改善

非推奨（Deprecation）

新しい非推奨機能および現在非推奨となっているすべての機能のリストは、GitLabドキュメントでご確認いただけます。今後の破壊的変更の通知を受け取るには、破壊的変更RSSフィードをご購読ください。

削除と破壊的変更

削除されたすべての機能のリストは、GitLabドキュメントでご確認いただけます。今後の破壊的変更の通知を受け取るには、破壊的変更RSSフィードをご購読ください。

変更履歴

名前付きの変更点については、各チェンジログをご確認ください。

• GitLab
• GitLab Runner
• GitLab Workflow for VS Code
• GitLab CLI

インストール

新規にGitLabをセットアップする場合は、GitLabダウンロードページをご覧ください。

アップデート

アップデートページをご確認ください。

ご不明な点がある場合

ご質問やご意見をお聞かせください。本リリースについてご不明な点がある場合は、GitLabフォーラムにアクセスして質問を投稿してください。

GitLabサブスクリプションプラン

• Free ユーザー向けの永久無料機能を提供
• Premium チームの生産性と調整を強化
• Ultimate 組織全体のセキュリティ、コンプライアンス、プランニングに対応 GitLabのすべての機能を無料でお試しいただけます。

--------------------

監修：ソリス ジェレズ / Jerez Solis @jerezs （GitLab合同会社 ソリューションアーキテクト本部 ソリューションアーキテクト）

過去の日本語リリース情報

• GitLab 18.9
• GitLab 18.8
• GitLab 18.7
• GitLab 18.6
• GitLab 18.5
• GitLab 18.4
• GitLab 18.3
• GitLab 18.2
• GitLab 18.1
• GitLab 18.0
• GitLab 17.11
• GitLab 17.10
• GitLab 17.9
• GitLab 17.8
• GitLab 17.7
• GitLab 17.6
• GitLab 17.5
• GitLab 17.4
• GitLab 17.3
• GitLab 17.2
• GitLab 17.1
• GitLab 16.11

新機能の概要は以下のとおりです。

• 静的アプリケーションセキュリティテスト（SAST）の誤検出判定 の一般提供が開始されました。 このフローでは、LLMによるエージェント型推論を使用して、脆弱性が誤検出である可能性を判定できるため、セキュリティチームと開発チームは重大な脆弱性の修正に優先的に取り組めるようになります。
• エージェント型SAST脆弱性の修正 がベータ版として提供開始されました。 エージェント型SAST脆弱性解決は、検証済みのSAST脆弱性に対する修正案を含むマージリクエストを自動的に作成します。修正までの時間が短縮され、高度なセキュリティ専門知識の必要になるケースが少なくなります。
• シークレットの誤検出判定機能 がベータ版として提供開始されました。 このフローは、AIを活用したノイズ削減をシークレット検出にも適用し、ダミーやテスト用のシークレットにフラグを付けてレビューの負担を軽減します。

これらのフローは、GitLab Duo Agent Platformを使用するGitLab Ultimateのお客様にご利用いただけます。

SASTの誤検出判定機能でトリアージ時間を短縮

従来のSASTスキャナーは、コードパスが到達可能かどうかや、フレームワークが既にリスクを処理しているかどうかに関係なく、疑わしいコードパターンにすべてフラグ付けしていました。ランタイムコンテキストがなければ、実際の脆弱性と危険に見えるだけの安全なコードを区別できません。

そのため、デベロッパーは誤検出と判明するまで、検出結果の調査に何時間も費やす可能性がありました。時間の経過とともにレポートへの信頼が低下し、実際のリスクの修正を担当するチームの作業が遅延する原因となっていたのです。

各SASTスキャンの後、GitLab Duo Agent Platformは新しい「致命的」と「高」の重大度の検出結果を自動的に分析し、以下の情報を付加します。

• 検出結果が誤検出である可能性を示す信頼度スコア
• AI生成による判定理由の説明
• UIにより「誤検出の可能性が高い」と「実際の脆弱性の可能性が高い」を簡単に目視で識別できるバッジ

これらの検出結果は、以下のように脆弱性レポートに表示されます。レポートをフィルタリングして「誤検出ではない」とマークされた検出結果を絞り込むことで、チームはノイズの選別ではなく実際の脆弱性への対応に時間を使えるようになります。

GitLab Duo Agent Platformの評価はあくまで推奨事項です。すべての誤検出の判定はユーザーが管理でき、エージェントの推論をいつでも監査して信頼性の高いモデルを構築できます。

脆弱性を自動修正に変換

実際に脆弱性であると判明しても、まだ作業の半分が完了したにすぎません。修正には、コードパスの理解、安全なパッチの作成、他の部分への影響がないことの確認が必要です。

SASTの誤検出判定フローによって脆弱性が誤検出ではない可能性が高いと判定された場合、エージェント型SAST脆弱性解決フローが自動的に以下を実行します。

1. リポジトリから脆弱なコードとその周辺のコンテキストを読み取る
2. 高品質な修正案を生成する
3. 自動テストによって修正を検証する
4. 以下を含む修正案のマージリクエストを作成する：
   • 具体的なコード変更
   • 信頼度スコア
   • 変更内容とその理由の説明

このデモでは、GitLabがSAST脆弱性を検出からレビュー可能なマージリクエストまで自動的に処理する様子をご覧いただけます。エージェントがコードを読み取り、修正を生成・検証し、明確で説明可能な変更を含むMRを作成する流れをご確認ください。デベロッパーにセキュリティの専門知識がなくても、より迅速に修正を行えるようになります。

AI生成の提案と同様に、マージを行う前に提案されたマージリクエストを慎重にレビューしてください。

実際のシークレットを特定

シークレット検出は、チームが結果を信頼できて初めて有用なものとなります。レポートにテスト用の認証情報やプレースホルダーの値、サンプルトークンが大量に含まれていると、デベロッパーは実際の漏洩を修正するよりも、ノイズのレビューに時間を浪費してしまう可能性があります。その結果、修正が遅延し、スキャンへの信頼が低下しかねません。

シークレットの誤検出判定機能は、チームが重要なシークレットに集中し、より迅速にリスクを軽減できるよう支援します。この機能がデフォルトブランチで実行されると、自動的に以下が行われます。

1. 各検出結果を分析し、テスト用の認証情報、サンプル値、ダミーシークレットの可能性を特定する
2. 検出結果が実際のリスクか誤検出の可能性が高いかの信頼度スコアを付与する
3. 実際のシークレット、ノイズのいずれかとして扱われる理由の説明を生成する
4. 脆弱性レポートにバッジを追加し、デベロッパーがステータスを一目で確認できるようにする

デベロッパーは、脆弱性レポートからシークレット検出の結果に対して「誤検出を確認」を選択することで、この分析を手動でトリガーすることもできます。リスクのない検出結果を除外し、実際のシークレットへの対応をより速やかに開始できます。

AIを活用したセキュリティ機能を今すぐお試しください

GitLab 18.10では、SASTとシークレット検出における誤検出ノイズの削減から、修正案を含むマージリクエストの自動生成まで、脆弱性ワークフロー全体をカバーする機能が導入されました。

AIを活用したセキュリティ機能がレビュー時間の短縮と検出結果のマージ可能な修正への変換にどのように役立つかをご確認いただくには、GitLab Duo Agent Platformの無料トライアルを今すぐ開始してください。

GitLab 18.10で、この状況が変わります。本日より、GitLab.comのFreeプランを利用するチームは、GitLabクレジットを購入して月額料金にコミットすることにより、GitLab Duo Agent Platformをすぐに利用開始できます。サブスクリプションのアップグレードは不要です。GitLab有料プランの追加はまだ検討していないものの、AIを活用した開発を始めたいチームにとって、エージェント型AIへの本格的なエントリーポイントとなります。

モデルはシンプルで、利用するユーザー数ではなくAIが実行した作業に対して課金されます。グループオーナーがグループの請求設定からGitLabクレジットを購入して月額料金にコミットすると、チーム全体がGitLab PremiumおよびUltimateのお客様と同じAIエージェントとワークフローにアクセスできるようになります。計画、コード生成、自動コードレビュー、パイプライン診断のすべてを、共有クレジットプールから利用可能です。

GitLabクレジットダッシュボードにより、グループオーナーはどのエージェントやワークフローがクレジットを消費しているかを把握でき、AI関連の支出を実際の作業成果に直接紐づけることが可能です。

購入したその日からGitLab Duo Agent Platformを利用可能

グループオーナーがクレジットを購入すると、チームの全メンバーがすぐにGitLab Duo Agent Platformの利用を開始できます。

一般的なワークフローは次のとおりです。

まず、ソフトウェアの機能リクエストから始めます。GitLab Duo Chat（エージェント）でプランナーエージェントを開き、必要な内容を自然言語で記述します。エージェントがそれを構造化された作業アイテム（説明、ラベル、関連付けを含むイシュー）に分解し、プロジェクトに直接作成します。これまで手作業のイシュー整理に半日かかっていた作業が、わずか数分で完了します。

作成されたイシューの1つを選び、デベロッパーフローを割り当てて作業を開始します。エージェントがイシューのコンテキストを読み取り、要件に沿ったコードを生成し、テストを実行して、レビュー用のマージリクエストを作成します。リファクタリングや拡張、プロジェクトのコンテキスト内でのコード説明など、より反復的な作業にはGitLab Duo Chat（エージェント）も活用できます。

マージリクエストの準備が整うと、コードレビューフローが多段階の自動レビューを実行します。変更内容のスキャン、リポジトリコンテキストの取り込み、差分に紐づいた構造化されたインラインフィードバックの投稿が行われます。人間のレビュアーは初回の機械的なチェックを省略し、アーキテクチャやビジネスロジックに集中できます。

パイプラインが失敗した場合は、CI/CDパイプライン修正フローがエラーログを読み取り、根本原因を特定して修正案を提示します。チームは、ジョブログを手動で確認しなくても、解決の糸口を得ることができます。

GitLab Duo Agent Platformは、1つのクレジットプールでソフトウェア開発をイテレーションからデプロイまで支援します。

エージェントとワークフローの利用開始は簡単で、計画からデプロイまで3分以内で完了します。詳細はこちらのデモをご覧ください。

定額コードレビュー：スケールしてもコストを予測可能

GitLab Duo Agent Platformで利用できるすべてのワークフローの中で、自動コードレビューはコストが予測可能であるという点で、最も早く価値を実感できる機能です。

コードレビューフローの料金は、マージリクエストのサイズやリポジトリの複雑さ、内部で実行されるステップ数に関係なく、レビュー1回あたり一律0.25 GitLabクレジットとなります。4回のレビューで1クレジットです。チームが月に500件のマージリクエストを処理する場合でも50,000件の場合でも、レビュー数に基づいてコストを直接予測できます。

この数字をもう少し詳しく見てみましょう。手動のコードレビューはコストだけでなく時間もかかり、コンテキストスイッチングが絶えず必要になるため、開発に支障をきたします。コードレビューフローによる時間の節約は、レビュー量の増加に伴い大幅なコスト削減につながる可能性があります。キューで待機させるのではなく、数百件のレビューを同時に実行できるため、時間の節約とコスト削減の効果が急速かつ複合的に高まります。

GitLabのFreeプランを利用しているチームは、月間クレジットプールのうちコードレビューに充てる割合を正確に把握し、計画を立てることが可能です。

コードレビューフローの仕組みと、エンジニアリング組織のスケーリングにおける意義について詳しくご確認ください。

Premiumで価値を最大化

FreeプランのGitLabクレジットは、エージェント型AIへの直接的な道筋を提供します。チームがGitLabをより幅広く活用している場合、Premiumは経済性と機能の両方を兼ね備えた選択肢です。

月額29ドル/ユーザーのGitLab Premiumには、プロモーションオファーとしてユーザーあたり12 GitLabクレジットが含まれています。20人のチームであれば、追加費用なしで月240クレジットを利用でき、約960回の自動コードレビュー、またはコードレビュー、計画、開発ワークフロー、パイプライン修正を組み合わせた利用が可能です。

GitLab Duo Agent Platformは、Premiumが提供する機能の一部にすぎません。大量パイプライン向けの高度なCI/CD、ガバナンスのためのマージ承認とコードオーナー、プロジェクト全体で統一されたコンテキストを持つ単一データレイヤー内で動作するAIも含まれています。

Freeプランでクレジットを使用し、AIがワークフローの中心になりつつあると感じているチームにとって、プロモーションクレジットが含まれるPremiumが次の選択肢となるのは自然の流れでしょう。Premiumでは、より多くのプラットフォーム機能を利用でき、チームとともに成長する基盤となります。

今すぐ始めましょう

GitLab 18.10はすでに提供が開始されており、すぐにご利用いただけます。エージェント型AIでスピードアップしたいチームも、現在の作業方法を支えるフルプラットフォームが必要なチームも、ソフトウェア開発プロセスを加速するための明確な道筋があります。

• FreeプランのGitLab.comをご利用のチーム： グループの請求設定からGitLab クレジットの月額コミットメントを購入し、今すぐGitLab Duo Agent Platformの利用を開始してください。
• フルプラットフォームを検討されているチーム： チームに最適なGitLabサブスクリプションを見つけるか、GitLab Ultimateの無料トライアルを開始してください。

チームへのクレジット設定は迅速かつ簡単です。詳細はこちらのデモをご覧ください。

FAQ

GitLabクレジットの月額コミットメントとは何ですか

月額コミットメントは、グループオーナーがグループ全体の共有プールとして適用されるクレジット数を選択する、使用量ベースの購入オプションです。チームがGitLab Duo Agent Platformの機能を使用するとクレジットが消費されます。詳細はGitLabクレジットのドキュメントをご確認ください。

現在、GitLabクレジットを購入できるのは誰ですか

GitLab PremiumおよびUltimateのお客様は、プロモーションクレジットがすでにサブスクリプションに含まれています。18.10以降、FreeプランのGitLab.comトップレベルグループネームスペースでも、セルフサービスのグループ請求を通じてクレジットの月額コミットメントを購入できるようになりました。最新の対象条件については、GitLabクレジットのドキュメントをご確認ください。

Freeプランでクレジットによって利用可能になるAI機能は何ですか

クレジットを持つチームは、PremiumおよびUltimateのお客様と同じエージェント型AI機能とモデルにアクセスできます。プランナーエージェント、デベロッパーフロー、コードレビューフロー、CI/CDパイプライン修正フロー、GitLab Duo Chat（エージェント）、コード提案、カスタムエージェントとワークフローなどが含まれます。全機能の一覧はDuo Agent Platformドキュメントをご確認ください。

自動コードレビューの費用はいくらですか

コードレビューフローは、マージリクエストのサイズや複雑さに関係なく、レビュー1回あたり一律0.25 GitLabクレジットの定額料金です。最新の価格詳細については、コードレビューフローのドキュメントをご確認ください。

Freeプラン＋クレジットからGitLab Premiumにアップグレードできますか

GitLab 18.10では、営業担当を通じて月額クレジットコミットメントを持つ無料ネームスペースからPremiumへのアップグレードを利用可能です。オプションについてはGitLab営業チームにお問い合わせください。

こうした課題に対し、AIを活用したレビューツールが次々と登場しています。しかし、その多くには落とし穴があります。それは、変更の規模や複雑さによって料金が変わるトークン課金モデルのため、コストを予測できないという点です。新しいツールの中には、1件あたり15〜25ドルかかるものもあります。このような料金体系では、チームは優先度の高い変更のみに絞ってレビューを行うことになり、結局、レビュー待ちの行列は解消されません。

今回ご紹介するGitLab Duo Agent Platform内のエージェント型AI機能であるコードレビューフローは、1件のレビューあたり0.25ドルの定額制です。すべてのマージリクエスト、すべてのプロジェクトにおいて、毎回同じ料金で利用できます。

仕組み

マージリクエストが作成されると、コードレビューフローは自動的にマルチステップのレビューを実行します。変更内容のスキャン、関連するリポジトリのコンテキストの調査、パイプライン・セキュリティの検出結果・コンプライアンス要件との照合、そして構造化されたインラインフィードバックの生成までを自動で行います。

レビュー結果は、差分の変更だけでなく、プロジェクトで実際に起きていることを踏まえた内容になります。また、GitLab内で動作するため、スタンドアロンツールでは実現できないことが可能です。エンジニア1人のIDEで1件ずつ処理するのではなく、組織全体で数百件のレビューを並行して実行できます。

コードレビューの動作をデモでご確認ください：

シンプルな計算、確かなコスト削減

1件のレビューコストは0.25 GitLabクレジット（定価0.25ドル）です。つまり、1クレジットで4件のレビューを実行できます。月に500件のマージリクエストをマージするチームでも、50,000件のチームでも、計算式は同じです。

トークンの見積もりは不要です。マージリクエストの複雑さによってコストが変わることもありません。スプレッドシートで計算できる、1件あたりの定額コストです。

参考までに、シニアエンジニアが手動でコードレビューを行うと、1件あたり約15分、つまり約25ドルの人件費がかかります。自動レビューであれば0.25ドルで済むため、1件あたりのコストを99%削減できます。さらに、レビューはキューで待機するのではなく、並行して実行されます。このため、コスト削減だけでなく、マージリクエストのブロックが数時間ではなく数分で解消されます。

定額制がゲームチェンジャーになる理由

従量課金制では、どのマージリクエストにAIレビューを適用するかを選択せざるを得ませんでした。しかし、0.25ドルであれば、選択は不要です。すべてに適用することができます。

すべてのマージリクエスト、すべてのプロジェクトで実行。 コードレビューフローをすべてのマージリクエストで自動的にトリガーするよう設定できます。エージェントがキューを処理する間、エンジニアはアーキテクチャやメンタリングに集中できます。

スケールにかかわらず一貫した標準を適用可能。 プロジェクトごとにカスタムのマージレビュー手順を定義できます。あるプロジェクトは組み込みフローを使用し、別のプロジェクトはClaude CodeやCodexを使用し、さらに別のプロジェクトはカスタムエージェントを実行する、といった構成も可能です。すべてが並行して実行され、それぞれのガードレールに沿って、一か所で確認できます。

レビューキューのボトルネックを解消。 最近のソフトウェア開発でボトルネックとなっているのは、コード作成ではなく、レビューの完了を待つことです。定額制で、並行して実行できるAIレビューにより、数日かかっていたキューが数分のプロセスに変わります。

GitLabクレジットについて GitLabクレジットはDuo Agent Platformの利用量を示す単位で、1クレジット＝1ドルに相当します。GitLabクレジットの仕組みについてはこちらをご覧ください。

今すぐ始める

エージェント型コードレビューの0.25ドル定額料金は、GitLab.com、Dedicated、または18.8.4以降のSelf-ManagedインスタンスでGitLab Duo Agent Platformをご利用の場合、今すぐ利用可能です。今すぐコードレビューフローをデフォルトで有効にして、チームが作成するすべてのマージリクエストに適用しましょう。

GitLab Duo Agent Platformの無料トライアルを開始して、実際の動きをご確認ください。すでにGitLabをご利用いただいているお客様は、ご担当の営業担当者にお問い合わせください。

Runnerがなければ、パイプラインは設計図のままです。Runnerがあれば、それは具体的な動作として再現できるものになります。本記事では、GitLab Runnerとは何か、インストール・設定の方法、そして最大限に活用するためのベストプラクティスをご紹介します。

GitLab Runnerとは？

GitLab RunnerはオープンソースのGoで書かれたアプリケーションで、CI/CDパイプラインのジョブを実行します。デベロッパーがコードをプッシュすると、GitLabがパイプラインをトリガーし、利用可能なRunnerにジョブを振り分けます。RunnerはジョブをRunnerし、その結果（ログ、アーティファクト、ステータス）をGitLabに返します。

パイプラインとは、ジョブ（コンパイル、テスト、デプロイ）を自動化した一連の流れのことです。Runnerは、特定のマシン上でそれらを実行するエージェントです。RunnerのExecutorは、ジョブが実行される環境（Docker、Shell、Kubernetesなど）を定義します。

→ GitLab UltimateおよびGitLab Duo Enterpriseを無料でお試しください。

GitLab CI/CDで利用できるRunnerの種類

GitLab Runnerでは、アクセスを許可する対象に応じて、次のRunnerスコープを利用できます。

• インスタンスRunner：GitLabインスタンス上のすべてのグループとプロジェクトで利用可能。
• グループRunner：グループ内のすべてのプロジェクトおよびサブグループで利用可能。
• プロジェクトRunner：特定のプロジェクトに紐付けられています。通常、プロジェクトRunnerは一度に1つのプロジェクトのみで使用されます。

これらのRunnerは、2つの方法でホストできます。

• ホスト型Runner：GitLabが管理し、GitLab.com上で利用可能。インストール不要で、素早く開始できますが、設定の自由度は制限されます。
• セルフホスト型Runner：独自のサーバー、仮想マシン、またはクラスター上にインストール・設定・管理します。完全なコントロールが可能で、特定の環境にも柔軟に対応できます。

GitLab Runnerがサポートするエグゼキューター

GitLab Runnerのインストール時には、Executor（ジョブが実行される環境）を選択する必要があります。Executorの選択は、パイプラインのセキュリティ、パフォーマンス、柔軟性に直接影響します。

主なExecutorは以下のとおりです。

• Docker：各ジョブを隔離されたコンテナ内で実行します。高速かつ柔軟で、ほとんどのプロジェクトに推奨されます。
• Shell：ホストマシン上でジョブを直接実行します。シンプルですが、分離性はありません。
• Kubernetes：Kubernetesのポッド内でジョブを実行し、ネイティブなスケーラビリティを備えています。
• VirtualBox / Parallels：macOSなど特定の環境でジョブを実行します。

選択はニーズによって異なりますが、ほとんどのプロジェクトではDockerが最適です。Executorの詳細については、ドキュメントをご覧ください。

GitLab Runnerのインストール方法

GitLab Runnerのインストール方法は、使用するOSとターゲット環境によって異なります。以下に代表的なシナリオをご紹介します。

Linuxへのインストール（Debian/Ubuntu）

Linuxは、特にサーバー側でセルフホスト型Runnerをホストする最も一般的な環境です。インストール方法は次の3通りです。

• GitLabの公式リポジトリ経由
• .debまたは.rpmパッケージ経由
• バイナリファイル経由

以下の例は、Debian/UbuntuにおいてGitLabリポジトリからパッケージをインストールする手順を示しています。

1. GitLabの公式リポジトリを追加します。

curl -L "https://packages.gitlab.com/install/repositories/runner/gitlab-runner/script.deb.sh" | sudo bash

2. GitLab Runnerの最新バージョンをインストールします。特定バージョンをインストールする場合は次のステップに進んでください。

sudo apt install gitlab-runner

3. 特定バージョンのGitLab Runnerをインストールする場合：

apt-cache madison gitlab-runner

sudo apt install gitlab-runner=17.7.1-1 gitlab-runner-helper-images=17.7.1-1

gitlab-runnerの特定バージョンをgitlab-runner-helper-imagesの同バージョンなしにインストールしようとすると、次のようなエラーが発生する場合があります。

sudo apt install gitlab-runner=17.7.1-1

...

The following packages have unmet dependencies:
 gitlab-runner : Depends: gitlab-runner-helper-images (= 17.7.1-1) but 17.8.3-1 is to be installed
E: Unable to correct problems, you have held broken packages.

4. Runnerを登録します。

sudo gitlab-runner register

WindowsおよびmacOSへのインストール

プロジェクトにビルド固有の要件がある場合は、次の手順に従ってWindowsまたはmacOSにGitLab Runnerをインストールすることもできます。

• GitLab RunnerをWindowsにインストールする
• GitLab RunnerをmacOSにインストールする

DockerによるRunnerのインストール

DockerはGitLab Runnerをセットアップする最もシンプルかつ迅速な方法の一つです。複雑なインストール作業なしにDockerコンテナ内でRunnerを実行でき、隔離された再現性の高い環境を活用できます。

迅速なテストや一時的な開発環境、またはすでにコンテナを多用しているチームに最適な方法です。

1. コンテナを起動します。

docker run -d --name gitlab-runner --restart always \ 
  -v /srv/gitlab-runner/config:/etc/gitlab-runner \
  -v /var/run/docker.sock:/var/run/docker.sock \ 
  gitlab/gitlab-runner:latest

2. Runnerを登録します。

docker exec -it gitlab-runner gitlab-runner register

KubernetesによるRunnerのインストール

KubernetesへのGitLab RunnerのインストールはGitLabのHelm Chartを使用します。これはKubernetesクラスター内にGitLab Runnerインスタンスをデプロイする公式の方法です。

GitLabのHelm ChartからGitLab Runnerをインストールする手順は以下のとおりです。

1. GitLab Helmリポジトリを追加します。

helm repo add gitlab https://charts.gitlab.io

2. アクセス可能なGitLab Runnerのバージョンを確認します。

helm search repo -l gitlab/gitlab-runner

3. GitLab Runnerの最新バージョンにアクセスできない場合は、次のコマンドでチャートを更新してください。

helm repo update gitlab

4. values.yamlファイルでGitLab Runnerを設定した後、必要に応じてパラメーターを変更しながら次のコマンドを実行します。

# For Helm 3

helm install --namespace <NAMESPACE> gitlab-runner \ 
  -f <CONFIG_VALUES_FILE> \ 
  gitlab/gitlab-runner

• <NAMESPACE>：GitLab RunnerをインストールするKubernetesの名前空間。
• <CONFIG_VALUES_FILE>：カスタム設定が含まれるvaluesファイルへのパス。作成方法はドキュメントをご参照ください。
• 特定バージョンのGitLab Runner Helm Chartをインストールする場合は、helm installコマンドに--version <RUNNER_HELM_CHART_VERSION>を追加してください。任意バージョンのHelm Chartをインストールできますが、新しいvalues.ymlファイルは古いバージョンと互換性がない場合があります。

KubernetesでGitLab Runnerをインストールする詳細については、ドキュメントをご覧ください。

GitLab Runnerのインストールについてのよくあるご質問は、FAQをご参照ください。

GitLab Runnerの登録方法

インストール後、GitLab Runnerを登録することで、GitLabインスタンスからジョブを取得できるようになります。この手順では、インストール済みのRunnerを1つ以上のGitLabインスタンスに接続します。

GitLab Runnerの登録方法はいくつかあります。本記事では、認証トークンを使用したRunner登録に焦点を当てます。

前提条件

• Runner認証トークンを取得してください。次のいずれかの方法で取得できます。
  • インスタンス、グループ、またはプロジェクトのRunnerを作成する。手順についてはRunnerの管理に関するドキュメントをご参照ください。
  • config.tomlファイル内のRunner認証トークンを確認する。Runner認証トークンのプレフィックスはglrt-です。

Runnerが登録されると、設定内容はconfig.tomlファイルに保存されます。このファイルはGitLab Runnerのメイン設定ファイルで、RunnerとCI/CDジョブの実行に必要なすべての設定を含んでいます。このファイルはいつでも編集でき、変更内容はサービスの再起動なしに次のジョブから反映されます。

Runner認証トークンを使用してRunnerを登録するには、次の手順を実施します。

1. インストール方法に応じた登録コマンドを実行し、
2. GitLabインスタンスのURL（GitLab.comまたはGitLab Self-Managed）を入力し、
3. Runner認証トークンを入力し、
4. RunnerとジョブタグのDescriptionを追加し、
5. 選択したExecutor（Docker、Shell、Kubernetesなど）を入力します。

同一のホストマシン上で異なる設定を持つ複数のRunnerを登録するには、registerコマンドを繰り返します。また、同一の設定を複数のホストマシンに登録するには、各Runner登録で同じRunner認証トークンを使用してください。

非インタラクティブモードを使用して、追加の引数でRunnerを登録することもできます。

Linuxを例に挙げると：

sudo gitlab-runner register \
  --non-interactive \
  --url "https://gitlab.com/" \
  --token "$RUNNER_TOKEN" \
  --executor "docker" \
  --docker-image alpine:latest \
  --description "docker-runner"

Runnerの動作確認と使用開始

ワークフローにRunnerを組み込む前に、正常に動作しているかどうかを確認してください。

1. GitLab UIで確認する。

a. プロジェクト内で 設定 > CI/CD > Runners に移動します。

b. Runnerがアクティブかつ正常であることを確認します。

2. 選択したインストール方法に応じてコマンドラインで確認します。
3. .gitlab-ci.ymlファイルを作成してシンプルなパイプラインでテストします。

test-runner: 
  stage: test 
  script: 
   - echo "Hello GitLab Runner" 
   - hostname 
   - date 
tags: 
   - my-tags # ⚠️ Replace with YOUR runner's tags

GitLab Runnerのセキュリティと最適化のベストプラクティス

設定が不適切なGitLab Runnerは、パフォーマンスの低下やセキュリティ上の問題を引き起こす可能性があります。CI/CDパイプラインを最大限に活用するためのベストプラクティスをご紹介します。

Runnerのセキュリティ

• 隔離された環境を優先する：ホストマシン上でコマンドを直接実行するShellモードではなく、ジョブ間の明確な分離を提供するDockerまたはKubernetesのExecutorを優先して使用してください。
• 権限を制限する：必要でない限り、RunnerにAdminの権限を付与しないでください。攻撃対象領域を減らすため、最小限の権限で設定してください。
• タグによるアクセスを制御する：特定のジョブのみが実行されるよう、Runnerに特定のタグを割り当ててください。これにより、意図しないジョブが機密性の高いRunner上で実行されるリスクを防げます。

パイプラインのパフォーマンスと速度

• 軽量イメージを使用する：Docker ExecutorではビルドやCI要件に最適化されたイメージを選択してください（例：十分であればubuntuではなくalpine）。これによりコンテナの起動時間を短縮できます。
• キャッシュを設定する：GitLabのキャッシュ機能を活用して、複数のパイプライン間で依存関係や生成ファイルを再利用してください。これにより全体的な実行時間が短縮されます。
• 並列実行する：ジョブを並列で実行できる複数のステージに分割し、パイプライン全体の時間を短縮してください。

メンテナンスと信頼性

• Runnerを定期的に更新する：各バージョンにはバグ修正と新機能が含まれています。RunnerをGitLabのバージョンと同期させておくことで、互換性と安定性が確保されます。
• Runnerを監視する：組み込みメトリクス（例：Prometheus経由）を使用して、負荷、ジョブ実行時間、リソース使用状況を追跡してください。これによりボトルネックを事前に把握できます。
• 冗長性を確保する：重要な環境では、負荷を分散しインシデントによるパイプライン停止を防ぐため、複数のRunnerをインストールしてください。

GitLab CI/CDをさらに活用するために

GitLab Runnerは、GitLabのCI/CDパイプライン、セキュリティテスト、完全な自動化と連携することで真の価値を発揮します。共有サービスモデルにおけるGitLab Runnerフリートの管理に関するベストプラクティスについては、ドキュメントもあわせてご覧ください。

→ GitLab UltimateおよびGitLab Duo Enterpriseを無料でお試しください。

本記事では、開発プロセスにおいて継続的なコンプライアンスを確保する方法を解説します——自動化によって余計な負荷をなくし、開発の妨げにならずに支援する仕組みを実現する方法です。GitLabのウェビナーから抜粋した動画も併せてご紹介します。

ウェビナー "Intelligent Orchestrationが導くAgentic AIの未来" を無料でご覧ください。

コンプライアンス基準に取り組む際の課題

従来のコンプライアンスアプローチは摩擦を生み出し、開発チームの作業速度を低下させます。管理業務が増加し、時間とリソースが消耗されることで、セキュリティが「後でやればいい」と後回しにされがちになります。

コンプライアンス管理の自動化：実践例

セキュリティ分野で急成長中のB2B企業が、新たな顧客獲得を目指しているとします。市場環境とターゲット顧客から、情報セキュリティ分野における厳格な基準（例：ISO 27001）の遵守が求められています。

このような認証の取得には、組織を挙げた相当な準備が必要です。開発チーム、マネージャー、セキュリティチームが緊密に連携し、日常業務のプレッシャーの中でも認証取得と成長の両立を実現しなければなりません。

12倍の迅速な展開：GitLabの完全な統合により、Hiltiは効率を実現。

GitLabは完全な可視性、包括的なコード管理、充実したセキュリティスキャンを提供し、Hiltiの新たなソフトウェア能力を支えています。Hiltiがいかにソフトウェア開発を革新したかをご覧ください。事例を読む

企業内でのコンプライアンス実装

コンプライアンス基準を組織内に導入するには、体系的なプロセスが必要です。

1. コンプライアンスプロセスの定義： 監査人の要件から具体的な対応策を導出する
2. 現状のコンプライアンス状況の把握： 対象プロジェクトの定義
3. 是正措置の実施： プロジェクトへの新しいプロセスと修正の実装
4. コンプライアンスの証明： 経営陣と監査人へのレポーティング

最大の課題は、情報収集に伴う高い手動作業コストです。このプロセスへの複数チームの関与が、調整コストの増大と日常業務の中断を招きます。

GitLabによるコンプライアンス管理の自動化：手順ガイド

コンプライアンス基準の認証に関するすべての要件がソフトウェア開発の範囲に含まれるわけではありません。しかし、開発チームの認証取得における手動作業を最小限に抑え、時間を節約するために、GitLabはコンプライアンス管理の自動化を支援します。

目標は、担当者が形式的なチェック作業に追われるのではなく、本来の業務に集中できるようにすることです。

1. Compliance Centerの活用

GitLabのCompliance Centerは、すべての情報を一目で把握できる中央ダッシュボードです。この一元的なビューから、対象となるすべてのプロジェクトのコンプライアンス状況を確認できます。

Compliance Centerにアクセスするには、GitLabアカウントの左側ナビゲーションバーで「Secure」>「Compliance Center」をクリックしてください。

ウェビナー "Intelligent Orchestrationが導くAgentic AIの未来" を無料でご覧ください。

2. フレームワークの作成

各コンプライアンス基準を確実に遵守するには、対応するフレームワークを活用する必要があります。各組織には、業界標準、規制要件、または内部ポリシーに基づく固有のコンプライアンス要件があります。これらは「Frameworks」タブにおいて、自動的に監視・適用されるようGitLabでモデル化できます。

GitLabでは、独自フレームワークの作成も、既存のテンプレートを自社ニーズに合わせてカスタマイズして利用することも可能です。

この動画（英語）では、新しいフレームワークを作成するプロセスをステップバイステップでご案内します。

新しいフレームワーク を作成するには、以下の手順が必要です。

• 名前と説明を設定する： フレームワークの目的と重要性を伝えます。
• カラーバッジを選択する： プロジェクト横断的なフレームワークの識別子として機能します。
• （オプション）フレームワークをデフォルトとして設定する： 最初からコンプライアンス要件が維持されるようにし、ガイドレールを設定します。
• 要件を追加する： 上位のコンプライアンス目標を表します。
• 名前と説明を追加する： 要件の目的と重要性を伝えます。
• コントロールを設定する： 自動的に確認・検証できる技術的なチェックを定義します。

例： 「Segregation of Duties」という要件は、コードレビューの実施を確保します。自身のマージリクエストの承認を防止するために、「Author approved merge request is forbidden」と「At least one approval」というコントロールを作成することで、コードの変更が必ず別の担当者によってレビュー・承認されるよう保証します。

ウェビナー "Intelligent Orchestrationが導くAgentic AIの未来" を無料でご覧ください。

新しいフレームワークに対する具体的な要件が定義されたら、フレームワークを作成できます。コンプライアンス要件はフレームワークを通じて自動チェックに変換されるため、手動による確認は不要になります。

このポリシーはプロジェクトに適用できるようになります。

3. フレームワークをプロジェクトに追加する

コンプライアンス監視を開始するには、フレームワークを対象プロジェクトに適用する必要があります。

「Projects」タブでは、すべてのプロジェクトと適用されているフレームワークを確認できます。個別のプロジェクトに新しいフレームワークを追加するには、「Action」列でプロジェクトを編集して対応するフレームワークを追加します。

一括編集機能を使用すると、すべてのプロジェクトにフレームワークを一度に追加できます。

• すべてのプロジェクトを選択する
• 「Choose one bulk action」オプションをクリックする
• 「Apply frameworks to selected projects」をクリックする
• 「Select framework」をクリックして対応するフレームワークを選択する
• 「Apply」をクリックする

フレームワークをプロジェクトに追加すると、開発チームを妨げることなくコンプライアンス監視が自動的に開始されます。別途のオンボーディングや手動入力のフォームは不要です。

4. コンプライアンスステータスレポートの活用

コンプライアンスステータスレポートは、プロジェクトと対応する要件の概要を提供します。どの要件が達成され、どれが未達成かを明確に把握できます。

Compliance Centerの「Status」タブでは、すべてのプロジェクトにわたるフレームワーク遵守状況の詳細ビューを確認できます。

フィルター機能により、多数のプロジェクトを抱える大規模な組織でも簡単にナビゲートできます。レポーティングをニーズに合わせてカスタマイズし、各ステークホルダーに関連するレポートを正確に生成することが可能です。

ステータスレポートは、緑と赤のフラグによって現在の要件を視覚的に素早く評価し、特定のコントロールを通知し、煩雑な監査なしに問題を迅速に特定できるため、透明性を実現します。

これにより、コンプライアンス状況と講じるべき対策を明確に把握できます。

5. コンプライアンス違反を直接解決する

ステータスレポートで失敗した要件が表示された場合は、直接解決できます。各プロジェクトについて、どのコントロールが失敗したかが表示されます。対応するエラーをクリックすると、問題のドキュメントが開きます。

ドキュメントに加えて、関連するプロジェクト設定に直接誘導されるため、対象プロジェクト内を長時間検索することなく、問題をすぐに修正できます。

ウェビナー "Intelligent Orchestrationが導くAgentic AIの未来" を今無料でご覧ください。

6. 複数プロジェクトにわたるコンプライアンス要件の是正

複数のプロジェクトにコンプライアンス要件を定義している場合は、すべてを手動で確認するのではなく、関連する修正を自動化して実行できます。そのためにセキュリティポリシーを活用します。セキュリティポリシーは、セキュリティ関連のコントロールをプロジェクト・グループ・フレームワークレベルで標準ワークフローの一部として適用するものです。

GitLabアカウントの左側ナビゲーションバーで「Secure」>「Policies」をクリックしてください。

「New Policy」から、複数プロジェクトに対する自動コンプライアンス要件を有効化できます。選択できるポリシーは以下のとおりです。

• Scan execution policy：パイプラインの一部として、またはスケジュールに従ってセキュリティスキャンを実行します。
• Merge request approval policy：プロジェクトレベルの設定と、スキャン結果に基づく承認ルールを適用します。
• Pipeline execution policy：プロジェクトパイプラインの一部としてCI/CDジョブを強制実行します。
• Vulnerability management policy：デフォルトブランチで検出されなくなったセキュリティ上の脆弱性を自動的に修正します。

たとえば「Secret Detection」の分野で包括的なセキュリティ対策を設定するには、以下の手順に従ってください。

• 「New Policy」をクリックする
• 「Scan execution policy」を選択する
• 名前を定義する
• ポリシーの適用範囲として以下のいずれかを選択する
• すべてのプロジェクト（「all projects in this group」）
• 特定のプロジェクト（「specific projects」）または
• コンプライアンスフレームワーク（「projects with compliance framework」＋関連フレームワーク）
• 「Configuration Type」でポリシーのテンプレートを使用するか、個別設定を使用するかを選択する
• 新しいポリシーを保存する

保存されると、ポリシーは自動的に適用されます。このプロジェクトでのすべてのパイプライン実行に「Secret Detection」要件が含まれるようになります。

7. GitLabによるレポーティングと監査サポート

コンプライアンス管理の自動化は、開発者の日常業務をサポートするだけでなく、関連するステークホルダーへのレポーティングも容易にします。Compliance Centerを使用すると、規制当局、顧客、その他のステークホルダーとのコミュニケーションを効率化する包括的なレポーティングツールが利用できます。

Compliance Centerでは以下の情報を確認できます。

• コンプライアンスフレームワークでカバーされているプロジェクトの総数
• コンプライアンス達成率（コンプライアンス要件を満たしているプロジェクトの割合）
• 組織全体のアクティブなフレームワーク
• 対応が必要な重大な違反

GitLabは情報の流れを自動化し、手動の調整作業を排除してリアルタイムデータを処理することで、ステータスの把握を効率化します。豊富なエクスポート形式により、外部へのレポーティングも容易に実現できます。

GitLabを活用したコンプライアンスプロセスについて、お問い合わせをお待ちしております。

GitLabによる自動化されたコンプライアンス管理のメリット

• Single Source of Truth： 手動のExcelリストや調整ミーティングの代わりに、GitLabがコンプライアンス管理の一元的な拠点を提供します。
• 統合されたコンプライアンス： 追加のプロセス負荷なしに、コンプライアンスを開発プロセスに組み込みます。
• 高い効率性： 追加の手動ワークフローなしにコンプライアンスを実現します。
• 直接的な対応： GitLabはコンプライアンスチェックを自動化し、違反を即座に検出してシンプルに解決できるようにします。
• フォーカスの向上： 開発チームが日常業務に集中できるようになります。
• 高いセキュリティ： コンプライアンスが組織の根幹に根付くようになります。
• 可視性の向上： コンプライアンス担当者とコンプライアンス対策の組織内での認知度が高まります。
• 簡素化されたレポーティング： 監査人が関連するすべての証拠をタイムリーに受け取れます。

「この最適化されたアプローチは、コンプライアンスを後手対応の重い作業から、組織の成長に合わせて拡張できる能動的な仕組みへと変えていきます」

– Karolina Franz、Solutions Architect @GitLab

ウェビナー "Intelligent Orchestrationが導くAgentic AIの未来" を無料でご覧ください。

GitLabによるコンプライアンスプロセス

GitLabによるコンプライアンス管理の自動化には数多くのメリットがあります。本記事の冒頭で述べたように、コンプライアンス基準を確保するには組織に体系的なプロセスが必要です。

GitLabは以下の方法でそのようなプロセスの構築を支援します。

• コンプライアンスプロセスの定義： 独自フレームワークにより、あらゆるコンプライアンス基準をモデル化・監視できます。これにより、ボトルネックなしに組織全体でコンプライアンスをスケールできるようになります。
• 現状のコンプライアンス状況の把握： 包括的な監視によってすべての関連プロジェクトと要件を把握し、監査前に違反を通知するため、迅速な対応が可能です。
• 是正措置の実施： ポリシーを活用することで、すべてのプロジェクトとチームにわたってコンプライアンス基準を自動的に確保できます。
• コンプライアンスの証明： レポーティングにはCompliance Centerを利用できます。すべてのプロジェクトを一元的に表示し、手動のステータス確認とワークフローを排除して、証拠が正確に提供されるよう保証します。

まとめ

コンプライアンスは一度限りの監査プロジェクトではなく、ソフトウェア開発に直接統合される必要がある継続的なプロセスです。手動による検査や孤立したワークフローはすぐに限界に達し、チームの作業速度を低下させます。

GitLabを使用することで、コンプライアンス要件を自動化・検証可能な基準に変換できます。フレームワーク、ポリシー、一元的な監視を通じて、開発者への追加負荷なしに、コンプライアンスが透明性・拡張性・実行力を備えたものになります。こうしてコンプライアンスは、セキュアなソフトウェア開発と持続的な成長のための信頼できる基盤となります。

規制要件を開発プロセスに直接組み込む

コンプライアンス管理を自動化し、開発チームの力を引き出して、組織全体でコンプライアンスを持続的にスケールさせましょう。

今すぐ始める

SaaSはAgentic AIの「主語」であるべき

GitLab は2026年2月10日、東京・六本木ヒルズクラブで「GitLab Transcend Japan」を開催しました。今回のイベントは、世界12都市で同日開催されたグローバルカンファレンスの一環で、GitLabを先進的に活用されている国内ユーザーの皆様の中から、グローバルで選定された方々を招待して実施しました。

オープニングセッションには、GitLab Head of Japan 小澤 正治が登壇。小澤は、AIが急速に普及し「手段」として定着しつつある現状を踏まえ、Tech SaaSのあり方を再定義する必要性について以下のように語りました。

「これからは、Agentic AI（自律型のAI）そのものを主語として考えるSaaSなのか、それともSaaSというプラットフォームを主語にして考えるAgentic AIなのか、この違いが問われる時代になります」

統合プラットフォームであるGitLabは、ソフトウェア開発における複雑なワークフローをコントロールし、すべてのトランザクションをデータとして蓄積しています。そして、この膨大かつ正確なデータ群のおかげで、人やAIはコンテキスト（文脈）としてその全容を理解できるようになるのです。つまり、AIが精度の高い回答を提供してくれるか否かは、こうしたデータがそろっているかどうかが大きなカギになるわけです。「これこそ、GitLabが提供できる根源的な価値になります」（小澤）。

小澤は、現在の日本企業を取り巻く環境について、3つの重要なトピックを挙げました。サイバーセキュリティと法規制、円安と輸出規制、および2025年の崖と人材不足です。

サイバーセキュリティと法規制では、サイバー攻撃によるインシデントが多発する中、NIST（米国国立標準技術研究所）のガイドラインなど、国内外の法規制への対応が必須となっています。もはやセキュリティは「努力目標」ではなく「経営課題」と言える状況です。円安と輸出規制では、円安が輸出企業にとって追い風になる一方、欧州のサイバーレジリエンス法（CRA）やGDPRなどの規制をクリアしなければグローバル市場で戦えません。これらがビジネスのハードルになるケースが増えてきています。最後の2025年の崖と人材不足では、レガシーシステムのモダナイゼーションを推進できるIT人材の確保が多くの企業にとって悩みの種になっています。

GitLabは、これらの課題に対しシングルプラットフォームという価値でこたえることができます。

小澤は、「ソフトウェア開発のすべてをGitLab上で行うことで、データは単一のデータストアに蓄積されます。分断されたツール群では成し得ないこのデータとコンテキストの一元化こそが、AI活用における最大の武器になります。また、コンプライアンスやガバナンスに強制力を効かせながら、効率を下げずにソフトウェア開発することで、安心・安全なデリバリーが可能になるのです」と語りました。

インテリジェント・オーケストレーションがソフトウェア開発の未来を切り拓く

続いて、会場のスクリーンで全世界に向けたビデオが放映されました。GitLab CEO Bill Staplesをはじめとする経営陣、そして先進的なユーザー企業が登場し、AI時代の新たなソフトウェア開発戦略の発表の場です。

Staplesは、「月曜の朝、コーヒーを片手にPCを開き、仕事をスタートさせます。しかし、実際にコードを書く時間はどれくらいあるでしょう？」と語りかけます。25万人の開発者を対象とした調査によると、開発者が実際にコードを書いている時間は、1日平均でわずか52分に過ぎません。残りの時間は、会議、承認待ち、障害対応、およびその他の雑務に奪われているのです。

これがAIのパラドックスです。AIコーディングツールは、生産性10倍とうたいますが、それは業務全体のわずか10〜20%に過ぎないコーディング時間を短縮しているだけ。前後のプロセスにあるボトルネックが解消されない限り、ビジネス全体のデリバリー速度は劇的には向上しないのです。

この課題を解消するために、Staplesは「インテリジェント・オーケストレーション」という方向性を提唱します。これまでの開発は、人間がバケツリレーのように工程を渡していく「ステージベース」でした。これからは、AIエージェントが自律的にタスクを拾い、プロセス間を繋ぐ形へとシフトします。

「人間はループの上に立ち、エージェントをオーケストレーション（指揮）する役割へと進化します」（Staples）と語ります。雑務から解放され、戦略や創造的な意思決定に集中する未来の姿がそこにあります。

続いて、このビジョンを実践している企業として、サウスウエスト航空社のManaging Director、Grant Morris氏が登場しました。同社は、個別最適化されたツール群を捨て、GitLabでソフトウェア開発の全プロセスを統合。セキュリティとコンプライアンスを担保しながら開発者がビジネス価値の創出に集中できる環境を整備しています。

AI活用についてGrant氏は、「セキュリティ修正や依存関係のアップデートなど、エンジニアが疲弊するルーティンワークをAIエージェントに任せています」と語ります。さらに将来は、「AIエージェントがバックグラウンドで常にコードを監視し、リファクタリング（ソフトウェアの内部コード構造を整理する作業）やアップグレードを自律的に提案してくれるようになるでしょう。つまり、技術的負債という概念自体が過去のものになります」と語りました。

続いて登場したGitLab CPMOのManav Khuranaは、インテリジェント・オーケストレーションを実現するための製品戦略について解説しました。

まずは、AIエージェントをGitLab内で機能させる基盤となるAgentic Coreの進化。リポジトリやイシューなどをAIがコンテキストとして理解できるように構造化する独自技術を提供します。汎用的なエージェントに加え、各社独自のノウハウを組み込んだCustom Agentsを作成・公開できるAI Catalogを用意し、JiraやSlackなど外部ツールからもコンテキストを取得するためにModel Context Protocol （MCP）にも対応します。

既存機能の強化では、複雑なYAMLを書かずにAIと対話しながらパイプラインを構築できるAIファーストのCI/CDビルダーや、あらゆる成果物をGitLab内で一元管理し、AIエージェントが機密性の高い状態でも安全にアクセスできる仕組みを構築します。

GitLabは、SaaSだけでなく、オンプレミス環境でも利用できます。AIもオンプレミスで利用できるよう、ガバナンスを効かせた状態でAIを活用できる環境も提供します。独自のAIモデルを持ち込むBYOM（Bring Your Own Model）や、インターネット遮断環境（エアギャップ）にも対応します。

ビデオの終盤には、Oracle Group VPであるVictor Restrepo氏が登場し、GitLabとの強力なパートナーシップについて語りました。Restrepo氏は、Oracle Cloud Infrastructure （OCI）のコストパフォーマンスとGitLabの効率性を組み合わせることでインフラコストを削減し、その分をイノベーション投資に回すクラウドエコノミクスの重要性を強調。「政府系クラウドや専用リージョンを持つOCI上でGitLabを稼働させれば、厳しい規制が課される業界でもセキュアにAIを活用できるようになります」とGitLabとの親和性についても語りました。

コンテキストを理解し、自律的に動くAIエージェント

ビデオで披露された最新機能について、次のセッションで実機デモを交えた解説が行われました。その際にも強調されたのは、コンテキストの重要性です。AIエージェントが的確な仕事をするためには、プロジェクトの全容を理解している必要があります。企画から監視までをシングルプラットフォームで管理しているGitLabだからこそ、AIは断片的な情報ではなく、プロジェクトの全履歴という文脈を理解した上で自律的に動くことができるのです。

デモでは、まずDuo Planner Agentを紹介。「こんな感じの機能をリリースしたい」という人間からの曖昧な指示に対し、AIはバックログや現状のコードベースを分析し、数分で具体的なタスクへと分解し、実行計画を立案してくれます。Duo CLIのデモでは、ターミナル上での作業をAIが支援してくれる様子が披露されました。対話内容はWeb UIと同期されるため、開発者はツール間を行き来することなく、シームレスに作業を継続できます。

Foundational Flowsのデモでは、CIパイプラインが失敗した際にワンクリックでAIがログを解析してくれました。原因の特定から修正コードの作成、そして修正用マージリクエストの作成まで、AIが自律的に支援してくれます。Security Analyst Agentも便利です。脆弱性が検出された際に、単に警告を出すだけではなく、AIエージェントが「なぜ危険なのか」を解説し、具体的な修正パッチを作成してくれます。

最後のセッションには、国内の先進事例として、株式会社SBI証券 執行役員 IT企画部長 武藤 恵慈氏をお招きし、小澤とのFireside Chatを実施しました。かつてはシステムや言語が乱立する課題を抱えていた同社は内製化へと大きく舵を切り、大規模かつ多数のプロジェクトを効率的に推進しています。詳細なセッション内容は、近日中に公開予定です。

この日のイベントでは、Staplesの以下の発言が印象に残りました。

「ソフトウェア開発は、コードを書くことから価値を創ることへと変化しています」

GitLabは単なるツールから、人間とAIエージェントが協調して働くための基盤である「インテリジェント・オーケストレーション・プラットフォーム」へと進化します。AIのパラドックスを乗り越え、開発者が真のイノベーションに注力できる未来へ。「Transcend（=超越）」というイベント名にふさわしい、新たな時代が幕を開けます。

コード生成が高速化する一方で、レビュー、テスト、セキュリティスキャン、デプロイといった下流工程に新たなボトルネックが生まれています。

これが、私たちが「AIパラドックス」と呼ぶ現象です。

今月のMonday Mergeでは、計画、開発、セキュリティ、デプロイにわたるSDLC全体でのインテリジェント・オーケストレーションがこの課題にどのように対応し、エンタープライズDevSecOpsをどのように再構築しているのかを探ります。

GitLab 18.9：エージェント型AIがプラットフォームのさらに深部へ

2月の締めくくりに、25以上の改善とエージェント型AI機能の大幅な進化を含むGitLab 18.9をリリースしました。

セルフマネージド環境向け GitLab Duo Agent Platform

GitLab Duo Agent Platformは、オンラインライセンスを持つセルフマネージドのお客様向けに提供開始となりました。自社インフラ内でエージェント型AI機能を必要とするエンタープライズチームにとって、これは大きな前進です。

エージェント型SAST脆弱性解決（ベータ）

SAST脆弱性のトリアージと修正は、アプリケーションセキュリティにおいて最も時間のかかる作業のひとつであることが多いです。GitLab 18.9では、GitLab Duoが次のことを実行できるようになりました。

• 脆弱性を分析する
• 周辺コードの文脈を推論する
• コンテキストを考慮した修正を生成する
• マージリクエストを自動作成する
• レビュアーの信頼度を示す品質スコアを提供する

単一の提案を出すのではなく、GitLab Duoはコードベース全体を推論し、十分に検討された修正提案を生成します。

GitLab 18.9のその他の改善点

新しい折りたたみ可能なファイルツリーによりリポジトリをナビゲートでき、ページ読み込み回数を減らしながら、より効率的にプロジェクト構造を閲覧できます。 GitLab.comではWebベースのコミット署名が利用可能になり、Web上のコミットがGitLabの署名キーで自動的に署名されます。

そして、本リリースに530件以上の貢献をしてくださったGitLabコミュニティの皆さまに心より感謝します。GitLabでは誰もが貢献できることを18.9は証明しています。

先日開催されたGitLab Transcendのバーチャルイベントでは、AIエージェントが計画、開発、テスト、セキュリティ、デプロイにわたって単一のプラットフォーム上でどのように連携し、エンタープライズのガードレールやガバナンス要件に沿って動作するのかをご紹介しました。

Southwest Airlines社からは、GitLab Duo Agent Platformがどのようにチームのミッションクリティカルなソフトウェアをより迅速に提供しながら、24時間365日の航空運航に必要なレジリエンスを維持しているかについてお話しいただきました。また、SDLC全体でエージェントが協働するライブデモも実施し、特定の工程だけでなく、デリバリーライフサイクル全体をどのようにモダナイズできるかを探りました。

イベントを見逃した方は、こちらからフル録画をご覧いただけます👇

GitLab Transcendを視聴する

技術デモ

📅 3月19日 – 開発現場でのGitLab Duo Agent Platform

本セッションでは、

• Duo Agent Platformを活用して、計画、Issueからのマージリクエスト（MR）作成、エージェント型コードレビューなど、複数ステップのワークフローを自動化する方法
• GitLabの基盤エージェント（PlannerやSecurity Analystなど）を活用してSDLCを効率化する方法
• GitLabの統合データモデルによる、コンテキストに応じたコード生成でコーディングを高速化する方法
• AI駆動のセキュリティワークフローで脆弱性を自動検出・修復する方法
• AIを活用した根本原因分析とガイド付きの修正により、パイプラインエラーを迅速に解決する方法

をご紹介します。

👉 こちらからご登録ください。

開発現場でのGitLab Duo Agent Platform

今月のおすすめ

今月は、インテリジェント・オーケストレーションの背景にあるより広い視点について、さらに深く掘り下げています。

CEOのBill Staplesは、AI時代におけるソフトウェアデリバリーについて語っています。

また、Chief Product and Marketing OfficerのManav Khuranaは、AIが単なる高速なコード生成を超え、品質、セキュリティ、そしてライフサイクル全体の最適化へと拡張されることで、真にイノベーションサイクルの加速が実現することを探っています。

さらに、セキュリティリーダーシップの観点からは、ソフトウェアライフサイクル全体におけるAI主導の変化に対応するため、エンタープライズがどのように組織構造モデルを進化させる必要があるのかという議論が続いています。

ポイントソリューションを超え、システム全体の変革を見据えている方にとって、これらの視点は一読の価値があります。

Intelligent Orchestration: Software Delivery for the AI Era, with CEO of GitLab

GitLab CEO on why AI isn’t helping enterprises ship code faster

From faster coding to accelerated innovation cycles: How intelligent orchestration unlocks AI's promise

The one structural shift CISOs must make before AI outpaces their security strategy

最後に、インテリジェント・オーケストレーションの本質を表す言葉をご紹介します。

「全体は部分の総和に勝る。」― アリストテレス

インテリジェント・オーケストレーションは、まさにこの考えを体現しています。

AIが孤立した場面で活用されるだけでは、その効果は限定的です。しかし、統一されたコンテキストとエンタープライズのガードレールのもとで、エージェントがソフトウェアライフサイクル全体にわたり協調すれば、その成果は実際に測定可能なソフトウェア開発速度として現れます。

お読みいただきありがとうございました。ウェブキャストやIssueでお会いできるのを楽しみにしています。そして、これからも対話を続けていきましょう。それでは、いつものようにHappy Merging!

Fatima Sarah Khalid｜Senior Developer Advocate, GitLab

このニュースレターが気に入ったら、ぜひチームに共有してください。 そして👉YouTubeチャンネルの登録もお忘れなく！

GitLab Duo Agent PlatformのMCPサポートにより、Jiraをはじめ、MCPに対応するあらゆるツールを、AIを活用した開発環境に直接接続できるようになりました。課題の照会、チケットの更新、ワークフローの同期など、すべてを自然言語で、IDEを離れることなく実行できます。

この記事で学べること

このチュートリアルでは、以下の内容を解説します。

• Jira/Atlassian OAuthアプリケーションのセットアップ — セキュアな認証を設定します
• GitLab Duo Agent Platformの設定 — GitLab Duo Agent PlatformをMCPクライアントとして設定します
• 3つの実践的なユースケース — 実際のワークフローのデモをご覧ください

前提条件

開始する前に、以下の要件を満たしていることをご確認ください。

アーキテクチャの概要

GitLab Duo Agent PlatformはMCPクライアントとして機能し、Atlassian MCPサーバーに接続してJiraのプロジェクト管理データにアクセスします。Atlassian MCPサーバーは認証を処理し、自然言語のリクエストをAPI呼び出しに変換して、構造化されたデータをGitLab Duo Agent Platformに返します。このプロセス全体を通じて、セキュリティと監査管理が維持されます。

パート1：Jira OAuthアプリケーションの設定

GitLab Duo Agent PlatformをJiraインスタンスに安全に接続するには、Atlassian Developer ConsoleでOAuth 2.0アプリケーションを作成する必要があります。これにより、GitLabのMCPサーバーにJiraデータへの認可されたアクセス権が付与されます。

セットアップ手順

手動で設定する場合は、以下の手順に従ってください。

1. Atlassian Developer Consoleへのアクセス
   • developer.atlassian.com/console/myappsにアクセスします。
   • Atlassianアカウントでサインインします。
2. 新しいOAuth 2.0アプリの作成
   • 「Create」→「OAuth 2.0 integration」をクリックします。
   • アプリ名を入力します（例：「gitlab-dap-mcp」）。
   • 利用規約に同意し、「Create」をクリックします。
3. 権限の設定
   • 左サイドバーの「Permissions」に移動します。
   • 「Jira API」を追加し、以下のスコープを設定します。
     • read:jira-work — 課題、プロジェクト、ボードの読み取り
     • write:jira-work — 課題の作成と更新
     • read:jira-user — ユーザー情報の読み取り
4. 認可の設定
   • 左サイドバーの「Authorization」に移動します。
   • お使いの環境のコールバックURLを追加します（https://gitlab.com/oauth/callback）。
   • 変更を保存します。
5. 認証情報の取得
   • 「Settings」に移動します。
   • 「Client ID」と「Client Secret」をコピーします。
   • これらの認証情報はMCP設定に必要なため、安全な場所に保管してください。

インタラクティブウォークスルー：Jira OAuthのセットアップ

以下の画像をクリックして開始してください。

パート2：GitLab Duo Agent PlatformのMCPクライアントの設定

OAuth認証情報の準備ができたら、GitLab Duo Agent PlatformをAtlassian MCPサーバーに接続するための設定を行います。

MCP設定ファイルの作成

GitLabプロジェクトの .gitlab/duo/mcp.json にMCP設定ファイルを作成します。

{
  "mcpServers": {
    "atlassian": {
      "type": "http",
      "url": "https://mcp.atlassian.com/v1/mcp",
      "auth": {
        "type": "oauth2",
        "clientId": "YOUR_CLIENT_ID",
        "clientSecret": "YOUR_CLIENT_SECRET",
        "authorizationUrl": "https://auth.atlassian.com/oauth/authorize",
        "tokenUrl": "https://auth.atlassian.com/oauth/token"
      },
      "approvedTools": true
    }
  }
}

YOUR_CLIENT_ID と YOUR_CLIENT_SECRET は、パート1で生成した認証情報に置き換えてください。

GitLabでMCPを有効化

1. 「グループ設定」→「GitLab Duo」→「Configuration」に移動します。
2. 「Allow external MCP tools」にチェックが入っていることを確認します。

接続の確認

VS Codeでプロジェクトを開いてGitLab Duo Agent Platformのチャットで次のように入力してください。

What MCP tools do you have access to?

次に、以下のように入力します。

Test the MCP JIRA configuration in this project

この時点で、IDEからAtlassian MCPウェブサイトにリダイレクトされ、アクセスの承認を求められます。

MCPダッシュボードでの確認

GitLabには、IDEに組み込みのMCPダッシュボードも用意されています。

VS CodeまたはVSCodiumで、コマンドパレット（macOSでは Cmd+Shift+P、Windows/Linuxでは Ctrl+Shift+P）を開いて「GitLab: Show MCP Dashboard」を検索してください。ダッシュボードは新しいエディタータブで表示され、以下の情報を確認できます。

• 設定済みの各MCPサーバーの接続ステータス
• サーバーが公開している利用可能なツール（例：jira_get_issue、jira_create_issue）
• サーバーログ — リアルタイムで呼び出されているツールを確認可能

インタラクティブウォークスルー：MCPのテスト

パート3：実践的なユースケース

統合の設定が完了したら、JiraをGitLab Duo Agent Platformへの接続を実現できる3つの実践的なワークフローを見ていきましょう。

プランニングアシスタント

シナリオ： スプリントプランニングの準備として、バックログをすばやく評価し、優先事項を把握し、ブロッカーを特定する必要があります。

このデモでは以下の操作を紹介します。

• バックログの照会
• 未割り当ての高優先度課題の特定
• AIによるスプリント推奨の取得

プロンプト例

GitLab Duo Agent Platformのチャットで以下のプロンプトをお試しください。

List all the unassigned issues in JIRA for project GITLAB

Suggest the two top issues to prioritize and summarize them. Assign them to me.

インタラクティブウォークスルー：プロジェクトプランニング

コードからの課題トリアージと作成

シナリオ： コードレビュー中にバグを発見し、IDEを離れることなく、関連するコンテキストに沿ってJiraの課題を作成したい場合です。

このデモでは以下の手順を紹介します。

• コーディング中のバグの特定
• 自然言語を使ったJira課題の詳細な作成
• コードのコンテキストに沿った課題フィールドの自動入力
• 現在のブランチへの課題のリンク

プロンプト例

Search in JIRA for a bug related to: Null pointer exception in PaymentService.processRefund().
If it does not exist create it with all the context needed from the code. Find possible blockers that this bug may cause.

Create a new branch called issue-gitlab-18, checkout, and link it to the issue we just created. Assign the JIRA issue to me and mark it as in-progress.

インタラクティブウォークスルー：バグレビューとタスク自動化

クロスシステムのインシデント調査

シナリオ： 本番環境でインシデントが発生し、Jira（インシデントチケット）、GitLabプロジェクト管理、コードベース、マージリクエストからの情報を照合して根本原因を特定する必要があります。

このデモでは以下を実演します。

• Jiraからのインシデント詳細の取得
• GitLabの最近のマージリクエストとの照合
• 関連する可能性のあるコード変更の特定
• インシデントタイムラインの生成
• 修正計画の設計とGitLabのワークアイテムとしての作成

プロンプト例

"We have a production incident INC-1 about checkout failures. Can you help me investigate with all available context?"

Create a timeline of events for incident INC-1 including related Jira issues and recent deployments

Propose a remediation plan

インタラクティブウォークスルー：クロスシステムのトラブルシューティングと修正

トラブルシューティング

よくあるセットアップの問題と解決策を以下にまとめます。

詳細なトラブルシューティングについては、GitLab MCPクライアントのドキュメントをご参照ください。

セキュリティに関する考慮事項

JiraをGitLab Duo Agent Platformと統合する際は、以下の点にご注意ください。

• OAuthトークン — 認証情報を安全に管理してください。
• 最小権限の原則 — Jiraスコープは必要最小限のみ付与してください。
• トークンのローテーション — セキュリティ管理の一環として、OAuth認証情報を定期的にローテーションしてください。

まとめ

MCPを通じてGitLab Duo Agent Platformをさまざまなツールに接続することで、開発ライフサイクルとのインタラクションが大きく変わります。この記事では、以下の方法を学びました。

• 自然言語による課題の照会 — バックログ、スプリント、インシデントについて自然言語で質問できます。
• DevSecOps環境全体での課題の作成と更新 — IDEを離れることなくバグを報告し、チケットを更新できます。
• システム間の情報照合 — JiraのデータをGitLabのプロジェクト管理、マージリクエスト、パイプラインと組み合わせることで、全体的な可視性が得られます。
• コンテキスト切り替えの削減 — プロジェクト管理とのつながりを維持しながら、コードに集中できます。

この統合は、MCPの可能性を体現するものです。AIを通じてツールへの標準化されたセキュアなアクセスを提供し、ガバナンスやセキュリティを損なうことなく、デベロッパーがより効率的に作業できる環境を実現します。

関連リソース

• Model Context Protocol統合
• Model Context Protocolとは
• エージェント型AIに関するガイドとリソース
• GitLab MCPクライアントのドキュメント
• GitLab Duo Agent Platformを始める：完全ガイド

本ガイドでは、GitLab が提供するコンテナスキャンの種類、各機能の有効化方法、および初期設定に役立つ一般的な構成についてご説明します。

コンテナスキャンが重要な理由

コンテナイメージのセキュリティ脆弱性は、アプリケーションライフサイクル全体にわたってリスクをもたらします。ベースイメージ、OSパッケージ、アプリケーションの依存関係はいずれも、攻撃者が積極的に悪用する脆弱性を含んでいる可能性があります。コンテナスキャンはこれらのリスクを早期に、本番環境に到達する前に検出し、利用可能な場合は修正方法を提供します。

コンテナスキャンはソフトウェアコンポジション分析（SCA）の重要なコンポーネントであり、コンテナ化されたアプリケーションが依存する外部依存関係を把握し、保護するために役立ちます。

GitLab コンテナスキャンの5つの種類

GitLab は5つの異なるコンテナスキャンアプローチを提供しており、それぞれがセキュリティ戦略において固有の目的を果たします。

1. パイプラインベースのコンテナスキャン

• 機能：CI/CDパイプラインの実行中にコンテナイメージをスキャンし、デプロイ前に脆弱性を検出します。
• 最適な用途：シフトレフトセキュリティ、脆弱性のあるイメージが本番環境に到達するのを防止
• 利用可能なプラン：Free、Premium、Ultimate（Ultimateではより高度な機能を利用可能）
• ドキュメント

GitLab は Trivy セキュリティスキャナーを使用してコンテナイメージの既知の脆弱性を分析します。パイプラインの実行時にスキャナーがイメージを検査し、詳細なレポートを生成します。

パイプラインベースのコンテナスキャンを有効にする方法

オプション A：事前設定済みのマージリクエスト

• プロジェクトで Secure > セキュリティ設定 に移動します。
• 「コンテナスキャン」の行を見つけます。
• マージリクエストで設定 を選択します。
• 必要な設定を含むマージリクエストが自動的に作成されます。

オプション B：手動設定

• .gitlab-ci.yml に以下を追加します。

include:
  - template: Jobs/Container-Scanning.gitlab-ci.yml

一般的な設定

特定のイメージをスキャンする：

特定のイメージをスキャンするには、container_scanning ジョブの CS_IMAGE 変数を上書きします。

include:
  - template: Jobs/Container-Scanning.gitlab-ci.yml

container_scanning:
  variables:
    CS_IMAGE: myregistry.com/myapp:latest

重大度のしきい値でフィルタリングする：

特定の重大度基準を持つ脆弱性のみを検出するには、container_scanning ジョブの CS_SEVERITY_THRESHOLD 変数を上書きします。以下の例では、重大度が High 以上の脆弱性のみが表示されます。

include:
  - template: Jobs/Container-Scanning.gitlab-ci.yml

container_scanning:
  variables:
    CS_SEVERITY_THRESHOLD: "HIGH"

マージリクエストでの脆弱性の確認

マージリクエスト内でコンテナスキャンの脆弱性を直接確認することで、セキュリティレビューをシームレスかつ効率的に実施できます。CI/CDパイプラインにコンテナスキャンを設定すると、GitLab はマージリクエストのセキュリティウィジェットに検出された脆弱性を自動的に表示します。

• マージリクエストの「セキュリティスキャン」セクションまでスクロールすると、コンテナイメージで新たに検出された脆弱性と既存の脆弱性の概要が確認できます。
• 脆弱性 をクリックすると、重大度レベル、影響を受けるパッケージ、利用可能な修正ガイダンスなど、検出内容の詳細情報にアクセスできます。

この可視性により、開発者とセキュリティチームはコンテナの脆弱性が本番環境に到達する前に発見・対処できるようになり、セキュリティがコードレビュープロセスに統合されます。

脆弱性レポートでの脆弱性の確認

マージリクエストのレビューに加え、GitLab はプロジェクト内のすべてのコンテナスキャン結果を一元的に確認できる脆弱性レポートを提供しており、セキュリティチームに包括的な可視性をもたらします。

• プロジェクトのサイドバーで セキュリティとコンプライアンス > 脆弱性レポート に移動してレポートにアクセスします。
• ここでは、ブランチ全体で検出されたすべてのコンテナ脆弱性が集約されて表示され、重大度、ステータス、スキャナーの種類、特定のコンテナイメージでフィルタリングする強力なオプションが利用できます。
• 脆弱性をクリックすると、脆弱性ページにアクセスできます。

脆弱性の詳細では、影響を受けるコンテナイメージとレイヤーが正確に示されるため、脆弱性の発生源を容易に追跡できます。脆弱性をチームメンバーに割り当て、ステータスを変更（検出済み、確認済み、解決済み、却下済み）し、コラボレーションのためのコメントを追加し、修正作業の追跡のために関連するイシューをリンクすることができます。

このワークフローにより、脆弱性管理がスプレッドシートによる管理から開発プロセスの一部へと変わり、コンテナセキュリティの検出結果が体系的に追跡・優先順位付け・解決されるようになります。

依存関係リストの確認

GitLab の依存関係リストは、コンテナイメージ内のすべてのコンポーネントをカタログ化した包括的なソフトウェア部品表（SBOM）を提供し、ソフトウェアサプライチェーンの完全な透明性をもたらします。

• セキュリティとコンプライアンス > 依存関係リスト に移動すると、プロジェクト全体でコンテナスキャンが検出したすべてのパッケージ、ライブラリ、依存関係のインベントリにアクセスできます。
• このビューは、ベースOSパッケージからアプリケーションレベルの依存関係まで、コンテナ内で実際に稼働しているものを把握するために非常に役立ちます。

パッケージマネージャー、ライセンスの種類、または脆弱性のステータスでリストをフィルタリングすることで、セキュリティリスクやコンプライアンス上の問題をもたらすコンポーネントを素早く特定できます。各依存関係エントリには関連する脆弱性が表示されるため、単独の検出結果としてではなく、実際のソフトウェアコンポーネントのコンテキストでセキュリティの問題を把握できます。

2. レジストリ向けコンテナスキャン

• 機能：latest タグで GitLab コンテナレジストリにプッシュされたイメージを自動的にスキャンします。
• 最適な用途：手動のパイプラインを実行することなく、レジストリイメージの継続的なモニタリングを実施
• 利用可能なプラン：Ultimate のみ
• ドキュメント

latest タグが付いたコンテナイメージをプッシュすると、GitLab のセキュリティポリシーボットがデフォルトブランチに対してスキャンを自動的にトリガーします。パイプラインベースのスキャンとは異なり、このアプローチは継続的脆弱性スキャンと連携して、新たに公開されたアドバイザリーを監視します。

レジストリ向けコンテナスキャンを有効にする方法

1. Secure > セキュリティ設定 に移動します。
2. レジストリ向けコンテナスキャン セクションまでスクロールします。
3. 機能をオンに切り替えます。

前提条件

• プロジェクトのメンテナーロール以上
• プロジェクトが空でないこと（デフォルトブランチに少なくとも1つのコミットが必要）
• コンテナレジストリの通知が設定済みであること
• パッケージメタデータデータベースが設定済みであること（GitLab.com ではデフォルトで有効）

脆弱性は脆弱性レポートの コンテナレジストリの脆弱性 タブに表示されます。

3. マルチコンテナスキャン

• 機能：単一のパイプライン内で複数のコンテナイメージを並行してスキャンします。
• 最適な用途：マイクロサービスアーキテクチャや複数のコンテナイメージを持つプロジェクト
• 利用可能なプラン：Free、Premium、Ultimate（現在ベータ版）
• ドキュメント

マルチコンテナスキャンは動的な子パイプラインを使用してスキャンを並行実行するため、複数のイメージをスキャンする際のパイプライン全体の実行時間を大幅に短縮できます。

マルチコンテナスキャンを有効にする方法

1. リポジトリのルートに .gitlab-multi-image.yml ファイルを作成します。

scanTargets:
  - name: alpine
    tag: "3.19"
  - name: python
    tag: "3.9-slim"
  - name: nginx
    tag: "1.25"

2. .gitlab-ci.yml にテンプレートを追加します。

include:
  - template: Jobs/Multi-Container-Scanning.latest.gitlab-ci.yml

詳細設定

プライベートレジストリからイメージをスキャンする：

auths:
  registry.gitlab.com:
    username: ${CI_REGISTRY_USER}
    password: ${CI_REGISTRY_PASSWORD}

scanTargets:
  - name: registry.gitlab.com/private/image
    tag: latest

ライセンス情報を含める：

includeLicenses: true

scanTargets:
  - name: postgres
    tag: "15-alpine"

4. 継続的脆弱性スキャン

• 機能：パイプラインを実行することなく、新しいセキュリティアドバイザリーが公開された際に自動的に脆弱性を作成します。
• 最適な用途：デプロイ間のプロアクティブなセキュリティモニタリング
• 利用可能なプラン：Ultimate のみ
• ドキュメント

従来のスキャンは、スキャン実行時の脆弱性しか検出できません。しかし、昨日スキャンしたパッケージに対して、明日新しい CVE が公開された場合はどうなるでしょうか。継続的脆弱性スキャンは、GitLab アドバイザリーデータベースを監視し、新しいアドバイザリーがコンポーネントに影響を与える際に自動的に脆弱性レコードを作成することでこの課題を解決します。

仕組み

1. コンテナスキャンまたは依存関係スキャンジョブが CycloneDX SBOM を生成します。
2. GitLab はこの SBOM からプロジェクトのコンポーネントを登録します。
3. 新しいアドバイザリーが公開されると、GitLab はコンポーネントが影響を受けるかどうかを確認します。
4. 脆弱性レポートに脆弱性が自動的に作成されます。

重要な考慮事項

• スキャンは CI パイプラインではなく、バックグラウンドジョブ（Sidekiq）経由で実行されます。
• 新しいコンポーネント検出には、過去14日以内に公開されたアドバイザリーのみが対象となります。
• 脆弱性では「GitLab SBoM Vulnerability Scanner」がスキャナー名として使用されます。
• 脆弱性を解決済みとしてマークするには、引き続きパイプラインベースのスキャンを実行する必要があります。

5. 運用コンテナスキャン

• 機能：スケジュールされた間隔で Kubernetes クラスター内の稼働中のコンテナをスキャンします。
• 最適な用途：デプロイ後のセキュリティモニタリングとランタイム脆弱性の検出
• 利用可能なプラン：Ultimate のみ
• ドキュメント

運用コンテナスキャンは、ビルド時のセキュリティとランタイムセキュリティの間のギャップを埋めます。GitLab Agent for Kubernetes を使用して、クラスター内で実際に稼働しているコンテナをスキャンし、デプロイ後に発生する脆弱性を検出します。

運用コンテナスキャンを有効にする方法

GitLab Kubernetes Agent を使用している場合、エージェント設定ファイルに以下を追加できます。

container_scanning:
  cadence: '0 0 * * *'  # 毎日深夜0時
  vulnerability_report:
    namespaces:
      include:
        - production
        - staging

また、GitLab Kubernetes Agent によるスケジュールスキャンを強制するスキャン実行ポリシーを作成することもできます。

結果の確認

• 運用 > Kubernetes クラスター に移動します。
• エージェント タブを選択し、エージェントを選択します。
• セキュリティ タブを選択してクラスターの脆弱性を確認します。
• 結果は 脆弱性レポート の 運用上の脆弱性 タブにも表示されます。

GitLab セキュリティポリシーによるセキュリティ態勢の強化

GitLab セキュリティポリシーを使用すると、自動化されたポリシー駆動型のコントロールを通じて、コンテナワークフロー全体で一貫したセキュリティ標準を適用できます。これらのポリシーは、要件を開発パイプラインに直接組み込むことでセキュリティをシフトレフトし、コードが本番環境に到達する前に脆弱性を検出・対処できるようにします。

スキャン実行ポリシーとパイプラインポリシー

スキャン実行ポリシーは、プロジェクト全体でコンテナスキャンがいつ・どのように実行されるかを自動化します。すべてのマージリクエストでコンテナスキャンをトリガーし、メインブランチの定期的なスキャンをスケジュールするポリシーなどを定義できます。これらのポリシーにより、各プロジェクトの CI/CD パイプラインで手動でスキャンを設定することなく、包括的なカバレッジが確保されます。

使用するスキャナーのバージョンを指定し、スキャンパラメーターを一元的に設定することで、新しいコンテナセキュリティの脅威に対応しながら組織全体の一貫性を維持できます。

パイプライン実行ポリシーは、コンプライアンス要件に基づいてパイプラインにカスタムジョブを注入（または上書き）するための柔軟なコントロールを提供します。

これらのポリシーを使用して、コンテナスキャンジョブをパイプラインに自動的に注入したり、コンテナの脆弱性がリスク許容度を超えた場合にビルドを失敗させたり、特定のブランチやタグに対して追加のセキュリティチェックをトリガーしたり、本番環境向けコンテナイメージのコンプライアンス要件を適用したりすることができます。パイプライン実行ポリシーは自動化されたガードレールとして機能し、手動操作なしですべてのコンテナデプロイメントにセキュリティ標準が一貫して適用されるようにします。

マージリクエスト承認ポリシー

マージリクエスト承認ポリシーは、コンテナの脆弱性を含むマージリクエストを指定された承認者がレビューし、承認することを要求することでセキュリティゲートを適用します。

重大度の高い脆弱性が検出された場合にマージをブロックするポリシーや、新しいコンテナの検出結果を導入するマージリクエストにセキュリティチームの承認を要求するポリシーを設定できます。これらのポリシーにより、低リスクな変更の開発速度を維持しながら、脆弱性のあるコンテナイメージがパイプラインを通じて進むことを防ぎます。

適切なアプローチの選択

包括的なセキュリティのためには、複数のアプローチを組み合わせることをお勧めします。開発中の問題を検出するためのパイプラインベースのスキャン、継続的なモニタリングのためのレジストリ向けコンテナスキャン、そして本番環境の可視性のための運用スキャンを組み合わせてご活用ください。

今すぐ始める

コンテナセキュリティへの最短ルートは、パイプラインベースのスキャンを有効にすることです。

1. プロジェクトの Secure > セキュリティ設定 に移動します。
2. コンテナスキャンの マージリクエストで設定 をクリックします。
3. 作成されたマージリクエストをマージします。
4. 次のパイプラインに脆弱性スキャンが含まれるようになります。

その後、セキュリティ要件と GitLab のプランに応じて、追加のスキャンの種類を段階的に導入してください。

コンテナセキュリティは一度実施すれば完了するものではなく、継続的なプロセスです。 GitLab の包括的なコンテナスキャン機能を活用することで、ビルドからランタイムまでコンテナライフサイクルのあらゆる段階で脆弱性を検出できます。

GitLab がセキュリティ態勢の強化にどのように役立つかについての詳細は、GitLab セキュリティ & ガバナンス ソリューションページをご覧ください。

それは、コーディングがソフトウェア提供ライフサイクルの20%に過ぎず、残りの80%がボトルネックになっているからです。コードレビューの滞留、セキュリティスキャンの遅れ、ドキュメントの陳腐化、手動の調整作業の増加が、チームの速度を妨げています。

嬉しいことに、個人のコーディングを加速する同じAI機能を使って、チームレベルの遅延も解消できます。コーディングフェーズだけでなく、ソフトウェアライフサイクル全体にAIを適用することが重要です。

以下は、GitLab Duo Agent Platformプロンプトライブラリから厳選した、すぐに使える10のプロンプトです。個人の生産性が向上する一方でチームプロセスの改善が追いついていないときに生じる、よくある障害を乗り越えるために役立ちます。

コードレビューをボトルネックから加速装置へ

AIの支援により開発者はマージリクエストをより速く作成できるようになりましたが、コードレビューのサイクルが数時間から数日に伸びるにつれ、人間のレビュアーはすぐに手に負えなくなります。AIは定型的なレビュー作業を担うことで、レビュアーが基本的な論理エラーやAPI契約違反の発見に時間を取られることなく、アーキテクチャやビジネスロジックに集中できるようにします。

マージリクエストの論理エラーをレビューする

複雑さ: 初級

カテゴリ: コードレビュー

ライブラリのプロンプト:

このMRの論理エラー、エッジケース、潜在的なバグをレビューしてください: [MRのURLまたはコードを貼り付け]

効果: 自動リンターは構文エラーを検出しますが、論理エラーの発見にはコードの意図を理解する必要があります。このプロンプトは、人間のレビュアーがコードを確認する前にバグを検出し、複数回のレビューサイクルを多くの場合1回の承認で完結させます。

マージリクエストの破壊的変更を特定する

複雑さ: 初級

カテゴリ: コードレビュー

ライブラリのプロンプト:

このMRに破壊的変更はありますか？

Changes:
[code diffを貼り付け]

以下を確認してください：
1. APIシグネチャの変更
2. publicメソッドの削除またはリネーム
3. 戻り値の型の変更
4. データベーススキーマの変更
5. 設定の破壊的変更

効果: デプロイ中に破壊的変更が発見されると、ロールバックやインシデントにつながります。このプロンプトにより、その発見をマージリクエストの段階に前倒しできるため、修正がより迅速かつ低コストになります。

セキュリティをシフトレフトしながら速度を落とさないには？

セキュリティスキャンは数百件もの検出結果を生成します。開発者がデプロイの承認を待つ間、セキュリティチームはそれぞれを手動でトリアージしています。検出結果の多くはフォルスポジティブや低リスクの問題ですが、実際の脅威を特定するには専門知識と時間が必要です。AIは実際の悪用可能性に基づいて検出結果を優先順位付けし、一般的な脆弱性を自動修復することで、セキュリティチームが本当に重要な脅威に集中できるようにします。

セキュリティスキャン結果を分析する

複雑さ: 中級

カテゴリ: セキュリティ

エージェント: Duo Security Analyst

ライブラリのプロンプト:

@security_analyst このセキュリティスキャン結果を分析してください:

[スキャン結果を貼り付け]

各検出結果について:
1. 実際のリスクかフォルスポジティブかを評価する
2. 脆弱性を説明する
3. 修復方法を提案する
4. 深刻度で優先順位をつける

効果: セキュリティスキャンの検出結果の多くはフォルスポジティブや低リスクの問題です。このプロンプトはセキュリティチームが本当に重要な検出結果に集中できるようにし、修復にかかる時間を数週間から数日に短縮します。

コードのセキュリティ問題をレビューする

複雑さ: 中級

カテゴリ: セキュリティ

エージェント: Duo Security Analyst

ライブラリのプロンプト:

@security_analyst このコードのセキュリティ問題をレビューしてください:

[コードを貼り付け]

以下を確認してください：
1. インジェクション脆弱性
2. 認証・認可の欠陥
3. データ漏洩リスク
4. 安全でない依存関係
5. 暗号化の問題

効果: 従来のセキュリティレビューはコードが書かれた後に行われます。このプロンプトにより、開発者はマージリクエストを作成する前にセキュリティ問題を発見・修正でき、デプロイを遅らせる往復のやり取りを解消します。

コードの変更に合わせてドキュメントを最新に保つには？

コードはドキュメントよりも速く変化します。ドキュメントが古かったり不足していたりするため、新しい開発者のオンボーディングには数週間かかります。ドキュメントの重要性はチーム全員が理解していますが、締め切りが近づくと常に後回しになります。標準ワークフローの一部としてドキュメントの生成と更新を自動化することで、手動作業を増やすことなくドキュメントを最新の状態に保てます。

マージリクエストからリリースノートを生成する

複雑さ: 初級

カテゴリ: ドキュメント

ライブラリのプロンプト:

マージ済みのこれらのMRのリリースノートを生成してください:
[MRのURL一覧またはタイトルを貼り付け]

以下のカテゴリでグループ化してください:
1. 新機能
2. バグ修正
3. パフォーマンス改善
4. 破壊的変更
5. 非推奨事項

効果: リリースノートを手動でまとめるには数時間かかり、誤りや漏れが生じることもあります。自動生成により、リリースプロセスに負担をかけることなく、すべてのリリースに包括的なノートが揃います。

コード変更後にドキュメントを更新する

複雑さ: 初級

カテゴリ: ドキュメント

ライブラリのプロンプト:

このコードを変更しました:

[コード変更内容を貼り付け]

どのドキュメントを更新する必要がありますか？以下を確認してください:
1. READMEファイル
2. APIドキュメント
3. アーキテクチャ図
4. オンボーディングガイド

効果: ドキュメントの乖離は、コード変更後にどのドキュメントを更新すべきかをチームが忘れることで起きます。このプロンプトにより、ドキュメントのメンテナンスが後回しにされる別タスクではなく、開発ワークフローの一部になります。

計画の複雑さを分解するには？

大規模な機能は計画段階で行き詰まりがちです。チームは作業範囲の定義と依存関係の特定のために何週間も会議を重ねます。複雑さに圧倒され、どこから始めればよいかわからなくなります。AIは複雑な作業を具体的で実装可能なタスクに体系的に分解し、明確な依存関係と受け入れ基準を設定することで、何週間もの計画を集中した実装へと変えます。

エピックをイシューに分解する

複雑さ: 中級

カテゴリ: ドキュメント

エージェント: Duo Planner

ライブラリのプロンプト:

このエピックを実装可能なイシューに分解してください：

[エピックの説明]

以下を考慮してください：
1. 技術的な依存関係
2. 適切なイシューのサイズ
3. 明確な受け入れ基準
4. 論理的な実装順序

効果: このプロンプトにより、1週間分の計画会議が30分のAI支援による分解とチームレビューに変わります。チームはより明確な方向性を持って、より早く実装を開始できます。

工数を増やさずにテストカバレッジを拡大するには？

開発者はコードをより速く書けるようになりましたが、テストが追いつかないとカバレッジが低下してバグが見逃されます。包括的なテストを手動で書くには時間がかかり、締め切りのプレッシャーの下でエッジケースを見落とすことも多くあります。テストを自動生成することで、開発者はゼロから書く代わりにレビューと改善に集中でき、速度を犠牲にすることなく品質を維持できます。

ユニットテストを生成する

複雑さ: 初級

カテゴリ: テスト

ライブラリのプロンプト:

この関数のユニットテストを生成してください：

[関数を貼り付け]

以下のテストを含めてください：
1. 正常系
2. エッジケース
3. エラー条件
4. 境界値
5. 不正な入力

効果: テストを手動で書くには時間がかかり、エッジケースが見落とされることもあります。このプロンプトは数秒で網羅的なテストスイートを生成し、開発者はゼロから書く代わりにレビューと調整に集中できます。

テストカバレッジのギャップをレビューする

複雑さ: 初級

カテゴリ: テスト

ライブラリのプロンプト:

[モジュール/コンポーネント]のテストカバレッジを分析してください：

現在のカバレッジ：[パーセンテージ]

以下を特定してください：
1. テストされていない関数・メソッド
2. カバーされていないエッジケース
3. 不足しているエラーシナリオのテスト
4. テストのない統合ポイント
5. 次にテストすべき優先領域

効果: このプロンプトは、本番インシデントを引き起こす前にテストスイートのブラインドスポットを明らかにします。チームはより重要な箇所から体系的にカバレッジを改善できます。

デバッグ時の平均解決時間を短縮するには？

本番インシデントの診断には数時間かかります。顧客がダウンタイムを経験する中、開発者はログやスタックトレースを調べ続けます。デバッグの1分1分が、生産性と潜在的な収益の損失につながります。AIは複雑なエラーメッセージを解析して具体的な修正案を提示することで根本原因分析を加速し、診断時間を数時間から数分に短縮します。

失敗したパイプラインをデバッグする

複雑さ: 初級

カテゴリ: デバッグ

ライブラリのプロンプト:

このパイプラインが失敗しています：

ジョブ：[ジョブ名]
ステージ：[ステージ]
エラー：[エラーメッセージ/ログを貼り付け]


以下を助けてください:
1. 根本原因を特定する
2. 修正方法を提案する
3. なぜ失敗し始めたかを説明する
4. 同様の問題を防ぐ

効果: CI/CDの失敗はチーム全体をブロックします。このプロンプトは、開発者が通常15〜30分かけて調査する問題を数秒で診断し、デプロイの速度を維持します。

個人の成果からチームの加速へ

これらのプロンプトは、チームがソフトウェア提供にAIを活用する方法の転換を示しています。個人の開発者生産性だけに注目するのではなく、チームの速度を実際に制約している調整・品質・ナレッジ共有の課題に対処します。

プロンプトライブラリには、計画、開発、セキュリティ、テスト、デプロイ、運用といったソフトウェアライフサイクルの全ステージにわたる100以上のプロンプトが収録されています。各プロンプトは複雑さのレベル（初級・中級・上級）でタグ付けされ、ユースケース別に分類されているため、チームに合ったスタート地点を簡単に見つけられます。

まずはチームの最も緊急な課題に対応する「初級」タグのプロンプトから始めましょう。チームが自信をつけるにつれ、より高度なワークフローを実現する中級・上級のプロンプトへと探求の幅を広げてください。目標は単に速いコーディングではなく、計画から本番まで、より速く、より安全で、より高品質なソフトウェア提供の実現です。

セキュリティがコードのスキャンのみを意味するなら、答えはイエスかもしれません。しかし、エンタープライズセキュリティは検出だけできればよいというものではありません。

組織の問いは、AIが脆弱性を発見できるかどうかではありません。それよりもはるかに難しい3つの問題です。

• リリースしようとしているソフトウェアは安全か
• 環境が変化し、依存関係、サードパーティサービス、ツール、インフラが絶えず移り変わる中で、リスク体制は変化したか
• AIやサードパーティのソースによって作成される割合が増えたにもかかわらず、依然として自社が責任を負うコードベースをどのようにガバナンスするか

これらの問いにはプラットフォームとしての答えが必要です。検出はリスクを可視化しますが、次に何をすべきかを決めるのはガバナンスです。

GitLabは、ソフトウェアライフサイクルをエンドツーエンドでガバナンスするために構築されたオーケストレーションレイヤーです。チームがAIを活用した開発スピードに対応するために必要な、ポリシー適用、可視性、監査証跡を実現します。

AIを信頼するにはリスクのガバナンスが必要

AIシステムは脆弱性の特定と修正提案の能力を急速に向上させています。これは重要かつ歓迎すべき進歩ですが、分析は説明責任とは異なります。

AIが独自の裁量で会社のポリシーを適用したり、許容リスクを定義したりすることはできません。エージェントが運用される境界、ポリシー、ガードレールを設定するのは人間です。職務の分離を確立し、監査証跡を確保し、何千ものリポジトリとチーム全体で一貫したコントロールを維持するのも人間の役割です。エージェントへの信頼は自律性だけから生まれるのではなく、人間が設定した明確に定義されたガバナンスから生まれます。

ソフトウェアにおいて、エージェント型AIシステムによる記述・変更がますます増えるエージェント型AIの世界では、ガバナンスの重要性は低下するどころか、むしろ高まります。組織がAIに与える自律性が高まれば高まるほど、ガバナンスはより強固でなければなりません。

ガバナンスは不要な手間ではありません。AIを活用した開発を大規模に信頼できるものにするために必要な基盤です。

LLMはコードを見るが、プラットフォームはコンテキストを見る

大規模言語モデル（LLM）はコードを単体で評価します。一方、エンタープライズのアプリケーションセキュリティプラットフォームはコンテキストを理解します。リスクの判断は次のようなコンテキストに依存するため、この違いは重要です。

• 変更を加えたのは誰か
• そのアプリケーションはビジネスにとってどれほど重要か
• インフラや依存関係とどのように連携しているか
• その脆弱性は本番環境で実際に到達可能なコードに存在するのか、それとも一度も実行されない依存関係に埋もれているのか
• アプリケーションの実行方法、API、その周辺環境を踏まえると、本番環境で実際に悪用可能か

セキュリティの判断はこうしたコンテキストに基づいて行います。コンテキストがなければ、検出はノイズの多いアラートを生み出し、リスクを低減するどころか開発を遅延させます。コンテキストがあれば、組織はトリアージを迅速に行い、リスクを効果的に管理できます。ソフトウェアが変化し続ける中でコンテキストも絶えず変化するため、ガバナンスは一度きりの判断では済みません。

静的スキャンは動的リスクに追いつかない

ソフトウェアのリスクは動的です。依存関係は変わり、環境は変化し、システムはいかなる分析でも完全には予測できない方法で相互作用します。特定時点でのクリーンスキャンでは、リリース時の安全性を保証できません。

エンタープライズセキュリティが依拠するのは継続的な保証です。ソフトウェアのビルド、テスト、デプロイの過程でリスクを評価する、開発ワークフローに直接組み込まれたコントロールが必要です。

検出により洞察が得られます。ガバナンスにより信頼が生まれます。そして、組織の大規模かつ安全なリリースを実現するのが、継続的なガバナンスです。

エージェント型AIの未来をガバナンスする

AIはソフトウェアの作り方を根本から変えつつあります。問われるのはもはや、チームがAIを活用するかどうかではなく、いかに安全にスケールさせるかという点です。

今日のソフトウェアは新規に記述されるのと同じくらい再形成されています。AIが生成したコード、オープンソースライブラリ、何千ものプロジェクトにまたがるサードパーティの依存関係から集められ再構成されているのです。それらすべてのソースにわたってリリースするソフトウェアをガバナンスすることは、アプリケーションセキュリティの中で最も困難かつ重大な部分であり、いかなるデベロッパー向けツールにも対処できない問題です。

インテリジェントなオーケストレーションプラットフォームとして、GitLabはこの問題に対処するために構築されています。GitLab Ultimateは、ソフトウェアの計画、ビルド、リリースが行われるワークフローに、ガバナンス、ポリシー適用、セキュリティスキャン、監査証跡を直接組み込んでいます。これにより、セキュリティチームはAIのスピードに合わせてガバナンスを実現できます。

AIは開発を劇的に加速させるでしょう。そして、AIから最大の恩恵を受けられるのは、最も優秀なアシスタントを持つ組織ではなく、強固なガバナンスを通じて信頼を構築できる組織です。

GitLabが組織によるAI生成のコードのガバナンスと安全なリリースをどのように支援しているかについては、今すぐGitLabにお問い合わせください

関連記事

• AIとDevOpsを統合してセキュリティを強化
• セキュリティリーダーのためのGitLab AIセキュリティフレームワーク
• コンポジットIDでGitLabのAIセキュリティを強化する

多くの組織は、最新のDevSecOpsプラットフォームが必要であることを認識しています。しかし、ビジネスが求めるスピードでソフトウェアを提供しながら、プラットフォームのデプロイ、管理、継続的な最適化を行うリソースが不足しているケースが少なくありません。これはMSPにとって大きなビジネスチャンスであり、GitLabはそれを支援する専用プログラムを用意しました。

このたび、GitLab MSPパートナープログラムを発表いたします。これは、認定を受けたMSPがGitLabをフルマネージドサービスとして顧客に提供できるようにする新しいグローバルプログラムです。

パートナーと顧客にとっての意義

GitLabとして初めて、MSP向けに正式に定義されたグローバルプログラムが誕生しました。明確な要件、体系的なイネーブルメント、専任のサポート、そして実質的な経済的メリットが用意されており、パートナーは安心してGitLabマネージドサービスプラクティスの構築に投資できます。

タイミングも最適です。多くの組織がDevSecOpsへの取り組みを加速させていますが、ソフトウェアの構築とリリースという本来の業務に加えて、複雑な移行、ツールチェーンの拡散、増大するセキュリティ要件への対応に追われているのが現状です。

GitLab MSPパートナーは、デプロイ、移行、管理、継続的なサポートなど、プラットフォーム運用を担当することで、開発チームが本来の業務に集中できる環境を提供します。

MSPパートナーが得られるメリット

経済的メリット：MSPパートナーは、すべての取引、新規ビジネス、更新において、GitLabパートナーマージンに加えてMSPプレミアムを獲得できます。さらに、デプロイ、移行、トレーニング、イネーブルメント、戦略コンサルティングに対して顧客に請求するサービス料の100%を保持できるため、単一のプラットフォームを中心に複数の継続的な収益源を構築できます。

イネーブルメントと教育：バージョンアップデート、新機能、ベストプラクティス、ロードマップの最新情報、ピアシェアリングを網羅した四半期ごとのテクニカルブートキャンプにアクセスできます。推奨されるクラウド認定資格（AWS Solutions Architect Associate、GCP Associate Cloud Engineer）が技術基盤を補完します。

Go-to-Marketサポート：MSPには、GitLab認定MSPパートナーバッジ、共同ブランド資産、顧客事例の共同作成への参加資格、Partner Locatorへの掲載、および認定されたデマンドジェネレーション活動向けのMarketing Development Funds（MDF）へのアクセスが提供されます。

顧客が期待できること

GitLab MSPパートナーと連携する顧客は、体系的なマネージドDevSecOpsエクスペリエンス、文書化された再現可能な実装方法論、定期的なビジネスレビュー、そして明確に定義された応答およびエスカレーションパスを備えたサポートを受けられます。

その結果、開発チームは優れたソフトウェアの構築に集中でき、MSPパートナーがプラットフォームの運用と最適化に注力するという理想的な体制が実現します。

AIを活用した新たなビジネスチャンス

ソフトウェア開発ワークフローにAIを安全に導入したいと考える組織が増えており、経験豊富なチームであっても、大規模な展開には体系的なアプローチが有効です。GitLab MSPパートナーは、より広範なマネージドサービスの一環として、GitLab Duo Agent Platformの導入を顧客に提案できる最適なポジションにあります。

GitLabのDevSecOpsプラットフォームとMSPが提供する運用の専門知識を組み合わせることで、顧客はガバナンスが確保された環境でAI支援ワークフローを試験的に導入し、データレジデンシーとコンプライアンス要件を満たしながら、社内リソースに過度な負担をかけることなくチーム全体でAI導入を拡大できます。

このプログラムはお客さまのビジネスに適していますか

GitLab MSPパートナープログラムは、以下に該当する場合に最適です。

• クラウド、インフラストラクチャ、またはアプリケーション運用のマネージドサービスを既に提供している
• 高付加価値のDevSecOpsをポートフォリオに追加したい
• 最新の開発プラットフォームに関心のある技術人材を擁している、または育成したい
• 単発の取引よりも長期的な顧客関係を重視している

既にGitLab SelectおよびProfessional Servicesパートナーである場合、MSPプログラムは既存の専門知識を再現可能なマネージドサービスに転換するための体系的な方法を提供します。

開始方法

本プログラムは、認定MSPパートナーの指定から開始されます。参加にあたり、最低ARRや顧客数の要件はありません。以下がプログラム参加までの流れです。

1. 適合性の確認 - ハンドブックページに記載されたビジネスおよび技術要件を満たしているか確認します。
2. GitLabパートナーポータルから申請 - ビジネスおよび技術に関するドキュメントを添えて申請を提出します。
3. 90日間のオンボーディングを完了 - 契約、技術イネーブルメント、セールストレーニング、最初の顧客エンゲージメントを網羅した体系的なオンボーディングプログラムです。
4. マネージドサービスの提供を開始 - サービスをパッケージ化し、SLAを設定して、顧客へのエンゲージメントを開始します。

提出された申請は、約3営業日以内に審査されます。

GitLabマネージドサービスプラクティスの構築にご興味がありますか？新規パートナーの方はGitLabパートナーへの申請からお申し込みいただけます。既存パートナーの方は、GitLab担当者にお問い合わせいただき、プログラムの詳細やMSPプラクティスを通じて現在顧客に提供しているソリューションについてお知らせください。

AIコーディングアシスタントは個々のデベロッパーの生産性を向上させましたが、各自の作業はサイロ化しており、開発ワークフロー全体とは切り離されているケースが少なくありません。このような分断により、デベロッパーはツール間でコンテキストを切り替え、AIの提案を手動でコードに反映し、本来であれば自動化できるはずの反復作業に貴重な時間を費やすことを余儀なくされています。

GitLab Duo Agent Platformは、Anthropic社のClaude、OpenAI社のCodexをはじめとする外部AIモデルとのシームレスな統合を実現することで、この問題を解決します。

GitLab Duo Agent Platform内に外部エージェントを作成することで、組織は使い慣れたGitLab環境を維持しながら、自社のニーズ、ワークフロー、基準に合わせてAI機能をカスタマイズできます。これらのエージェントはプロジェクトのコンテキストを把握し、コーディング基準に従い、最初のアイデアから本番対応コードまで、複雑な複数ステップのタスクを自律的に完了できます。

では、以下のデモ動画で実際のユースケースを見ていきましょう。

実際のユースケース

外部エージェントが開発ライフサイクルをどのように変革するか、3つの活用例をご紹介します。

1. アイデアからコードへ

空のプロジェクトと詳細なイシューの説明さえ準備すれば、外部エージェント（ここではClaude）がアプリケーション開発のすべてを担ってくれます。このユースケースでは、イシューのタイトルが目的のアプリケーション（「預金額計算ツール」）を示し、イシューの説明にその仕様が記載されています。

エージェントはコンテキスト（プロジェクト情報、関連アセットなど）を読み取り、イシューに記載された要件を分析した上で、適切なUIコンポーネントを備えたフルスタックのJava Webアプリケーションを生成し、指定された利率でビジネスロジックを実装し、レビュー準備の整ったコードを含むマージリクエストを作成します。

生成されたアプリケーションには、バックエンドのJavaクラス、フロントエンドのHTML/CSS/JavaScriptファイル、ビルド設定が含まれており、すべて元のイシューの仕様に従っています。チームは、このアプリケーションをローカルでテストして機能を確認します。この作業をエージェントとの自然言語による会話を通じて反復します。

2. コードレビュー

品質保証はコード生成で終わりではありません。2つ目のユースケースでは、同じ外部エージェントが自身の作成したアプリケーションの包括的なコードレビューを実施します。マージリクエストのコメントでエージェント宛てにメンションするだけで、コードの強み、重大な問題、中優先度の懸念事項、軽微な改善点、セキュリティ評価、テストに関する注記、コードメトリクス、推奨事項を含む詳細な分析結果が、承認ステータスとともに出力されます。この自動化されたレビュープロセスにより、一貫性が確保され、潜在的な問題を本番環境に到達する前に検出できます。同時に、スキルの高いデベロッパーはルーティン的なコード確認から解放され、アーキテクチャに関する意思決定に集中できるようになります。

3. コンテナイメージビルド用パイプラインの作成

3つ目のユースケースは、デプロイ自動化というよくあるギャップに対応するものです。マージリクエストにCI/CDパイプラインが存在しない場合、外部エージェントに依頼するだけでパイプラインが作成されます。エージェントは、アプリケーションのビルド、プロジェクトのJavaバージョンに合ったベースイメージを使用したDockerfileの作成、Dockerイメージのビルド、GitLabの組み込みコンテナレジストリへのデプロイを行う完全なパイプライン設定を生成します。パイプラインはすべて自動的に実行され、ビルド、Dockerイメージ作成、レジストリへのデプロイの各ステージが順次処理されます。この間、手動設定や手動操作は必要ありません。

まとめ

外部エージェントを活用するGitLab Duo Agent Platformは、組織のソフトウェア開発アプローチを根本から変える存在です。AIツールの孤立化やワークフローの断片化という本質的な問題に対処することで、外部エージェントはチームがすでに使用しているプラットフォームに直接、インテリジェントな自動化をもたらします。Duo Agent Platformでは、AIを別個のコーディングアシスタントとして扱うのではなく、Claudeなどの外部モデルをGitLabのワークフローにシームレスに統合します。これにより、エージェントはプロジェクトの全コンテキストを把握し、組織の基準に従い、開発ライフサイクル全体にわたる複雑なタスクを自律的に処理できます。

その価値は明確です。開発チームはデリバリーのタイムラインを短縮し、一貫したコード品質を維持し、反復作業を削減することで、スキルの高いエンジニアがルーティン作業ではなくイノベーションに集中できる環境を実現できます。イシューの説明に基づく本番対応コードの生成から、徹底的なコードレビューの実施、デプロイパイプラインの自動化までを担う外部エージェントは、組織固有のニーズと基準を理解した、頼れる協働パートナーになります。

ソフトウェア開発ライフサイクル全体を通じて、より速く、より高い品質でプロダクトを届けたい方は、ぜひGitLab Duo Agent Platformをお試しください。また、「GitLab Duo Agent Platformを始める：完全ガイド」もあわせてご活用ください。

アカウントにパスキーを登録するには、プロフィール設定にアクセスし、アカウント > 認証管理を選択してください。

パスキーはWebAuthn技術と、秘密鍵と公開鍵で構成される公開鍵暗号化を使用しています。秘密鍵はデバイス上に安全に保存され、決して外部に送信されることはありません。一方、公開鍵はGitLabに保存されます。仮にGitLabが侵害されたとしても、攻撃者は保存された認証情報を使用してアカウントにアクセスすることはできません。パスキーは、デスクトップブラウザ（Chrome、Firefox、Safari、Edge）、モバイルデバイス（iOS 16以降、Android 9以降）、FIDO2ハードウェアセキュリティキーで動作し、複数のデバイスにパスキーを登録して便利にアクセスできます。

GitLabはCISA Secure by Design Pledgeに署名し、セキュリティ対策状況の改善とお客様がより迅速に安全なソフトウェアを開発できるよう支援することをコミットしています。この誓約の主要な目標の一つは、製造業者の製品全体で多要素認証（MFA）の使用を拡大することです。パスキーはこの目標の重要な要素であり、GitLabへのサインインをより安全で便利にするシームレスでフィッシング耐性のあるMFA方法を提供します。

ご質問がある場合、体験を共有したい場合、または潜在的な改善についてチームと直接やり取りしたい場合は、フィードバックイシューをご覧ください。

現在ベータ版として提供中の2つの新しいGitLab機能は、異なる角度からこの課題に取り組みつつ、同じ目標を共有しています。それは、サードパーティツールを追加することなく、CI/CDインフラストラクチャを直接制御できるようにすることです。1つはパイプラインの監視画面でジョブレベルのパフォーマンスデータを表示する機能、もう1つはビルトインキャッシュを活用して複数のレジストリからコンテナイメージをプルする作業を簡素化する機能です。

どちらの機能も現在フィードバックを受け付けています。皆さまのご意見が、今後のリリース内容を形作る重要な要素となります。

CI/CDジョブパフォーマンスメトリクス

• 対象プラン： GitLab Premium、GitLab Ultimate
• ステータス： GitLab.comでは限定公開ベータ版として提供中。GitLab Self-ManagedおよびGitLab Dedicatedでは、ClickHouseの設定後に利用可能

現状では、特定のジョブの実行時間が増加し始めたタイミングや、パイプラインの実行時間を密かに低下させているジョブを簡単に確認する方法がありません。多くのチームは、以下のような基本的な疑問に答えるために、カスタムダッシュボードを構築するか、ログを手動で調査しています。

• 最も遅いジョブはどれか
• 失敗率が上昇しているのはどこか
• 本当のボトルネックはどのステージか

CI/CDジョブパフォーマンスメトリクスは、プロジェクトレベルのCI/CD分析ページにジョブに特化した新しいパネルを追加することで、この課題を解決します。

パイプライン内の各ジョブについて、以下の情報を確認できます。

• 標準的な実行時間（P50、中央値）と最悪ケースの実行時間（P95）により、通常の実行と最も遅い実行を素早く比較可能
• 失敗率の表示により、不安定なジョブやフレーキーなジョブを特定可能
• ジョブ名とステージ（デフォルトで過去30日間のデータを表示）

テーブルはソート、ジョブ名での検索、ページネーションに対応しており、プラットフォームチームは、従来は別々のツールやカスタムレポートが必要だった疑問に対して、単一のビューで回答を得られます。

今すぐお試しください

• プロジェクトに移動し、分析 > CI/CD分析を選択してください。
• CI/CDジョブパフォーマンスメトリクスパネルを探し、実行時間や失敗率でソートして、最も遅いジョブや信頼性の低いジョブを見つけてください。

ドキュメント

• CI/CD分析 – CI/CDジョブパフォーマンスメトリクス

今後の予定

ステージレベルのグルーピング機能の開発を進めており、ビルド、テスト、デプロイの各ステージにわたる集計メトリクスを表示し、最適化に注力すべきポイントを素早く把握できるようになります。

フィードバックをお寄せください：

• CI/CDジョブパフォーマンスメトリクスのエピック

コンテナバーチャルレジストリ

対象プラン： GitLab Premium、GitLab Ultimate ステータス： ベータ版、18.9でAPI対応

CI/CDパイプラインにコンテナイメージをプルする多くの組織は、Docker Hub、Harbor、Quay、社内レジストリなど、複数のレジストリに依存しています。これらすべてにわたる認証、可用性、キャッシュの管理は、パイプラインの速度低下や脆弱性の原因となる運用上のオーバーヘッドです。

コンテナバーチャルレジストリを使用すると、ビルトインキャッシュを備えた単一のGitLabエンドポイントを作成し、複数のアップストリームコンテナソースからプルできるようになります。

パイプライン設定で各レジストリの認証情報や可用性を個別に構成する代わりに、以下のことが可能です。

• パイプラインを1つのGitLabバーチャルレジストリエンドポイントに向ける
• 複数のアップストリームレジストリ（Docker Hub、Harbor、Quay、および長期トークン認証を使用するその他のレジストリ）を設定する
• GitLabがイメージプルを自動的に解決し、プルスルーキャッシュにより帯域幅コストの削減と信頼性の向上を実現

GitLabをコンテナレジストリの代替として評価しているチームにとって、これは重要な機能ギャップを埋めるものです。すでにマルチレジストリのコンテナワークフローを管理しているチームにとっては、イメージ管理をGitLabに集約し、重複するプルを削減できます。

現在のベータ版でサポートされている機能

• 長期トークン認証を使用するアップストリームレジストリ：Docker Hub、Harbor、Quay、およびその他の互換性のあるレジストリ
• プルスルーキャッシュにより、よく使用されるイメージは初回プル後にGitLabから提供
• APIファーストの設定（UI管理は開発中）

IAM認証を必要とするクラウドプロバイダーのレジストリ（Amazon Elastic Container Registry、Google Artifact Registry、Azure Container Registryなど）は、今後のイテレーションでの対応を検討中です。

今すぐお試しください

• コンテナバーチャルレジストリは18.9でAPI対応済みです。
• SaaS（GitLab.com）：CSMにご連絡いただくか、以下のフィードバックイシューにコメントして、グループの機能フラグを有効にするようリクエストしてください。
• Self-Managed：機能フラグを有効にし、APIを使用してバーチャルレジストリを設定してください。

ドキュメント

• コンテナバーチャルレジストリAPI
• バーチャルレジストリからコンテナイメージをプルする

コンテナバーチャルレジストリベータ版のウォークスルーをご覧ください：

フィードバックをお寄せください：

• コンテナバーチャルレジストリのフィードバックイシュー

重要な機能の開発にご協力ください

GitLabコミュニティの全員がコントリビューターです。これらのベータ版は、コミュニティからのリクエストに基づいて開発されました。

• CI/CDジョブパフォーマンスメトリクスは、ビルド時間が悪化し始めたタイミングや、パイプラインの信頼性を損なっているジョブを簡単に確認する方法がなかったチームからの要望に基づいています。
• コンテナバーチャルレジストリは、複数のレジストリを管理し、ツールの乱立や帯域幅コストを削減しながら、GitLabを中央レジストリとして評価しているエンタープライズのお客様からの要望に基づいています。

皆さまのフィードバックが、次に開発する機能を形作ります。これらのベータ版の一方または両方をお試しいただき、リンク先のフィードバックイシューでご体験を共有してください。

これは、今年を通じてハイライトしていく予定のCore DevOpsベータ版シリーズの第1弾です。今後もさらに多くの機能が登場する予定ですので、皆さまのご協力により、できる限り有用なものにしていきたいと考えています。

現在メタデータの署名に使用されているキーのフィンガープリントはF640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3Fで、2026年2月27日に期限切れとなる予定でしたが、2028年2月6日まで延長されました。

なぜ有効期限を延長するのですか

リポジトリメタデータ署名キーの有効期限は、GitLabのセキュリティポリシーに準拠し、キーが侵害された場合の影響を制限するために定期的に延長されています。新しいキーへのローテーションではなく有効期限の延長を行うのは、ユーザーへの影響を最小限に抑えるためです。ローテーションを行った場合、すべてのユーザーが信頼済みキーを置き換える必要があります。

何をすればいいですか

2026年2月17日より前にお使いのマシンでGitLabリポジトリを既に設定している場合は、新しいキーの取得と追加方法に関する公式ドキュメントをご確認ください。

新規ユーザーの方は、GitLabインストールページまたはgitlab-runnerインストールドキュメントに従っていただく以外に、特別な対応は必要ありません。

リポジトリメタデータ署名の検証に関する詳細情報は、Omnibusドキュメントでご確認いただけます。公開キーのコピーを更新する必要がある場合は、support@gitlab.comで検索するか、キーID F640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3Fを使用して、任意のGPGキーサーバーで見つけることができます。

または、次のURLを使用してpackages.gitlab.comから直接ダウンロードすることも可能です：https://packages.gitlab.com/gpg.key

さらにサポートが必要な方は

omnibus-gitlabイシュートラッカーでイシューを作成してください。