株式会社日立プラントサービスでは、産業プラントや水インフラ、ライフサイエンス分野において、お客さまのデータから価値を創出し、デジタルイノベーションを加速するための、日立の先進的なデジタル技術を活用したソリューション・サービス・テクノロジーである「Lumada」を推進しています。

株式会社日立プラントサービスの挑戦

同社では、開発現場において、「人財強化」、「品質向上・維持」、「国内での情報管理」、「開発プロセス標準化」という4つの課題に直面していました。プロジェクトごとに異なるツールが乱立することで教育コストが増大し、セキュリティチェックの属人化による品質のバラつきも懸念されていました。また、生産性向上のカギを握る生成AI活用では、医療データや重要インフラ情報などの機微情報を扱う事業特性上、データを社外や海外へ送信することに強い懸念があり、導入の大きな足かせとなっていました。

GitLabの活用方法

同社は、これらの課題解決に取り組むため、開発基盤にGitLabを選定。開発の最適化とAI活用、情報管理の徹底という3つのポイントを重視し、担当者個人の生産性向上に加えてプロセス全体を最適化し、さらに機微情報の海外流出を確実に防げる仕組みであることを評価しました。パートナーに選定したグループのITサービス企業である株式会社日立システムズは、統合運用サービスで培ったノウハウをGitLabへと展開し、次世代型の開発基盤を構築。開発現場で利用されていた複数のツールをGitLabへと一本化しました。こうして開発プロセスの標準化を図るとともに、教育コストを低減し、組織全体でスムーズにノウハウを共有できるようになりました。

中でも、高度なセキュリティ／コンプライアンスを備えながら、先進的なAIを活用できるようにしたアーキテクチャはグループ内外で高く評価されました。新たな開発基盤は、国内リージョンのAWS環境でSelf-Managed版のGitLabを稼働させ、生成AIのClaudeと連携しています。これにより、パブリッククラウドを使ってもデータを国内にとどめ、セキュアな状態で活用できるローカルLLM環境を実現しました。さらに、GitLabのAI機能であるGitLab Duoを採用し、高い機密性のもとでコードレビューの自動化やコード提案、チャット機能による開発支援が可能になりました。CI/CDパイプラインには自動セキュリティスキャンを実装。AIとDevSecOps環境を最大限に活用することで、開発スピードを高めながら脆弱性を早期発見できるようになったのです。

今後は、AIコーディングを開発ライフサイクル全体へと本格導入し、開発者の負担軽減と組織全体の生産性を大幅に向上させる計画です。大切なのは、単なるツールの導入で終わらせないこと。現場の要望に合わせて環境設計を行い、定着化に向けた勉強会や問い合わせ対応などの運用支援を含め、組織に新しい文化を浸透させながら、開発現場のモダナイズを進めていきたい考えです。

両社は、この新たな開発基盤の成功をグループ全体へと横展開し、高品質なデジタルサービスを通じて、お客さまとの価値協創をさらに加速させる方針です。

*本内容は2025年11月当時の情報をもとに制作しております

▶️事例PDFを無料でダウンロードする

GitLab 18.11リリースノート

2026年4月16日、GitLab 18.11が以下の機能とともにリリースされました。

また、すべてのコントリビューターの皆さまに感謝申し上げます。今月の注目コントリビューターもご紹介します。

今月の注目コントリビューター：Rinku Cさん

Rinku Cさんは、2025年9月の参加以降、GitLab全体で80件以上の改善をマージしたレベル4コントリビューターです。

Developer Relationsチームのシニアフルスタックエンジニア、Arianna Haradonさんの推薦により、今回の表彰が実現しました。この賞は、長期にわたるRinkuさんの持続的かつ意義あるインパクトを称えるものです。Rinkuさんは、プロジェクトおよびグループアクセストークンの作成フォームにスコープを必須とすることでセキュリティに敏感なフローを強化し、ジョブログのnext/previousナビゲーション、空の検索を最近の検索から除外する改善、ファイルツリーの整理など、日常的なGitLab体験を向上させる数多くのアップデートを行いました。これらはすべて、一般的なワークフローをより明確で使いやすくするためのUIの改善です。Rinkuさんは、誰も手を付けないような作業にも積極的に取り組み、コードベースの健全性を保ち、意義ある持続的な価値をもたらしています。コントリビュートに感謝します！

主要な機能

脆弱性修正がGitLab Duo Agent Platformで一般提供開始

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated
• リンク： ドキュメント | 関連イシュー

エージェント型SASTの脆弱性修正機能が、GitLab 18.11のGitLab Duo Agent Platformで一般提供開始（GA）となりました。SASTスキャンの一環として、SAST誤検知の検出後、または個別のSAST脆弱性に対して手動でトリガーした場合に実行されます。

エージェント型SAST脆弱性修正の特長：

• 検出内容を自律的に分析し、周辺のコードコンテキストを推論します。
• 重大度が「重大」および「高」のSAST脆弱性に対して、提案されたコード修正を含むレビュー可能なマージリクエストを自動作成します。
• 品質評価を提供し、レビュアーが提案された修正に対する信頼度を素早く把握できます。
• 脆弱性詳細ページから直接修正を適用できます。

フィードバックはイシュー585626にてお待ちしています。

GitLabデータ分析基本エージェントが一般提供開始

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated
• リンク： ドキュメント | 関連エピック

データ分析エージェントはAIチャットアシスタントで、GitLabプラットフォーム全体のデータをクエリ、可視化し、インサイトを導き出せます。

GitLab Query Language（GLQL）を基盤として、サポート対象のデータソースに関するデータを取得・分析し、ソフトウェア開発の健全性やエンジニアリング効率について明確で実用的なインサイトを提供します。

これらのインサイトはエージェントの出力内で直接可視化でき、イシューやエピックに埋め込んでさらに評価できます。

CIエキスパートエージェントがベータ版として公開

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連イシュー

AIを活用したCIエキスパートエージェントがベータ版として利用可能になりました。このエージェントは、空の.gitlab-ci.ymlからではなく、GitLab上のコードを基に、最初の動作するパイプラインを作れるよう支援します。

GitLab Duo Agent Platformを使用してリポジトリを検査した後、ビルドやテストプロセスについていくつかのガイド付き質問を行います。その結果をもとに、レビュー・編集・コミットが可能なすぐに実行できるパイプラインを生成します。

パイプラインの作成が会話形式のコンテキストに沿った体験になると同時に、YAMLを本格的に調整・最適化したい段階になれば、すべてを自分で制御できます。

脆弱性の重大度が自動オーバーライド可能に

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

脆弱性のデフォルト重大度は、必ずしも組織の実際のリスクを反映しているわけではありません。たとえば、内部専用サービスにおける重大なCVEが、公開アプリケーションと同じ緊急度で対応すべきとは限りません。それにもかかわらず、チームは自社のリスクモデルに合わない検出結果のトリアージに多くの時間を費やしています。

脆弱性管理ポリシーにより、CVE ID、CWE ID、ファイルパス、ディレクトリなどの条件に基づいて脆弱性の重大度を自動調整できるようになりました。ポリシーが適用されると、デフォルトブランチ上の条件に一致する脆弱性の重大度が更新されます。手動によるオーバーライドは引き続き優先され、すべての変更は脆弱性の履歴と監査イベントに記録されます。

トリアージ作業を削減し、ビジネスにとって最も重要な検出結果にデベロッパーが集中できるようにします。

サブグループおよびプロジェクトでサービスアカウントの作成が可能に

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

サブグループおよびプロジェクトでサービスアカウントを作成できるようになりました。トップレベルグループの広範なボットの代わりに、単一のサブグループまたはプロジェクトに専用のサービスアカウントを関連付け、そのネームスペースの他のメンバーと同様にアクセスを管理できます。グループおよびサブグループのサービスアカウントは、作成されたグループまたはその配下のサブグループやプロジェクトに招待できます。プロジェクトサービスアカウントは、そのプロジェクト内に限定されます。

サービスアカウントがGitLab Freeで利用可能に

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

サービスアカウントがGitLab.comのすべてのプランで利用可能になりました。以前はPremiumおよびUltimateに限定されていたサービスアカウントにより、個々のチームメンバーに認証情報を紐付けることなく、自動化されたアクション、データアクセス、スケジュール処理を実行できます。チームの変更に関係なく認証情報を安定的に維持する必要があるパイプラインやサードパーティのインテグレーションで広く使用されています。GitLab Freeでは、トップレベルグループごとに最大100個のサービスアカウント（サブグループやプロジェクトで作成されたものを含む）を作成できます。

詳細制限付きパーソナルアクセストークンが利用可能に（ベータ版）

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

詳細権限付きパーソナルアクセストークン（PAT）がベータ版として利用可能になりました。従来のPATはユーザーが所属するすべてのプロジェクトとグループへのアクセスを付与しますが、詳細権限付きPATでは各トークンのアクセス先を特定のリソースやアクションに絞り込めます。万が一トークンが漏洩・侵害された場合の影響範囲を大幅に縮小できます。

既存のPATはこれまでどおり動作し、詳細権限なしのレガシーPATも引き続き作成できます。

今回のベータリリースではGitLab REST APIの約75%をカバーしています。REST APIの完全なカバレッジ、GraphQLの適用、管理者によるポリシーコントロールはGAリリースで対応予定です。

フィードバックはエピック18555にてお待ちしています。

セキュリティダッシュボードにトップCWEチャートを追加

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

新しいセキュリティダッシュボードでトップCWEチャートが利用可能になりました。プロジェクトまたはインスタンス全体で最も一般的なCWEを特定し、トレーニング、改善、プログラムの最適化の機会を見つけられます。ダッシュボードデータを重大度別にグループ化したり、重大度、プロジェクト、レポートタイプでフィルタリングできます。

KubernetesへのGitalyデプロイ

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連イシュー

完全にサポートされたデプロイ方法として、Kubernetes上にGitalyをデプロイできるようになりました。Kubernetesのオーケストレーション機能を活用したスケーリング、高可用性、リソース管理により、GitLabインフラストラクチャの管理の柔軟性が向上します。以前は、Kubernetesへのデプロイにはカスタム構成が必要で公式サポートがなかったため、コンテナ化された環境で信頼性の高いGitalyクラスターを維持することが困難でした。

マージリクエストパイプラインの手動実行時にインプットを再設定可能に

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連イシュー

CI/CDインプットを使うと、パイプラインの実行時にパラメータ値を変更して動作をカスタマイズできます。これまでこの機能はマージリクエスト（MR）パイプラインでは利用できませんでしたが、今回のリリースでMRパイプラインにも対応しました。

MRパイプライン向けにインプットを設定した後、マージリクエストの新しいパイプラインを実行するたびに、インプットを変更してパイプラインの動作を変更できます。

Agent Platformの中核機能

GitLab Duo Agentic Chatのデフォルトモデルがhaiku 4.5からSonnet 4.6に更新

• 利用可能プラン： Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated
• リンク： ドキュメント | 関連イシュー

GitLabのAgentic Chat体験を向上させるアップデートを行いました。Agentic ChatのデフォルトモデルがVertex AIでホストされるClaude Haiku 4.5からClaude Sonnet 4.6にアップグレードされました。Claude Sonnet 4.6は推論と応答品質が向上していますが、Haiku 4.5と比べてGitLabクレジット消費量が多くなります。

モデル選択設定から、Haikuを含む代替モデルを選択できます。すでに特定のモデルを選択している場合、その選択は維持されます。このアップデートはデフォルトのみに影響し、既存の選択を上書きしません。モデルごとのクレジット消費量の詳細については、GitLabクレジットのドキュメントをご確認ください。

カスタムフロー定義でツールを設定可能に

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連イシュー

カスタムフロー定義内でツールオプションとパラメータ値を直接設定し、LLMのデフォルト値を上書きできるようになりました。カスタムフロー内でのツールの動作をより正確かつ一貫して制御でき、ガードレールや特定のパラメータ値の適用が容易になります。

Mistral AIがGitLab Duo Agent Platformのセルフホストモデルとして利用可能に

• 利用可能プラン： Premium、Ultimate
• 提供形態： GitLab Self-Managed
• リンク： ドキュメント | 関連イシュー

GitLab Duo Agent Platformが、セルフホストモデルデプロイ向けのLLMプラットフォームとしてMistral AIをサポートしました。GitLab Self-Managedをご利用のお客様は、既存のサポート対象プラットフォーム（AWS Bedrock、Google Vertex AI、Azure OpenAI、Anthropic、OpenAI）と並行してMistral AIを設定できます。AI機能の運用方法の選択肢がさらに広がりました。

スケールとデプロイ

GitLabクレジットダッシュボードで過去の月を表示可能に

• 利用可能プラン： Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連イシュー

カスタマーポータルのGitLabクレジットダッシュボードで、過去の請求月を遡って確認できるようになりました。請求管理者は日々の使用状況の推移や期間ごとの消費パターンを比較し、請求書の内容と照らし合わせて確認できます。以前はダッシュボードに当月の請求月のみが表示されていました。この改善により、管理者はクレジット配分についてより的確な判断を行い、過去のデータに基づいて将来のニーズを予測できます。

GitLabクレジットのサブスクリプションレベル使用量上限の設定

• 利用可能プラン： Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント

管理者がサブスクリプションレベルでオンデマンドクレジットの月間使用量上限を設定できるようになりました。オンデマンドクレジットの消費総量が設定された上限に達すると、そのサブスクリプションのすべてのユーザーに対してGitLab Duo Agent Platformへのアクセスが自動的に一時停止され、次の請求期間の開始時または管理者が上限を調整するまで継続されます。この設定により、予期しない超過料金に対する確実なガードレールを提供し、Agent Platformのより広範な展開における主要な障壁を取り除きます。上限は請求期間ごとに自動的にリセットされ、管理者には上限到達時にメール通知が送信されます。

ユーザーごとのGitLabクレジット上限の設定

• 利用可能プラン： Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント

管理者が請求期間ごとにGitLabクレジットのユーザーごとの使用量上限をオプションで設定できるようになりました。個々のユーザーの総クレジット消費量が設定された上限に達すると、そのユーザーのみGitLab Duo Agent Platformへのアクセスが一時停止されます。他のユーザーは影響を受けません。特定のユーザーが組織全体のクレジットを偏って消費することを防ぎ、管理者が使用量の配分をきめ細かく制御できます。ユーザーごとの使用量上限はサブスクリプションレベルの使用量上限と連動し、先に到達した上限が適用されます。

Linuxパッケージの改善

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed
• リンク： ドキュメント | 関連イシュー

GitLab 19.0では、PostgreSQLの最低サポートバージョンがバージョン17になります。この変更に備えて、PostgreSQLクラスターを使用していないインスタンスでは、GitLab 18.11へのアップグレード時にPostgreSQL 17への自動アップグレードが試行されます。

PostgreSQLクラスターを使用している場合、またはこの自動アップグレードをオプトアウトする場合は、GitLab 19.0にアップグレードするためにPostgreSQL 17に手動でアップグレードする必要があります。

コンテナレジストリメタデータデータベースのバックアップとリストアのサポート

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed
• リンク： ドキュメント | 関連イシュー

Linuxパッケージインストール向けのGitLabバックアップRakeタスクと、Cloud Native（Helm）インストール向けのbackup-utilityが、コンテナレジストリメタデータデータベースに対応しました。メタデータデータベースに格納されているblob、manifest、タグなどのデータへの参照をバックアップでき、悪意のあるまたは偶発的なデータ破損からの復旧が可能になります。

検索のグループ向け新しいナビゲーション体験

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

検索のグループ一覧が改善され、GitLabインスタンス全体でのグループの発見が容易になりました。再設計されたインターフェースでは、2つのビューを持つタブレイアウトを採用しています。

• アクティブタブ： アクセス可能なすべてのグループを閲覧し、関連するコミュニティやプロジェクトを発見できます。
• 非アクティブタブ： アーカイブされたグループや削除保留中のグループを表示し、グループのライフサイクルステータスを確認できます。

これらの変更により、グループの発見が効率化され、参加可能なグループの可視性が向上します。

プロジェクトの非同期転送

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

以前のバージョンのGitLabでは、大規模なグループやプロジェクトの転送がタイムアウトになることがありました。今回、転送・アーカイブ・削除などの操作に統一された状態管理モデルを導入したことで、動作の一貫性が向上し、状態履歴や監査詳細の可視性が改善されました。また、転送処理が非同期化され、長時間の操作でもタイムアウトが発生しにくくなっています。

統合DevOpsとセキュリティ

ClickHouseがSelf-Managedデプロイで一般提供開始

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated
• リンク： ドキュメント | 関連イシュー

GitLab Self-Managedインスタンス向けに、GitLab ClickHouseインテグレーションの推奨事項と設定ガイダンスが改善されました。独自のクラスターを持ち込むか、ClickHouse Cloud（推奨）セットアップオプションを使用できます。このインテグレーションは複数のダッシュボードを支え、アナリティクス領域内のさまざまなAPIエンドポイントへのアクセスを提供します。

このスケーラブルで高パフォーマンスなデータベースは、GitLabアナリティクスインフラストラクチャにおける大規模なアーキテクチャ改善計画の一環です。

Duo・SDLCトレンドダッシュボードでのGitLab Duo Agent Platformアナリティクスの強化

• 利用可能プラン： Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated
• アドオン： Duo Pro、Duo Enterprise
• リンク： ドキュメント | 関連エピック

GitLab DuoおよびSDLCトレンドダッシュボードが改善され、ソフトウェアデリバリーへのGitLab Duoの影響を測定するためのアナリティクス機能が強化されました。月間Agent Platformユニークユーザー数とAgentic Chatセッション数の新しいシングルスタットパネルが追加されました。また、シート割り当てに対する使用率（%）として表示されていたメトリクスが、使用回数のみを報告するように更新されました。この変更により、新しい使用量課金モデルのAgent Platform使用量が反映されていなかった問題が解消されます。

GLQLがプロジェクト、パイプライン、ジョブのデータソースにアクセス可能に

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated
• リンク： ドキュメント

GitLab Query Language（GLQL）が3つの新しいデータソース（プロジェクト、パイプライン、ジョブ）にアクセスできるようになりました。これらの新しいデータソースは埋め込みビューとしても利用でき、パイプライン結果、ジョブステータス、プロジェクト概要をWiki、イシューやマージリクエストの説明、リポジトリのMarkdownファイルに直接表示できます。GLQLはデータ分析エージェントの基盤でもあり、これらの新しいタイプにより、エージェントはCI/CDジョブの結果の検査、障害のデバッグ、パイプライン実行の詳細な概要の提供、およびネームスペース内のプロジェクトの正確な概要の提供が可能になります。

MavenおよびPythonのSBOMスキャンにおける依存関係の解決

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

SBOMを使用したGitLabの依存関係スキャンが、MavenおよびPythonプロジェクトの依存関係グラフの自動生成に対応しました。以前は、正確な依存関係分析にはロックファイルまたはグラフファイルの提供が必要でした。今回の改善により、これらのファイルが利用できない場合はアナライザーが自動的に生成を試みるようになり、MavenおよびPythonプロジェクトでロックファイルなしでも依存関係スキャンを有効にしやすくなりました。

高度なSASTのインクリメンタルスキャン

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

GitLab高度なSASTで、コードベースの変更された部分のみを分析するインクリメンタルスキャンが可能になりました。リポジトリ全体のスキャンと比較してスキャン時間が大幅に短縮されます。この機能は差分ベースのスキャンをさらに進化させたもので、コードベース全体の完全な結果を生成します。

変更されたコードのみをスキャンすることで、速度を犠牲にしたり摩擦を増やしたりすることなく、セキュリティテストを開発ワークフローにシームレスに統合できます。

未検証の脆弱性（ベータ版）

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

高度なSASTが、未検証の脆弱性（ソースからシンクまで完全にトレースできない検出結果）を脆弱性レポートに直接表示できるようになりました。検出漏れ（偽陰性）よりも誤検出（偽陽性）が多くなることを許容できる場合には、この機能を有効にしてください。

この機能はベータ版です。フィードバックはイシュー596512にてお待ちしています。

Kubernetes 1.35のサポート

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連イシュー

GitLabがKubernetesバージョン1.35を正式にサポートしました。アプリケーションをKubernetesにデプロイしてすべての機能にアクセスするには、接続されたクラスターを最新バージョンにアップグレードしてください。詳細については、GitLabの機能でサポートされているKubernetesのバージョンをご確認ください。

コンテナレジストリ メタデータ データベースのpreferモード

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed
• リンク： ドキュメント | 関連イシュー

コンテナレジストリ メタデータ データベースをpreferモードに設定できるようになりました。これは、既存のtrueおよびfalseの値に加わる新しい設定オプションです。preferモードでは、レジストリがインストールの現在の状態に基づいて、メタデータデータベースを使用するかレガシーストレージにフォールバックするかを自動的に検出します。

データベースにインポートされていない既存のファイルシステムメタデータがある場合、メタデータのインポートが完了するまでレガシーストレージが引き続き使用されます。データベースがすでに使用されている場合、または新規インストールの場合は、レジストリがデータベースを直接使用します。

今後のリリースで、preferモードは新規Linuxパッケージインストールのデフォルトになる予定です。既存のインストールには影響しません。詳細については、イシュー595480をご確認ください。

パッケージ保護ルールがTerraformモジュールに対応

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連イシュー

これまで、ビルトインのGitLab Terraformモジュールレジストリからモジュールを公開しているチームには、新しいモジュールバージョンのプッシュを制限する手段がありませんでした。パッケージ保護ルールは複数のパッケージ形式に対応していたものの、terraform_moduleは対象外だったため、インフラストラクチャチームはプロジェクトレベルでプッシュを制御できませんでした。

今回、terraform_moduleを対象としたパッケージ保護ルールを作成できるようになり、最小ロールに基づいてプッシュアクセスを制限できます。この機能はUI、REST API、GraphQL API、GitLab Terraformプロバイダーリソースから利用できます。

リリースエビデンスにパッケージが含まれるように

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連イシュー

GitLabリリースの作成時、パッケージレジストリに公開されたパッケージは自動的にリリースに関連付けられませんでした。チームはパッケージURLを手動で構築し、APIやパイプラインスクリプトを通じてリリースリンクとして添付する必要があり、手間がかかるうえ不完全なリリースレコードのリスクがありました。

パッケージのバージョンがリリースタグと一致する場合、GitLabがリリースエビデンスにパッケージを自動的に含めるようになりました。手動の手順なしにリリースと関連パッケージ間の検証可能で監査可能なリンクが作成され、ソースコード、アーティファクト、パッケージが1つの完全なリリーススナップショットにまとめられます。

Wikiサイドバートグルの位置変更によるアクセス性向上

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連イシュー

Wikiサイドバートグルが、制御対象のサイドバーのすぐ横の左側に配置されるようになりました。

サイドバーが折りたたまれている場合でも、フローティングコントロールとしてトグルが表示されたままになるため、ページの先頭までスクロールすることなく再度開けます。

Wikiページのアクションバーが固定表示に

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連イシュー

Wikiページのアクションバーが固定表示されるようになり、ページをスクロールしても常に画面上に表示されます。以前は、編集やページ履歴の表示、テンプレートの管理などにアクセスするにはページの先頭までスクロールする必要がありました。ページタイトルと主要なアクション（編集、新しいページ、テンプレート、ページ履歴など）が、ページのどこにいても手の届く場所に表示されます。

エピックのウェイト

• 利用可能プラン： Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

エピックがウェイトに対応し、計画時に大規模なイニシアティブの見積もりと優先順位付けが容易になりました。

エピックを子イシューに分解する前に、初期見積もりを表す暫定ウェイトを割り当てられます。エピックを分解すると、すべての子イシューからのロールアップ合計を反映してウェイトが自動的に更新されます。これは、イシューやタスクのウェイトロールアップの動作と一貫しています。

エピック詳細ページでは、暫定ウェイトと子イシューからのロールアップウェイトの両方を確認でき、時間の経過とともに見積もりを洗練するために必要なインサイトを得られます。

悪用可能性リスクの高いマージリクエストのブロック

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

以前は、マージリクエスト（MR）の承認ポリシーは脆弱性の重大度に基づいてMRをブロックできましたが、すべての脆弱性が同じリスクを持つわけではありません。CVSSの重大度だけでは、CVEが実際に悪用されているかどうかや悪用の可能性はわかりません。その結果、承認ポリシーがノイズの多いものとなり、デベロッパーとセキュリティチームの時間が浪費されていました。

Known Exploited Vulnerability（KEV）およびExploit Prediction Scoring System（EPSS）データを使用してMR承認ポリシーを設定できるようになりました。検出結果がKEVカタログに含まれている場合（実際に悪用されている場合）、またはEPSSスコアがしきい値を超えている場合に、ブロックまたは承認を要求できます。MRのポリシー違反にはKEVおよびEPSSのコンテキストが含まれ、デベロッパーはセキュリティゲートがトリガーされた理由を理解できます。

セキュリティチームにどの検出結果をブロックまたは警告するかの正確な制御を提供し、アラート疲労を軽減し、現在の脅威状況に沿った適用を実現します。

脆弱性へのCVSS 4.0スコアの割り当て

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

CVSS 4.0は、脆弱性の重大度を評価・格付けするための業界標準の最新バージョンです。UIでCVSS 4.0スコアを表示・確認できるようになりました（脆弱性詳細ページおよび脆弱性レポートを含む）。APIを使用したスコアのクエリも可能です。

脆弱性レポートの行操作の改善

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連イシュー

以前は、脆弱性レポートから詳細ページに移動するには、行内の説明テキストをクリックする必要がありました。

今回の改善で、行のどこをクリックしても詳細ページに直接移動できるようになりました。脆弱性の説明やファイルの場所のリンク表示はマウスを合わせたときのみ表示されるようになり、キーボードナビゲーションも改善されています。

これらの変更により、脆弱性レポートがより直感的で使いやすくなりました。

セキュリティダッシュボードのPDFエクスポート

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

セキュリティダッシュボードをレポートやプレゼンテーション用にPDFとしてエクスポートできるようになりました。エクスポートには、アクティブなフィルターを含むダッシュボードのすべてのチャートとパネルの現在の状態が反映されます。

セキュリティ設定プロファイルでのSASTスキャン

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

GitLab 18.9では、シークレット検出 - デフォルトプロファイルによりセキュリティ設定プロファイルを導入しました。GitLab 18.11では、静的アプリケーションセキュリティテスト（SAST） - デフォルトプロファイルが追加され、SASTにも対応しました。CI/CD設定ファイルを一切編集することなく、標準化された静的解析のスキャン設定をすべてのプロジェクトに適用できます。

このプロファイルは2つのスキャントリガーを有効にします。

• マージリクエストパイプライン： オープンなマージリクエストのあるブランチに新しいコミットがプッシュされるたびに、SASTスキャンを自動実行します。結果にはマージリクエストによって導入された新しい脆弱性のみが含まれます。
• ブランチパイプライン（デフォルトのみ）： 変更がデフォルトブランチにマージまたはプッシュされた際に自動実行され、デフォルトブランチのSAST態勢の包括的なビューを提供します。

グループセキュリティダッシュボードのセキュリティ属性フィルター

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連エピック

グループセキュリティダッシュボードの結果を、グループ内のプロジェクトに適用されたセキュリティ属性に基づいてフィルタリングできるようになりました。

利用可能なセキュリティ属性は以下のとおりです。

• ビジネスインパクト
• アプリケーション
• ビジネスユニット
• インターネット露出
• ロケーション

セキュリティマネージャーロール（ベータ版）

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント

セキュリティマネージャーロールがベータ版として利用可能になりました。セキュリティ専門家向けに設計された新しいデフォルトの権限セットを提供します。セキュリティチームはセキュリティ機能にアクセスするためにデベロッパーやメンテナーロールを必要とせず、過剰な権限付与の懸念を解消しながら職務分離を維持できます。

セキュリティマネージャーロールのユーザーには以下のアクセス権限があります。

• 脆弱性管理： グループおよびプロジェクト全体の脆弱性の表示、トリアージ、管理（脆弱性レポートおよびセキュリティダッシュボードを含む）。
• セキュリティインベントリ： グループのセキュリティインベントリを表示し、全プロジェクトのスキャナーカバレッジを把握。
• セキュリティ設定プロファイル： グループのセキュリティ設定プロファイルの表示。
• コンプライアンスツール： グループまたはプロジェクトの監査イベント、コンプライアンスセンター、コンプライアンスフレームワーク、依存関係リストの表示。
• シークレットプッシュ保護： グループのシークレットプッシュ保護の有効化。
• オンデマンドDAST： グループのオンデマンドDASTスキャンの作成と実行。

開始するには、グループに移動し、管理 > メンバーを選択してメンバーを招待し、セキュリティマネージャーロールを割り当ててください。

脆弱性レポートの識別子リストポップオーバー

• 利用可能プラン： Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント | 関連イシュー

脆弱性レポートの各行にプライマリCVE識別子がクリック可能なリンクとして表示されるようになりました。複数の識別子が存在する場合、**「+N more」**のポップオーバーですべての識別子が一覧表示されます。リスト内の各識別子は外部参照（CVE、CWE、WASCデータベースなど）にリンクしており、レポートを離れることなく詳細にすばやくアクセスできます。

GitLab Runner 18.11

• 利用可能プラン： Free、Premium、Ultimate
• 提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
• リンク： ドキュメント

GitLab Runner 18.11もリリースしました。GitLab Runnerは、CI/CDジョブを実行し、結果をGitLabインスタンスに返送する高いスケーラビリティを備えたビルドエージェントです。GitLab Runnerは、GitLabに含まれるオープンソースの継続的インテグレーションサービスであるGitLab CI/CDと連携して動作します。

新機能：

• バンドルされた依存関係を含むconcreteヘルパーイメージの作成
• 環境変数ではなくRunner設定からジョブルーターのフィーチャーフラグを読み取り

バグ修正：

• リファクタリング後のRunnerバイナリパスの誤り
• キャッシュ操作時のパイプラインハング
• GitLab Runner 18.9.0のdocker-machineバイナリがCVE-2025-68121を参照
• DOCKER_AUTH_CONFIGからのクレデンシャルヘルパーバイナリが見つからない場合にRunnerがジョブペイロードの認証情報にサイレントフォールバック
• CONCURRENT_PROJECT_IDが異なるジョブ間で一意でなく、ビルドディレクトリで競合が発生
• アーティファクトのアップロードがレスポンスヘッダーのタイムアウトで失敗
• 失敗したpre_build_scriptの後にユーザー定義のafter_scriptが実行され、post_build_scriptがバイパスされる

すべての変更の一覧はGitLab Runner CHANGELOGをご覧ください。

関連トピック

• バグ修正
• パフォーマンスの改善
• UIの改善
• 非推奨と削除
• アップグレードノート

インストール

新規にGitLabをセットアップする場合は、GitLabダウンロードページをご覧ください。

アップデート

アップデートページをご確認ください。

ご不明な点がある場合

ご質問やご意見をお聞かせください。本リリースについてご不明な点がある場合は、GitLabフォーラムにアクセスして質問を投稿してください。

GitLabサブスクリプションプラン

• Free ユーザー向けの永久無料機能を提供
• Premium チームの生産性と調整を強化
• Ultimate 組織全体のセキュリティ、コンプライアンス、プランニングに対応 GitLabのすべての機能を無料でお試しいただけます。

--------------------

過去の日本語リリース情報

• GitLab 18.10
• GitLab 18.9
• GitLab 18.8
• GitLab 18.7
• GitLab 18.6
• GitLab 18.5
• GitLab 18.4
• GitLab 18.3
• GitLab 18.2
• GitLab 18.1
• GitLab 18.0
• GitLab 17.11
• GitLab 17.10
• GitLab 17.9
• GitLab 17.8
• GitLab 17.7
• GitLab 17.6
• GitLab 17.5
• GitLab 17.4
• GitLab 17.3
• GitLab 17.2
• GitLab 17.1
• GitLab 16.11

AI導入拡大の最大の障壁は、テクノロジーへの懐疑心ではありません。支出管理に対する不安です。予算上限がなければ、忙しい月に予期しない費用が発生するリスクがあります。ユーザーごとの上限がなければ、一部のヘビーユーザーが月末前にチームのクレジットを使い切ってしまう可能性があります。どちらの仕組みもなければ、ソフトウェア開発においてエージェント型AIの活用を拡大したいエンジニアリングリーダーは、予算承認のために多くの手順を踏まなければなりません。

一般提供（GA）の開始以来、GitLab Duo Agent Platformは利用状況のガバナンスと可視化の機能を提供してきました。GitLab 18.11では、GitLabクレジットの利用制御機能として、支出上限と予算ガードレールを新たに導入します。これにより、組織はクレジットの消費状況をさらに細かく管理し、透明性を高めることができます。

GitLabクレジットの管理

GitLab 18.11では、GitLabクレジットの消費を管理する3つの層を追加します。サブスクリプションレベルの支出上限、ユーザーごとのクレジット上限、そして上限の状態と適用状況の可視化です。

サブスクリプションレベルの支出上限

請求アカウントマネージャーは、サブスクリプション全体のオンデマンドGitLabクレジット消費に対して、月次の上限を設定できるようになりました。

設定の流れは次のとおりです。

• 上限の設定： サブスクリプションの「GitLabクレジット」設定にあるCustomers Portalで上限を設定します。
• 支出上限の自動適用： オンデマンドの利用量が上限に達すると、次の月次期間が始まるまで、そのサブスクリプションの全ユーザーのDAP（Duo Agent Platform）アクセスが一時停止されます。
• 柔軟な調整： 月の途中で上限を引き上げたり無効にしたりすることで、アクセスを復元できます。

上限は月次期間ごとにリセットされ、変更しない限り設定した上限が引き継がれます。利用データはリアルタイムではなく定期的に同期されるため、上限に達してから適用が有効になるまでの間に、わずかな追加利用が発生する場合があります。詳しくはGitLabクレジットのドキュメントをご参照ください。

ユーザーレベルの支出上限

クレジットの消費量はユーザーによって異なります。これは想定の範囲内ですが、一部のヘビーユーザーがクレジットプールの大部分を占めると、他のメンバーが月末前にアクセスできなくなる可能性があります。

ユーザーごとのクレジット上限を設定することで、特定のユーザーが公平な上限を超えて消費することを防げます。

• 一律のユーザー上限： GitLab GraphQL APIを通じて、サブスクリプション上のすべてのユーザーに均一のクレジット上限を設定できます。サブスクリプションレベルの上限とは異なり、ユーザーごとの上限はすべてのクレジットソースにまたがる、そのユーザーの総消費量に適用されます。
• カスタムのユーザー個別オーバーライド： 差別化した上限が必要な組織向けに、GraphQL APIを通じて特定ユーザーに個別のクレジット上限を設定できます。たとえば、スタッフエンジニアには高めの割り当てを設定し、それ以外のメンバーには標準の上限を適用するといった運用が可能です。
• 個別の適用： ユーザーが上限に達しても、GitLab全体へのアクセスは維持されます。停止されるのは、次の請求サイクルが始まるまでのDuo Agent Platformのクレジット利用のみです。他のユーザーは、自分自身の上限またはサブスクリプションレベルの上限のいずれか早い方に達するまで、中断なく作業を続けられます。

可視化と通知

サブスクリプションレベルの上限に達した場合、GitLabは請求アカウントマネージャーにメール通知を送信します。これにより、上限の引き上げ、次の期間まで待機、クレジットの再配分といった対応を速やかに行えます。

GitLab内では、グループオーナー（GitLab.com）とインスタンス管理者（Self-Managed）が、ユーザーごとの上限に達してブロックされたユーザーを確認し、GraphQL APIを通じて上限を調整することでアクセスを復元できます。

予算ガードレールがAI利用のスケールを支援する理由

組織がAI導入を加速させるにあたり、ガードレールは不可欠です。その理由を以下に説明します。

予測可能なAI予算

GitLab Duo Agent Platformの利用制御機能は、オンデマンドのGitLabクレジットを活用することで、AIを予算として管理しやすい予測可能な支出項目に変えます。これにより、ソフトウェア開発ライフサイクル全体にわたってエージェントを展開しやすくなり、財務部門への説明、更新の正当化、四半期ごとの支出計画が容易になります。

ガバナンスとチャージバック

大規模な組織では、AIの消費量を社内予算やコストセンター、部門方針と連携させる必要があります。ユーザーごとの上限は、プラットフォームチームがクレジットを公平に配分し、個人レベルで消費量を追跡するための明確な仕組みを提供します。APIによるインポート機能により、エンタープライズ規模での上限管理も現実的に行えます。GitLabクレジットダッシュボードのユーザーごとの利用データと組み合わせることで、消費パターンを把握し、社内のチャージバックや予算配分プロセスの参考にすることができます。

スケールへの自信

多くのお客様は、少人数のパイロットグループからGitLab Duo Agent Platformを始めます。利用制御機能は、そのパイロットを組織全体に拡大する際のリスクを排除します。予算を保護するハードな上限が設けられているため、数百人から数千人の開発者にDuo Agent Platformを展開しても安心です。想定より早く利用量が増加した場合でも、上限に達するだけで、予期しない請求は発生しません。

シートベース課金と可視性の課題に向き合う

多くのAIコーディングツールは、コスト管理にシートベースのアプローチを採用しています。一定数のシートを定額のユーザー単価で購入する、シンプルながらも柔軟性に欠けるモデルです。開発者がツールを1日10回使っても、まったく使わなくても同じ料金を支払います。さらにベンダーがシート料金に加えてプレミアムモデルや超過料金を導入すると、シートベースのライセンスが約束していたコストの予測可能性が損なわれていきます。

GitLabは異なるアプローチを取っています。ハードな上限と一元化されたガバナンスダッシュボードを備えた従量課金制です。チームが実際に使った分だけ支払うという柔軟性と、強制力のある支出上限によるコストの予測可能性を両立しています。

実際の利用制御シナリオ

一例として、月次予算を守りたい中規模のSaaSカスタマーを挙げます。 200名のエンジニアリング組織が、オンデマンド利用の想定量に合わせたサブスクリプションレベルの上限を設定します。エンジニアリングVPは、新しいチームのオンボーディング中であっても、GitLab Duo Agent Platformの支出が承認済み金額を超えないことを財務部門に自信を持って説明できます。月の途中で上限に近づいた場合、請求アカウントマネージャーが通知を受け取り、上限を引き上げるか次の期間まで待つかを判断できます。

GitLabでは、チーム間の利用を公平に保ちたい大企業とも多く連携しています。 開発者2,000名を擁するグローバルな金融サービス会社がユーザーごとの上限を活用し、公平なアクセスを確保しています。複雑なリファクタリングプロジェクトに取り組むスタッフエンジニアにはAPIを通じて高い個別割り当てを設定し、多くの開発者には標準の一律上限を適用しています。クレジットプールを使い切るユーザーはなく、プラットフォームチームはGitLabクレジットダッシュボードのユーザーごとの利用データを活用して消費パターンを把握し、四半期ごとの予算計画に役立てています。

はじめ方

利用制御機能は、GitLab 18.11を実行しているGitLab.comおよびSelf-Managedの両方のお客様にご利用いただけます。設定場所は、範囲とお客様の役割によって異なります。

サブスクリプションレベルの上限

請求アカウントマネージャーは、Customers PortalでサブスクリプションレベルのオンデマンドGitLabクレジット上限を設定します。

1. Customers Portalにサインインします。
2. サブスクリプションカードでGitLabクレジットの設定に移動します。
3. 月次のオンデマンドクレジット上限を有効にし、希望する上限値を入力します。

一律のユーザー上限

一律のユーザー上限は、名前空間オーナー（GitLab.com）またはインスタンス管理者（Self-Managed）がGitLab GraphQL APIを通じて設定できます。利用可能な設定方法の最新情報については、GitLabクレジットのドキュメントをご確認ください。

カスタムのユーザー個別オーバーライド

差別化した上限を設定する場合、名前空間オーナー（GitLab.com）とインスタンス管理者（Self-Managed）はプログラムで個別の上限を設定できます。これは自動化やInfrastructure as Codeのワークフローにも適しています。

利用状況と上限のステータスを確認する

• Customers Portal： 詳細な利用状況と上限のステータスを確認できます。
• GitLab.com： グループオーナーは設定 > GitLabクレジットでブロックされたユーザーを確認できます。
• Self-Managed： インスタンス管理者は管理 > GitLabクレジットで上限のステータスとブロックされたユーザーを確認できます。

GitLab Duo Agent Platformはスケールの準備ができています

利用制御機能はGitLab 18.11でご利用いただけます。組織全体にGitLab Duo Agent Platformを展開する前に適切なガードレールを待っていた方にとって、今がその時です。上限を設定し、より多くのチームにDuo Agent Platformを展開して、より速いリリースを実現しましょう！

GitLabクレジットと利用制御の詳細はこちら。

ピクシブ社とは

• 創作プラットフォーム「pixiv」を中核としてさまざまな創作活動を楽しむための事業を展開
• 社員数約400名で、そのうち開発者は約230名、エンジニアは約170名

GitLabとは

• GitLabとは、AIネイティブDevSecOpsプラットフォーム
• GitLabは100ヵ国以上100,000以上の組織、5,000万以上のユーザーが利用

GitLab社とは

• 2,000名以上の従業員（66ヵ国以上）
• オールリモート企業（世界中にオフィス無し）

Beyond the code時代へ ピクシブ社のなかで起きている変化とは？

Developers Summit 2026のテーマは「Beyond the Code」です。LLMの性能向上により、ソフトウェア開発における定型作業の自動化など、バックオフィスやプロダクト開発の現場での、業務が最適化されています。

そうしたなかで、ピクシブ社ではどのような変化が起きているか伺いました。

「現在のエンジニアリングにおいて、単にコードを書き出す作業（タイピング）の価値よりも、その背後にある設計思想や『なぜそれを作るのか』という思考の価値がより高まっています。

・背景をどう読み取り、なぜそのアプローチを選んだか
・ほかにどんな選択肢があり、なぜそれをしなかったか

という思考プロセスが、より重要になってきています。

ピクシブ社内にエンジニアギルドという組織があり、そこでそういったプロセスを大事にすることを2018年から行なってきました。少し先手を打てたかなというところがあり、これに沿って成果を上げようとしています。」

LLM利用率80％を実現！ピクシブが実践した「People・Process・Technology」三位一体の変革とは？

ピクシブ社のこうした変化は、まさに「Beyond the Code」を体現したものです。このような変化に対応する際に避けて通れないのが「自分たちがまず変わること」だと思います。

けれど人は成功体験があったり確立されたプロセスがあったりすると、簡単に変わることはできません。そこで紹介したいのが、「People（人）、Process（プロセス）、Technology（テクノロジー）」というアプローチです。これは、まずTechnologyを抜本的に変え、それに合わせてProcessを整備し、それに応じてPeopleが変わっていくというアプローチになります。

GitLab社には、この変革実現アプローチでLLM時代に対応しているお客様が多くいらっしゃいます。ピクシブ社でも、同様のアプローチにてLLM利用率80％を達成されたとのことです。実際、どのようにして進められたのかをbash様に伺いました。

3つの要素が螺旋形に絡み合いながら進化してきた

「我々の変革は線形に進んできたわけではありません。それぞれの要素が螺旋形に絡み合いながら進化してきました。

たとえば新しい技術を選定すると、人の行動が変わります。それに合わせて仕組みも変わってきて、そうこうしているうちに、次の新しい技術やバージョンが進展し、さらに変容するといった感じです。こういった相互作用を生み出しながら動いてきたのが実際のところです。

こうした変革の成果として、LLM利用率80％・社内満足度90％・活用意欲向上95％を達成しました。」

ピクシブ社のLLM利用率80％という成果は、従業員各自が勝手にLLMを使ったというデータではありません。会社が決めたLLMを会社が決めたルールに沿って使った成果であり、そう考えるとLLM利用率80％というのは非常に素晴らしいです。

ここからはLLM利用率80％という成果を、People・Process・Technologyという3つの観点でどう達成されたかを伺います。

Technologyの変革 | GitLab Ultimate有償版の導入へ

まずはTechnologyの変革について、bash様に時系列で教えていただきました。

「まず2013年にGitLabをGUI付きGitサーバーとして導入しました。2024年に大きな転換点がありGitLab Ultimateを導入し、SDLC（ソフトウェア開発ライフサイクル）をEnd to Endでカバーする基盤として本格的に整備を開始しています。

また、セキュリティスキャンや開発のバリューストリームの可視化などを実装し、それと両輪みたいなかたちでLLMの活用も開始しました。」

GitLabを選定した理由

次にGitLabを選定した理由について伺いました。

「ツールチェーンvsプラットフォームがひとつの論点になりました。そのなかでツールチェーンと比べGitLabならコストを圧縮できるうえ、ライフサイクルを一貫して全体最適を狙いやすいという結論が出たのです。

ブラックボックス的なベンダーロックインにならないこともポイントでした。そのほか、セルフマネージメントで、必要に応じバッチをあてたりバージョンアップしたりできるという柔軟性も決め手になっています。」

GitLab導入によるツールチェーンの解消

GitLabを選定いただく理由として、ツールチェーン解消というポイントはよく挙げられます。そこで、ツールチェーンを運用するなかでの苦労について、bash様に伺いました。

「エンジニア個人としては、ツール選びは楽しいですし自分にフィットする良いものを選びたいという気持ちはあります。そういったジレンマと戦う必要がある点が苦労ですね。

組織レベルに引き上げて考えると、ツールチェーンに含まれるプロダクトはたくさんあります。これらをそれぞれで選定していると、契約上のスケールメリットが乏しくなるのです。小口契約ですと既成プランしか選択肢にならず、大口だとできるような大きな相談ができなくなりますからね。

また社内で使うツールのフラグメントがあると、メンバー異動が大変だったり、キャッチアップが難しかったり問題がどんどん出てきます。実用の苦労としては、個人・チームレベル・組織全体の最適が少しずつずれてくるという点がありますね。

さらに、ツールチェーンでやるといろいろ選べるので、ところどころ入れ替えが難しい。意図せぬシャドーIT化だったり、外部ソリューションに頼るべきところを自分たちで作り込んでしまったりといった問題も発生します。」

反対にプラットフォームのメリットについてうかがったところ、bash様は次のように話されました。

「全体最適を追求しやすかったり、組織レベルでマクロの成果を見定めやすかったりする点が魅力ですね。ここで鍵となるのが人です。人をプラットフォームに寄せる必要が出てきて、ここが重要なポイントであり難しい点ですね。」

GitLab Ultimateを導入しセキュリティ対策に着手した背景

次にGitLab Ultimate導入によるセキュリティ対策に着手した背景について、bash様に伺いました。

「安全性・堅牢性を高めるためセキュリティが重要なのはもちろんですが、開発ライフサイクルとしても、インシデントはペースを乱す要素です。我々の開発体制は、運用とばらばらではありません。

プロダクトを作って運用して、動かして維持してというのをホールチーム体制で続けているので、インシデントは開発時でも重要なイシューです。コードpush時のCIでは防げないサプライチェーンアタックや、外部要因で突然脆弱性が問題になることがあります。こういった問題を回避し、ホールチーム体制での開発継続性を大事にしたかったのです。」

GitLab Ultimateを活用したピクシブのセキュリティ対策

LLMの利用にあたって、セキュリティ脆弱性は重大な課題になります。IPAが毎年出しているレポートによれば、「2025年の企業におけるセキュリティ脅威 Top10」の第4位が「システムの脆弱性を悪用した攻撃」でした。またLLMが生成したコードについては、その45％に脆弱性が含まれているという調査もあります。

こうしたなかで、ピクシブがどのようなセキュリティ対策を行っているか伺いました。

「いろいろあります。マージリクエストを実行する際、常に機械チェックをかけています。あとメインブランチを常にリリース可能な状態にしており、そこにあるソースコードに対し常にセキュリティスキャンをかけている状況です。ほかにもIaC構築や権限分離、レビュー・テスト・ライブラリ管理・アップデートなど、基本的な対策を忠実に行っています。

ただ、セキュリティは果てのない戦いなので、もう大丈夫とかもう十分な水準ということはありません。日々、改善し続けるためみんなで頑張っているという状況です。」

ピクシブが行っているのはリリース前のセキュリティスキャンだけ（DevOps+Sec）ではありません。開発サイクル全体でセキュリティスキャンが常に行われている状態（DevSecOps）です。

このように堅牢な体制があるからこそ、ピクシブでは自由にできる面もあるとのことでした。具体的に、どのようなことを自由に行えているのかbash様に伺いました。

「たとえば開発者が自分にとって使いやすいIDEやツールを選べるように、複数の選択肢を設けています。また業務用PCも、ベンダーもスペックも自由にアレンジできる制度を長く運用している状況です。全体最適化を狙いつつ、各個人にあったツールを使っていこうという裁量の幅も設けています。」

Processの変革 |　①組織体制の整備

次にProcessの変革についてbash様に伺いました。

「まず組織体制の整備は欠かせません。LLM活用の取り組みは経営層と連携し、全社的に行わなければなかなか進まないと思います。各組織がそれぞれ単独で頑張っても難しいので、CTOの牽引力がキーとなり組織として横断的に推進する体制を整えました。

開発サイクル全体でみるとCOE（Center of Excellence）を設置し、プロダクトを横断する関心事として進めています。LLMについては、組織の技術推進という文脈で専任部署が中心となって取り組みを進めた感じです。

トップダウンでガイドラインを示し、LLMを活用しようというメッセージを出しました。一方で現場は自律的に、現場に即したものをどんどん活用し盛り上げています。トップダウンとボトムアップの両面から、推進しているという感じですね。」

Processの変革 |　②SDLCの整備

「Processの変革について、2点目はSDLCの整備ということで、開発サイクルの健康診断を実施しました。パフォーマンスチューニングにプロファイリングが必要なように、『計測なくして改善なし』です。

その結果、わかりやすいボトルネック工程があったわけでなく、複合的な問題が複数見つかりました。それに合わせた次の取り組みを考えていこうという状況です。」

bash様がお話しされた「開発サイクルの健康診断」というキーワードは、まさにGitLabの特徴を表しています。GitLabは、開発サイクル全体のデータがひとつのプラットフォームに集約されるので、その一元化されたデータに基づいた生産性の可視化をすることができます。この可視化された生産性に基づいて開発サイクルの健康診断を実施されたとのことでした。

Processの変革 |　③評価制度の整備

「Processの変革について、3つ目は評価制度の整備です。特に新しい評価制度を作ったわけでなく、生産性指標を評価に使うなという話はずっとしています。

これはよくあるアンチパターンとして、生産性指標を評価に用いることでうまくいかなくなるというのはよく聞いていました。うまくいかないことをペナルティと捉えてしまったりとか、『なぜそうなったか』を詰めたりするのは本当によくありません。

生産性指標はあくまで改善のための情報であり、人を評価査定するための道具でないとはよく言っています。」

Processの変革について最後に、社内で好意的に受け止められたかをbash様に伺いました。

「好意的というか『うまくいったらいいね』と、温かい目で見守ってくれた感じです。

私としても、これがみんなの飛びつくような高関心領域になるとまで期待していません。ただ『ちょっと手間をかけるといっぱいいいことがある』という風に思ってもらえたら上々だな、と考えています。」

Peopleの変革 | ①Whole Teamカルチャー醸成

最後にPeopleの変革についてbash様に伺いました。

「ひとつ目は『Whole Team』カルチャーの醸成です。ひとつのチームとしてプロダクトに関する責任を持つことで、職種や役割を超えた相互支援ができます。

品質・セキュリティ・パフォーマンスなど、推進担当の仕事にしてしまうのでなく、自分たちの仕事という意識をもつのです。そうしてCoEがそれを支援する、というのを前提にします。」

Peopleの変革 | ②LLMの性能を最大化する環境への配慮

「次に、LLMを開発を支える強力なツールと捉え、性能を最大限に引き出せるよう、情報の整理の仕方（コンテキストの渡し方）を工夫することです。これまで人間が読むための情報としてまとめてきたコンテキストを、これからはLLMも読みやすくしなければならないという風に考え方を転換します。そうしてコンテキストを、LLMが処理できる組織知としての情報にするのです。」

Peopleの変革 | ③強い意志と責任感

「3つ目は強い意志と責任感です。『LLMがこう出力したから』は理由になりません。自分の責任として『なぜ』を突き詰めるのです。

前述したエンジニアギルドというところの活動で、『なぜそれをするのか』を考える習慣をエンジニア全員に頑張って根付かせてきました。こういった活動も役立っているなと思います。」

採用について工夫していること

入ってくる方にどういった素質があれば、ピクシブのこういった環境に適応できるのでしょうか。bash様に採用で重視する点を伺いました。

「ミッションへのコミットメントをベースに、組織・事業・プロダクト・システムなどみんなで作っていくことについて大事にしていますね。」

ピクシブが目指すBeyond the code時代におけるあるべきエンジニア像とは？

最後にピクシブが目指すBeyond the code時代におけるエンジニア像を伺いました。

「エンジニアとはエンジニアリングを行う職種で、エンジニアリングとは、再現可能なプロセスを確立して継続することだと考えています。

確かにコードを書ける能力は重要で、我々もエンジニアに求めるところです。エンジニア職といっても、インフラエンジニア、社内ライフエンジニア、開発エンジニアなどたくさんの役割がありますが、コードを通じて対話をする基礎能力は、どのエンジニアであれ役割であれ共通です。

もちろん全員が常にコードを書くわけではありませんし、役割ごとに業務も違います。ただし問題をどう解釈しどんな手段で解決するか、という判断基準は共通であるべきです。なぜそれをしてなぜほかのやり方を取らなかったのか、を説明する責任はどのエンジニアにもあります。

コードを書かないことの先にあるものを、今まで大事にしてきました。今後もそれを大事にして、まぐれ当たりでない再現可能なプロセスを積み重ねていく本質追求の姿勢が、エンジニアにとって重要だと考えます。」

まとめ

本講演ではピクシブがLLM利用率を48％から80％へ、わずか1年で拡大させた変革の全体像をお話いただきました。ピクシブは、Technology、Process、Peopleという3つの要素を三位一体で変革してきたとのことです。

Technologyの変革ではツールチェーンをGitLabに統合し、プロセス全体にセキュリティを組み込むなどしてLLM活用の土台として整備しました。

Processの変革では経営と連携し、全社プロジェクトとしてCOEを立ち上げたとのことです。そうしてソフトウェア開発ライフサイクル全体を可視化し、守るべきガイドラインを示し、そのうえで評価制度を整備しました。

最後にPeopleの変革では、Whole Teamカルチャーを醸成して、ひとつの目標を共有して全員で助け合う文化を根付かせたとのことです。そうしてLLMの性能を最大化するための配慮をしました。

ピクシブでは、この3つを変革することで、Beyond the code時代の変化に対応していったということです。今回のお話が皆様のヒントになれば幸いでございます。

生産性のオーバーヘッドを極小化する開発支援ツール戦略を加速。お客様事例：ピクシブを読む

ソフトウェアデリバリーライフサイクル全体でエージェントを活用しているチームにとって、Opus 4.7は最も重要なタスク、すなわち継続的な推論と正確な指示遵守、そして結果を返す前に自身の出力を検証する能力が求められる、複雑なマルチステップ作業において、大きな改善をもたらします。

あらゆるエージェントワークフローで推論能力が強化

最も大きな向上は、難易度の高い長時間の作業をOpus 4.7がいかに処理するかという点です。GitLabの社内評価では、Sonnet 4.6およびOpus 4.6の両方を上回るパフォーマンスが確認されました。この組み合わせは、複合的なエラーが大きなコストにつながる、CI/CDパイプライン、コードレビュー、脆弱性解消、その他のマルチツールワークフローにおいて、エージェントがより効率的に動作することに直結します。

エージェントワークフローを確立しているチームは、Opus 4.7が以前のモデルより正確に指示を解釈する点にご注目ください。これにより、複雑な条件付きタスクをより忠実に実行できます。たとえば、マルチステップの修正シーケンスを処理するエージェントは、各ステップを指定どおりに完了するため、予測可能で監査しやすい結果をチームにもたらします。

エージェントがコードから本番環境への作業を前進させる

ソフトウェア開発ライフサイクルのあらゆる段階に組み込まれたエージェントの可能性は、作業が人の手を待つことなく前進し続けることにあります。Opus 4.7は、その可能性を実際に、より確実なものにします。

コード生成とテスト作成の段階では、Opus 4.7が結果を返す前に自身の出力を検証する能力により、エージェントはより大きな恩恵を受けます。やり取りの回数が減り、反復速度が上がり、開発者の集中を妨げる割り込みも少なくなります。セキュリティと脆弱性のワークフローでは、指示遵守の精度向上により、エージェントはマルチステップの修正シーケンスを最後までやり遂げ、途中での軌道修正が不要になります。

CI/CDにおいて、パイプラインの失敗はチーム全体のボトルネックになりかねませんが、ここでOpus 4.7の長期的な一貫性が最も威力を発揮します。失敗を調査し、ログを分析し、修正案を提案するエージェントは、実行途中でコンテキストを失うことなく、一連の作業を首尾一貫して処理します。問題はエスカレーションされるのではなく、解決されます。

GitLab Duo Agent Platformは、こうした段階を設計上連携させています。Opus 4.7は、それらすべてを横断する知能レイヤーを強化します。これにより、計画・開発・セキュリティ・デプロイメントをまたいで連携するエージェントが、あらゆる引き継ぎ地点で、より高い能力を持つモデルによる意思決定の恩恵を受けられます。

料金と利用方法

Claude Opus 4.7は、モデル選択よりGitLab Duo Agent Platformで本日から利用可能です。Duo Agent Platformで利用可能なモデルの一覧とクレジット消費量については、ドキュメントをご参照ください。

GitLab Duo Agent Platformの無料トライアルを今すぐ開始できます。GitLabの無料プランをご利用中の場合は、こちらの手順に従って、数ステップでDuo Agent Platformにサインアップできます。

GitLab PremiumまたはUltimateの既存サブスクライバーの方は、Duo Agent Platformをオンにするだけで、サブスクリプションに含まれているGitLabクレジットをすぐにご利用いただけます。

このブログポストには、改正証券法第27A条および改正証券取引所法第21E条の意味における将来の見通しに関する記述が含まれています。これらの記述に反映された期待は合理的であると考えていますが、実際の結果や成果が重大に異なる可能性のある既知・未知のリスク、不確実性、前提、その他の要因に左右されます。これらのリスクおよびその他の要因の詳細については、SECへの提出書類の「リスク要因」の見出しをご参照ください。当社は、法律で義務付けられている場合を除き、このブログポストの日付以降にこれらの記述を更新または修正する義務を負いません。

GitLab 18.11では、AIがほとんど手をつけてこなかった開発ライフサイクルの特定のギャップに対処するため、Duo Agent Platform向けの2つの新しい基盤エージェントが登場します。

• CI エキスパートエージェント（ベータ版）は、コードを書き終えてから実際にパイプラインを動かすまでの間に生じるギャップを解消します。
• データアナリストエージェント（一般提供開始）は、コードをリリースした後、そのデリバリーの実態を把握しようとする際に生じるギャップを解消します。

これらは、汎用アシスタントでは解決できない課題領域です。GitLabの外で動くツールでも、YAMLファイルを生成したり質問に答えたりすることはできます。しかし、これまでのパイプラインのパフォーマンス、障害が集中する箇所、実際のMRサイクルタイムといったコンテキストは持ち合わせていません。そうしたコンテキストはGitLabの中にあります。これらのエージェントも同様です。

CI エキスパートエージェントで素早くCIをセットアップ

AIによってコードを書くこと自体はこれまでになく簡単になりました。しかし、そのコードを実際に動くパイプラインに乗せるまでのプロセスは、多くのチームにとって数日、あるいは数週間後の課題として残ったまま—もしくは永遠に後回しにされています。空白のページという問題は、エディターの中にはもうありません。今や .gitlab-ci.yml の中にあります。

CI設定の経験がない開発者は、YAMLでの言語検出の書き方も、適切なテストコマンドの指定方法も、プッシュ前に結果を検証する手順も知りません。チームは過去のプロジェクトから設定をコピーしてくるか（それが今の状況に合っていなくても）、ドキュメントをつなぎ合わせるか、以前に経験したことのある一人の担当者を待つしかない状況になりがちです。その担当者が不在であれば、CIは「後でやる」課題になります。そして「後で」は「永遠にやらない」になります。

CIが実装されないまま放置されると、その影響はあらゆる場所に現れます。変更は信頼性のある安全網なしにリリースされ、リグレッションはパイプラインではなく本番環境で発覚し、誰も「ビルドを壊した人」と呼ばれたくないために変更が大きく危険なバッチへと膨らんでいきます。やがてチームは暗闇の中で作業することを当然のこととして受け入れるようになり、ドキュメント化されていないノウハウや場当たり的なテストに頼るようになります。すべての変更に組み込まれた、速くて予測可能なフィードバックループとはほど遠い状態です。

ベータ版として提供開始となったCI エキスパートエージェントは、そうした摩擦を取り除きます。リポジトリを検査し、使用言語とフレームワークを特定した上で、実際の構成に合わせたビルドとテストのパイプラインを提案—そして Agentic Chat上でわかりやすい言葉で各判断の理由を説明します。目標は、手でYAMLを書くことなく、数分でパイプラインを稼働させることです。

CI エキスパートエージェントの機能：

• リポジトリを認識したパイプライン生成：言語、フレームワーク、テスト設定を自動検出
• 有効で実行可能なビルド・テスト設定を生成
• Agentic Chat上で各ステップをわかりやすく説明する、初めてのパイプライン構築ガイド付きフロー
• 設定の変換なしに使えるネイティブのGitLab CI セマンティクス

GitLabの内部で動作し、実際のパイプラインの動作履歴にアクセスできるため、改善のたびにチームの実際の作業パターンを学習し、静的なサンプルだけに頼ることがありません。

CI エキスパートエージェントは、Duo Agent Platformが有効な環境において、GitLab.com、セルフマネージド、Dedicatedのいずれでも、Free、Premium、Ultimateの各エディションでご利用いただけます。

データアナリストエージェントで自然言語によるGitLab データのクエリを実現

AIはチームのリリーススピードを上げました。しかし、その作業の進捗状況に関する基本的な疑問への回答は、以前よりもむしろ難しくなっています。

MRはレビューにどれくらい滞留しているか？どのパイプラインがチームの足を引っ張っているか？デプロイ目標は実際に達成されているか？かつてはダッシュボードをちらりと見るだけで答えられた問いです。しかし今や、コードもチームも複雑さも増した結果、データはGitLabの中に存在するにもかかわらず、アクセスするにはアナリティクスチームへの依頼、ダッシュボードリクエストの提出、あるいはGLQLの習得が必要になっています。

データアナリストエージェントはそのギャップを解消します。自然言語で質問するだけで、Agentic Chat上に即座に可視化された回答が返ってきます。クエリ言語も不要、ダッシュボードのリクエスト提出も不要、誰かが回答をまとめるまで待つことも不要です。

例えば、このエージェントは以下のようなロールに対して、次のようなトピックに関する問いに回答できます。

• エンジニアリングマネージャー：MRサイクルタイム、プロジェクト別スループット、レビューが止まる箇所
• 開発者：コントリビューションパターン、自分のMRをブロックしているフラッキーテスト、パイプラインのスピードトレンド
• DevOpsおよびプラットフォームエンジニア：パイプラインの成功/失敗率、ランナーの使用率、デプロイ頻度
• エンジニアリングリーダーシップ：ポートフォリオ横断のデプロイ頻度、プロジェクトの健全性メトリクス、リードタイムの比較

18.11で一般提供開始となったこのエージェントは、MR、課題、プロジェクト、パイプライン、ジョブをカバーし、ベータ版から対象範囲が拡大してソフトウェア開発ライフサイクル全体をカバーします。データアナリストエージェントはGitLabの既存データに対してクエリを実行するため、コンテキストは常に最新の状態に保たれ、メンテナンスが必要な外部パイプラインや同期を維持すべきサードパーティツールも不要です。生成されたGitLab Query Language（GLQL）クエリはコピーしてGitLab Flavored Markdownがサポートされる場所ならどこでも使用でき、ワークアイテムやダッシュボードへの直接エクスポートもロードマップに予定されています。

データアナリストエージェントは、Duo Agent Platformが有効な環境において、GitLab.com、セルフマネージド、DedicatedのいずれでもFree、Premium、Ultimateの各エディションでご利用いただけます。

1つのプラットフォーム、つながったコンテキスト

両エージェントはGitLabの内部で動作し、すでにそこにあるコード、パイプライン、課題、マージリクエストへのアクセスを持ちます。それが、プラットフォームネイティブのAIと切り離されたアシスタントとの違いです。コンテキストは常に最新に保たれ、使えば使うほど有用性が増していきます。CI エキスパートエージェントとデータアナリストエージェントは、AIがコードを速く書く手助けをするだけでなく、作り上げたものを理解し、リリースし、維持するためのプラットフォームに向けた、具体的な2つの前進を体現しています。

GitLab Duo Agent Platformの無料トライアルを開始して、これらの基盤AIエージェントをぜひ体験してください。

一般提供（GA）となったAgentic SAST脆弱性解決機能は、SAST脆弱性を修正するマージ可能なコードフィックスを自動生成します。この機能により：

• デベロッパーはフローを維持できます
• 脆弱性は本番環境に到達する前に解決されます
• AppSecチームはトリアージと、修正完了の確認のためにデベロッパーを追いかける時間を削減できます

Agentic SAST脆弱性解決機能は、アプリケーションセキュリティの未来形です。GitLab 18.11はさらに、より高速なSASTスキャン、スマートな優先順位付け、プラットフォーム全体にわたる強力なガバナンスも提供します。

フローを維持したまま自動修正

AIがコードを大規模に生成するようになると、状況が一変します。かつて線形に増加していたセキュリティバックログは、AIアシストによるコミットのたびに複利で積み重なります。デベロッパーに頭の切り替えを強いて手動で脆弱性を修正させ続けるだけでは、この問題は解決しません。GitLabの2025 DevSecOpsレポートによると、デベロッパーはすでに月あたり11時間を、リリース後の脆弱性修正（つまり、新しい機能の開発ではなく、すでに本番環境で悪用可能な問題の対処）に費やしています。

Agentic SAST脆弱性解決機能は、そのサイクルの経済性を変えます。SASTスキャンが完了すると、検出結果が自動的にSAST誤検出検知フローを開始します。真陽性と確認されたものは直接Agentic SAST脆弱性解決フローへと送られ、GitLab Duo Agent Platformが以下を実行します：

• 脆弱性をコンテキストを踏まえて分析
• 根本原因に対処する修正を生成
• 自動テストによって修正を検証

デベロッパーは信頼スコア付きのマージ可能なマージリクエストを受け取り、脆弱性の修正方法について十分な情報に基づいた判断を下せます。スプリントはスケジュール通りに進み、デベロッパーはフローを維持し、脆弱性は本番環境に到達する前に解決されます。

ソフトウェア開発の加速は、スキャナーの待ち時間をなくすことも意味します。GitLab 18.11ではAdvanced SASTのインクリメンタルスキャンが導入され、デベロッパーはフルスキャンの完了を待たずに脆弱性の結果を確認でき、パイプラインも止まりません。

スコアではなく、ビジネスリスクで修正の優先順位を決める

自律型修正が機能するのは、その判断の根拠となるシグナルが信頼できる場合に限ります。重大度スコアが実際の悪用可能性を反映していない場合、デベロッパーはシグナルを信頼しなくなり、無視し始めます。

GitLab 18.11は、この問題に4つのレベルで対処します。まず、脆弱性スコアが現在最も新しい業界標準であるCVSS 4.0に基づくようになりました。より細かい指標によって実際の悪用可能性が的確に評価されます。GitLabに表示されるスコアは、現実世界のリスクを測る現行の業界標準を反映しています。

次に、AppSecチームはポリシーベースのルールを定義でき、CVE（共通脆弱性識別子）、CWE（共通脆弱性タイプ一覧）、ファイルパス/ディレクトリなどのシグナルに基づいて脆弱性の重大度スコアを自動的に調整できます。ポリシーが設定されると、重大度の上書きがただちに適用されるため、デベロッパーはスキャナーの生データではなく、実際のビジネスリスクを反映したバックログをもとに作業できます。

リスクベースの適用はバックログにとどまりません。AppSecチームは、KEV（既知の悪用脆弱性）ステータスやEPSS（悪用予測スコアリングシステム）スコアのしきい値に基づいてマージをブロックまたは警告する承認ポリシーを設定できます。マージがブロックされた際、デベロッパーはその脆弱性が自分の環境を考慮していないスコアではなく、現実世界の悪用可能性データに基づいていることを把握できます。

最後に、新しい「上位CWE」セキュリティダッシュボードチャートにより、プロジェクト全体でどの脆弱性クラスが最も頻繁に出現しているかを把握できます。個々の検出結果を追いかけるのではなく、パターンを特定し、根本原因レベルで優先順位を付け、複利的に積み重なる前にシステム的なリスクに対処できます。

運用オーバーヘッドを抑えながらセキュリティコントロールを強化

自律型修正パイプラインの品質は、その下支えとなるセキュリティスキャナーのカバレッジに依存します。スキャナーの適用が一貫していなければ、パイプラインに流れ込む検出結果は不完全となり、修正も同様に不完全になります。

GitLab 18.11では、Security Managerという、セキュリティ担当者向けに特化して設計された新しいデフォルトロールが導入されます。Security Managerロールにより、セキュリティチームはコードの変更やデプロイ権限なしに、セキュリティスキャナーの適用、セキュリティポリシーの定義と設定、脆弱性のトリアージ・修正ワークフローの管理、コンプライアンスフレームワークと監査ストリームの維持が可能になります。セキュリティチームは業務に必要なアクセス権のみを持ち、コードとデプロイの権限はデベロッパーに維持されます。

AppSecチームにとって、複数のプロジェクトとグループにわたって一貫したSASTスキャナーのカバレッジを確保することが、大幅に容易になりました。SASTコンフィギュレーションプロファイルにより、セキュリティチームは一箇所でスキャン設定を定義し、1回の操作でグループ内の全プロジェクトに適用できます。チームはもはや、YAMLポリシーファイルの作成と維持、デベロッパーへのスキャナー設定依頼、各プロジェクトのカバレッジギャップの手動確認を行う必要はありません。

エージェント型脆弱性修正を今すぐ始める

GitLab 18.11は、1つのプラットフォームで脆弱性ワークフローの全体像を提供します：脆弱性を自動修正するAI、脆弱性ノイズを解消するスマートな優先順位付け、そしてセキュリティチームに適切なアクセス権とカバレッジをスケールで提供するガバナンスコントロールです。

GitLab Duo Agent Platformがどのようにして自動修正をデベロッパーのワークフローに直接組み込むかを確認するには、今すぐGitLab Ultimateの無料トライアルを開始してください。

メジャーアップグレードにおける破壊的な変更の管理は、組織全体にわたる調査と調整が必要なため、時間がかかることはよく理解しています。そのため、破壊的な変更承認要件を導入しました。この要件により、破壊的な変更を進める前に、影響の軽減策と上位承認が必須となります。このプロセスは機能しており、件数をさらに削減するための取り組みを続けています。

以下に、GitLab 19.0のすべての破壊的な変更をデプロイタイプと影響度別に整理しています。自信を持ってアップグレードするために必要な軽減手順も併せてご確認ください。

デプロイウィンドウ

知っておくべきデプロイウィンドウは以下のとおりです。

GitLab.com

GitLab.comへの破壊的な変更は、次の2つのウィンドウに限定されます。

• 2026年5月4日〜6日（09:00〜22:00 UTC）— メインウィンドウ
• 2026年5月11日〜13日（09:00〜22:00 UTC）— コンティンジェンシーフォールバック

その他の多くの変更は、月内を通じて引き続きロールアウトされます。各ウィンドウで発生する破壊的な変更の詳細については、破壊的な変更のドキュメントをご覧ください。

注意： 例外的な状況により、破壊的な変更がこれらのウィンドウをわずかに超える場合があります。

GitLab Self-Managed版

GitLab 19.0は2026年5月21日より提供開始予定です。

リリーススケジュールの詳細はこちら。

GitLab Dedicated

GitLab 19.0へのアップグレードは、割り当てられたメンテナンスウィンドウ内に実施されます。詳細および割り当てられたメンテナンスウィンドウは、Switchboardポータルでご確認いただけます。GitLab DedicatedインスタンスはリリースN-1で維持されるため、GitLab 19.0へのアップグレードは2026年6月22日の週のメンテナンスウィンドウ中に実施されます。

GitLab 19.0での削除予定項目の一覧は、非推奨機能ページでご確認ください。ご自身のデプロイ環境に応じた今年のリリースへの準備方法を以下でご説明します。

破壊的な変更

影響度が高い破壊的な変更は以下のとおりです。

影響度：高

1. NGINX IngressのサポートがGateway API（Envoy Gateway）に置き換え

GitLab Self-Managed版（Helmチャート）

GitLab HelmチャートはNGINX Ingressをデフォルトのネットワークコンポーネントとしてバンドルしてきました。NGINX Ingressは2026年3月にサポート終了（EOL）を迎えたため、GitLabはGateway API（Envoy Gateway）を新しいデフォルトに移行します。

GitLab 19.0からは、Gateway APIとバンドルされたEnvoy Gatewayがデフォルトのネットワーク設定になります。Envoy Gatewayへの移行をすぐに実施できない場合は、バンドルされたNGINX Ingressを明示的に再有効化できます。このNGINX Ingressは、GitLab 20.0での完全削除が予定されるまで引き続き利用できます。

この変更の影響を受けないケース：

• Linuxパッケージで使用しているNGINX
• 外部管理のIngressまたはGateway APIコントローラーを使用しているGitLab HelmチャートおよびGitLab Operatorインスタンス

GitLabは、完全削除までの間、フォークされたNGINX Ingressチャートとビルドにベストエフォートのセキュリティメンテナンスを提供します。スムーズな移行のため、19.0アップグレード前に、提供されているGateway APIソリューションまたは外部管理のIngressコントローラーへの移行計画を立ててください。

非推奨通知

2. GitLab HelmチャートからバンドルのPostgreSQL、Redis、MinIOを削除

GitLab Self-Managed版（Helmチャート）

GitLab Helmチャートは、概念実証（PoC）環境やテスト環境でのGitLabセットアップを容易にするため、Bitnami PostgreSQL、Bitnami Redis、および公式MinIOチャートのフォークをバンドルしてきました。ライセンスの変更、プロジェクトメンテナンス、パブリックイメージの提供状況の変化により、これらのコンポーネントはGitLab HelmチャートおよびGitLab Operatorから代替なしで削除されます。

これらのチャートは、本番環境での使用は推奨されないことが明示されており、クイックスタートのテスト環境を構築することのみを目的としていました。

バンドルのPostgreSQL、Redis、またはMinIOを使用しているインスタンスをお持ちの場合は、移行ガイドに従って、GitLab 19.0にアップグレードする前に外部サービスを設定してください。LinuxパッケージのRedisおよびPostgreSQLはこの変更の影響を受けません。

非推奨通知

3. Resource Owner Password Credentials（ROPC）OAuthグラントを削除

GitLab.com | Self-Managed版 | Dedicated

OAuthフローとしてのResource Owner Password Credentials（ROPC）グラントのサポートは、GitLab 19.0で完全に削除されます。これは、ROPCを固有のセキュリティ上の制限を理由に削除するOAuth RFC Version 2.1標準への準拠によるものです。

GitLabはすでに、2025年4月8日よりGitLab.com上のROPCにクライアント認証を義務付けています。また、削除前に制御されたオプトアウトを可能にするための管理者設定が18.0で追加されました。

19.0アップグレード後は、クライアント認証情報を使用している場合でも、ROPCはいかなる状況でも使用できません。このグラントタイプを使用しているアプリケーションや統合は、アップグレード前に認証コードフローなどのサポートされているOAuthフローに移行する必要があります。

非推奨通知

4. PostgreSQL 16のサポート終了 — PostgreSQL 17が新しい最低要件

GitLab Self-Managed版

GitLabはPostgreSQLの年次アップグレードサイクルに従っています。GitLab 19.0ではPostgreSQL 17が必要な最低バージョンとなり、PostgreSQL 16のサポートは終了します。

PostgreSQL 17はGitLab 18.9から利用可能であるため、19.0リリース前であればいつでもアップグレードできます。

Linuxパッケージ経由でインストールした単一のPostgreSQLインスタンスを実行しているインスタンスでは、18.11アップグレード時にPostgreSQL 17への自動アップグレードが試みられる場合があります。アップグレードに十分なディスク容量があることを確認してください。

PostgreSQL Clusterを使用しているインスタンス、または自動アップグレードをオプトアウトしているインスタンスでは、GitLab 19.0にアップグレードする前にPostgreSQL 17への手動アップグレードが必要です。

非推奨通知 | アップグレードガイド

影響度：中

影響度が中程度の破壊的な変更は以下のとおりです。

1. LinuxパッケージのUbuntu 20.04サポートを廃止

GitLab Self-Managed版

Ubuntu 20.04の標準サポートは2025年5月に終了しました。GitLabのLinuxパッケージサポートプラットフォームポリシーに基づき、ベンダーによるOSサポートが終了した時点でパッケージのサポートも終了します。

GitLab 19.0からはUbuntu 20.04向けパッケージの提供を終了します。GitLab 18.11が、このディストリビューション向けの最後のLinuxパッケージリリースとなります。

現在Ubuntu 20.04でGitLabを実行している場合は、GitLab 19.0へのアップグレード前に、Ubuntu 22.04またはサポートされているオペレーティングシステムにアップグレードする必要があります。Canonicalは移行を支援するアップグレードガイドを提供しています。

非推奨通知

2. Redis 6のサポートを削除

GitLab Self-Managed版

GitLab 19.0ではRedis 6のサポートが削除されます。アップグレード前に、外部のRedis 6デプロイを使用しているインスタンスはRedis 7.2またはValkey 7.2に移行する必要があります。Valkey 7.2はGitLab 18.9でベータ版として提供開始され、GitLab 19.0での一般提供（GA）が予定されています。

Linuxパッケージに含まれるバンドルのRedisはGitLab 16.2以降Redis 7を使用しており、影響を受けません。外部のRedis 6デプロイを使用しているインスタンスのみ対応が必要です。

一般的なプラットフォームの移行リソースは以下のとおりです。

• AWS ElastiCache： Redis 7.2またはValkey 7.2にアップグレード
• GCP Memorystore： Redis 7.2またはValkey 7.2にアップグレード
• Azure Cache for Redis： Azureでは管理型のRedis 7.2またはValkey 7.2はまだ利用できません。Azure VMまたはAKS上でセルフホストするか、GitLab 19.0 GAでValkey 7.2をサポートするLinuxパッケージインストールを使用してください。
• セルフホスト： Redis 6インスタンスをRedis 7.2またはValkey 7.2にアップグレード。

非推奨通知 | 要件ドキュメント

3. heroku/builder:22イメージがheroku/builder:24に置き換え

GitLab.com | Self-Managed版 | Dedicated

Auto DevOpsで使用するクラウドネイティブビルドパック（CNB）ビルダーイメージがheroku/builder:24に更新されました。この変更は、Auto DevOpsのAuto Buildステージで提供されるauto-build-imageを使用するパイプラインに影響します。

ほとんどのワークロードは影響を受けませんが、一部のユーザーには破壊的な変更となる場合があります。アップグレード前にHeroku-24スタックのリリースノートとアップグレードノートを確認し、影響範囲を把握してください。

GitLab 19.0以降もheroku/builder:22を引き続き使用する必要がある場合は、CI/CD変数AUTO_DEVOPS_BUILD_IMAGE_CNB_BUILDERをheroku/builder:22に設定してください。

非推奨通知

4. MattermostをLinuxパッケージから削除

GitLab Self-Managed版

GitLab 19.0では、バンドルされたMattermostがLinuxパッケージから削除されます。Mattermostは2015年にGitLabとのバンドルが開始されましたが、その後スタンドアロンデプロイの選択肢が充実しました。また、Mattermost v11ではGitLab SSOが無料プランから非推奨化されたことで、バンドル統合の価値が低下しました。

バンドルのMattermostを使用していないお客様には影響がありません。現在使用している場合は、MattermostドキュメントのGitLab OmnibusからMattermost Standaloneへの移行を参照して移行手順を確認してください。

非推奨通知

5. LinuxパッケージのSUSEディストリビューションサポートを廃止

GitLab Self-Managed版

GitLab 19.0では、LinuxパッケージのSUSEディストリビューションサポートが終了します。対象は以下のとおりです。

• openSUSE Leap 15.6
• SUSE Linux Enterprise Server 12.5
• SUSE Linux Enterprise Server 15.6

GitLab 18.11がこれらのディストリビューション向けの最後のLinuxパッケージバージョンとなります。推奨される移行方法は、基盤となるOSを変更せずにアップグレードを継続できるよう、既存のディストリビューション上でGitLabのDockerデプロイに移行することです。

非推奨通知

影響度：低

影響度が低い破壊的な変更は以下のとおりです。

1. SpamcheckをLinuxパッケージおよびGitLab Helmチャートから削除

GitLab Self-Managed版

GitLab 19.0では、SpamcheckがLinuxパッケージおよびGitLab Helmチャートから削除されます。これは主に大規模なパブリックインスタンスに関連する機能であり、GitLabの顧客ベースではエッジケースに該当します。削除により、大多数のお客様のパッケージサイズと依存関係が削減されます。

現在Spamcheckを使用していないお客様には影響がありません。バンドルのSpamcheckを使用している場合は、Dockerを使用して個別にデプロイできます。データ移行は不要です。

非推奨通知

2. Slashコマンド統合（Slack）を削除

GitLab Self-Managed版 | Dedicated

SlackのSlashコマンド統合は、同等の機能をより安全に提供するGitLab for Slackアプリへの移行に伴い非推奨となります。

GitLab 19.0からは、SlackのSlashコマンドの設定および使用ができなくなります。この統合はGitLab Self-Managed版およびGitLab Dedicatedにのみ存在するため、GitLab.comユーザーへの影響はありません。

インスタンスへの影響を確認するには、影響確認ガイダンスをご参照ください。

非推奨通知

3. API経由のBitbucket Cloudインポートでアプリパスワードが使用不可に

GitLab.com | Self-Managed版 | Dedicated

AtlassianはBitbucket Cloudのアプリパスワード（ユーザー名/パスワード認証）を非推奨とし、この認証方式が2026年6月9日に機能停止することを発表しています。

GitLab 19.0からは、GitLab APIを通じてBitbucket Cloudからリポジトリをインポートする際、アプリパスワードの代わりにユーザーAPIトークンが必要になります。Bitbucket ServerからのインポートやGitLab UI経由でのBitbucket Cloudからのインポートは影響を受けません。

非推奨通知 | 影響確認

4. Exploreプロジェクトページからトレンドタブを削除

GitLab.com | Self-Managed版 | Dedicated

Explore > プロジェクトのトレンドタブおよび関連するGraphQL引数がGitLab 19.0で削除されます。トレンドアルゴリズムはパブリックプロジェクトのみを対象としているため、内部または非公開プロジェクトを主に使用するSelf-Managedインスタンスでは効果が低い状況でした。

GitLab 19.0リリースの1か月前に、GitLab.comのトレンドタブはスター数の降順に並べたアクティブタブにリダイレクトされます。

合わせて削除されるもの：Query.adminProjects、Query.projects、Organization.projects GraphQLタイプのtrending引数。

非推奨通知

5. コンテナレジストリストレージドライバーの更新

GitLab Self-Managed版

GitLab 19.0では、2つのレガシーコンテナレジストリストレージドライバーが置き換えられます。

• Azureストレージドライバー： レガシーのazureドライバーは新しいazure_v2ドライバーのエイリアスになります。手動での対応は不要ですが、信頼性とパフォーマンス向上のため、積極的な移行を推奨します。移行手順はオブジェクトストレージのドキュメントをご参照ください。非推奨通知
• S3ストレージドライバー（AWS SDK v1）： レガシーのs3ドライバーは新しいs3_v2ドライバーのエイリアスになります。s3_v2ドライバーはSignature Version 2をサポートしないため、v4auth: falseの設定は透過的に無視されます。アップグレード前にSignature Version 4への移行を実施してください。非推奨通知

6. ciJobTokenScopeAddProject GraphQLミューテーションを削除

GitLab.com | Self-Managed版 | Dedicated

ciJobTokenScopeAddProject GraphQLミューテーションは、GitLab 18.0のCI/CDジョブトークンスコープ変更と同時に導入されたciJobTokenScopeAddGroupOrProjectへの移行に伴い非推奨となります。アップグレード前に、非推奨のミューテーションを使用している自動化やツールを更新してください。

非推奨通知

7. ci_job_token_scope_enabled Projects API属性を削除

GitLab.com | Self-Managed版 | Dedicated

プロジェクトREST APIのci_job_token_scope_enabled属性はGitLab 19.0で削除されます。この属性はGitLab 18.0で基盤となる設定が削除された際に非推奨となり、以降は常にfalseを返していました。

CI/CDジョブトークンのアクセスを制御するには、CI/CDジョブトークンのプロジェクト設定を使用してください。

非推奨通知

8. GitLab.comで未認証のProjects APIページネーション制限を適用

GitLab.com

プラットフォームの安定性を維持し、一貫したパフォーマンスを確保するため、GitLab.comのProjects List REST APIへの未認証リクエストすべてに対して、最大オフセット上限50,000が適用されます。たとえば、1ページあたり20件の結果を取得する場合、pageパラメーターは最大2,500ページに制限されます。

より多くのデータへのアクセスが必要なワークフローは、キーセットベースのページネーションパラメーターを使用する必要があります。この制限はGitLab.comにのみ適用されます。GitLab Self-Managed版およびGitLab Dedicatedでは、オフセット制限はデフォルトでフィーチャーフラグ配下で無効になります。

非推奨通知

影響確認・対応に役立つリソース

お客様がGitLabインスタンスへの影響を把握できるよう、専用のツールを開発しました。影響を確認したら、各変更に関連するドキュメントに記載されている軽減手順を参照し、GitLab 19.0へのスムーズな移行を実現してください。

GitLab Detective（Self-Managed版のみ）： この実験的なツールは、設定ファイルとデータベースの値を確認することで、GitLabインストール環境の既知の問題を自動的に診断します。注意：このツールはGitLabノード上で直接実行する必要があります。

有料プランをお持ちで、これらの変更について質問があるかサポートが必要な場合は、GitLab サポートポータルからサポートチケットを開いてください。

GitLab.comの無料ユーザーの場合は、GitLabドキュメント、GitLabコミュニティフォーラム、Stack Overflowなどのコミュニティリソースを通じてサポートを受けられます。

このパートナーシップを通じて、GitLab Duo Agent PlatformはVertex AI on Google Cloudとの統合によりソフトウェア開発のオーケストレーションとライフサイクルコンテキストを自動化します。Vertex AIはエージェント呼び出しのモデル層を担い、ソフトウェアチームはすでに定義済みのGoogle Cloudポリシーに従って推論を実行しながら、イシュー、マージリクエスト、パイプライン、セキュリティワークフローの作業を継続できます。

Google CloudのVertex AIモデルの進化により、Google CloudユーザーはGitLab Duo Agent Platformをさらに活用できるようになっています。GitLabではAIを活用したDevSecOpsコントロールプレーンを、Vertex AIの急速に進化するAIインフラ基盤と、Duo Agent Platformの柔軟なデプロイ・統合オプションが支えています。この組み合わせにより、エンタープライズスケールで動作する、より高度でガバナンスの効いたエージェント型ワークフローが実現します。

開発ライフサイクル全体にわたるエージェント

多くのAIツールは、コードをより速く生成するという単一のタスクに集中しています。GitLab Duo Agent Platformはそれをさらに超え、計画からセキュリティレビュー、リリースまで、ソフトウェア開発ライフサイクル（SDLC）全体にわたってAIエージェントをオーケストレーションします。これは、多数のプロジェクトとリリースを抱える多くのチームを対象としています。このスケールにおいて、AIコーディングアシスタントは継続的なイノベーションに必要ではありますが、それだけでは十分ではありません。

単一目的のコーディングアシスタントがプロジェクトの全体像を把握することはほとんどありません。バックログの状況、オープン中のマージリクエスト、失敗したジョブ、セキュリティの検出結果はGitLabに蓄積されていますが、コーディングアシスタント内の別のチャットウィンドウはSDLCのその全体像を引き継ぐことができません。このギャップは、手動によるハンドオフ、コンテキストを持たないAIへの重複した説明、そして一つのシステムとして設計されたわけではないツール間のデータフローをマッピングしようとするガバナンスチームという形で表れます。

GitLab Duo Agent Platformは、エンジニアが日々使用するオブジェクト上でエージェントとフローを動作させることで、このギャップを埋めます。Google Cloudを推論の基盤として選択している場合、Vertex AIはエージェントが呼び出すモデルとサービスを提供し、GitLabのAI Gatewayがアクセスを仲介することで管理者はどこに何が接続されているかを明確に把握できます。例えば、GitLab Duo Planner Agentはバックログを分析し、エピックを構造化タスクに分解し、優先順位付けフレームワークを適用することで、次に何を構築するかをチームが判断するのを支援します。Security Analyst Agentは脆弱性をトリアージし、平易な言葉でリスクを説明し、優先順位に従って修正を推奨します。ビルトインのフローはこれらのエージェントをエンドツーエンドのプロセスへと連結し、開発者がすべてのハンドオフを手動で管理する必要をなくします。

GitLab Duo Agent PlatformのAgentic Chatは、開発者にとって統合された体験を提供します。自然言語でクエリを投げかけることで、プロジェクトのイシュー、マージリクエスト、パイプライン、セキュリティの検出結果、コードベースといった全体像を踏まえた多段階の推論に基づくコンテキスト対応の回答が得られます。GitLabがSDLCの統一データモデルを持つ記録システムとして機能しているため、GitLab Duoエージェントは、スタンドアロンのツール固有AIアシスタントでは到達できないライフサイクルコンテキストをもとに動作します。

Vertex AIによる能力の拡張

GitLab Duo Agent Platformはモデルフレキシブルな設計となっており、タスクごとに最適なパフォーマンスを発揮するモデルへと異なる機能をルーティングします。このアーキテクチャの選択はGoogle Cloud上で効果を発揮します。Vertex AIはファウンデーションモデルと関連サービスのマネージド環境として機能し、幅広いモデルエコシステムとマネージドインフラを提供することでプラットフォームの能力をさらに引き出します。

Vertex AIを通じて利用できる最新世代のAIモデルは、以前のバージョンと比較して推論、ツール使用、長文コンテキスト理解において大幅な改善をもたらします。これらはまさに、GitLabのエージェントが大規模で複雑なコードベースを持つ多くのプロジェクトとチームにわたって依拠するプロパティです。基盤モデルにおけるより長いコンテキストウィンドウと豊富なツール連携により、エージェントが一度のパスで達成できることが広がり、深いバックログ分析やモノレポのセキュリティレビューといったワークロードに特に重要な意味を持ちます。

幅広いファウンデーションモデルへのアクセスを提供するVertex AI Model Gardenにより、ベンダーロックインではなく、パフォーマンス、コスト、規制要件に基づいてこれらの選択を行う自由がお客様に与えられます。

さらに、GitLabのお客様はDuo Agent PlatformにBYOM（Bring Your Own Model）を利用することで、承認済みのプロバイダーとゲートウェイをセキュリティモデルが期待する場所に配置できます。18.9リリースにおけるセルフホスト型Duo Agent PlatformとBYOMの解説では、その仕組みが詳しく説明されています。このデプロイオプションにより、お客様はソフトウェア開発プロセスに合わせてカスタマイズできるより広いモデルの選択肢へのアクセスを得られます。適切なワークフローに、適切なモデルを、適切なガードレールとともに。

GitLabがVertex AIを基盤として選択したのは、エンタープライズグレードの信頼性と比類ないモデルの幅広さへのニーズによるものです。Vertex AIとModel Gardenは、LLMホスティングの重労働を完全に抽象化し、迅速なバージョン提供、堅牢なセキュリティ、厳格なガバナンスをシームレスに統合に組み込んでいます。Geminiモデルの提供にとどまらず、Vertex AIはサードパーティおよびオープンソースモデルの豊富なカタログへのグローバルかつ低レイテンシのアクセスを提供します。

GoogleCloudの業界をリードするデータプライバシーとモデル保護へのアプローチと組み合わせることで、Vertex AIはGitLabの次世代デベロッパーエクスペリエンスを支える明確な選択肢として浮上しました。

Vertex AI Model GardenをバックエンドへIntegrateすることで、GitLabはDevSecOpsプラットフォームを強化しながら、その複雑さをユーザーに負わせることがありません。開発チームは基盤となるLLMの評価や管理に煩わされることなく、アプリケーション構築のための効率的なAI支援ワークフローを体験できます。

GitLabはクラウドオーケストレーションを完全に抽象化し、開発者が優れたコードの記述に集中できる環境を提供する一方、Vertex AIはその支援となる機能を動かしています。

Google Cloudをご利用のお客様への意義

GitLab Duo Agent Platformはすでに、一つのガバナンスの効いた記録システムの中でソフトウェアライフサイクル全体にわたって動作するAIエージェントを提供しています。Google Cloud上では、Vertex AIがモデルとインフラ層を継続的に進化させながら、迅速なイノベーションを可能にします。

Google Cloudをご利用のお客様にとって、この統合は厳格なエンタープライズガバナンスを維持しながらソフトウェア提供を効率化することを意味します。プラットフォームエンジニアリンググループにとっては、クライアントサイドのツールを数十種類カタログ化するのではなく、GitLab内の提案、分析、修正を担うVertex AI連携モデルを標準化することを意味します。セキュリティプログラムは、エージェントが開発者がすでに検出結果をトリアージしている場所と同じ場所で修正を提案・検証することで、頭の切り替えを減らし、管理されていないチャネルへ流出していた作業を削減できます。

クラウドの費用対効果とポリシーの観点から、GitLab内からVertexへのエージェント推論をまとめることで、Google Cloud上ですでに運用している契約や統制に近い形で使用量を管理でき、調達プロセスを迂回する重複支出やシャドーパスを回避するのに役立ちます。

Vertex AIはGitLab Duo Agent Platformの基盤インフラプロバイダーであるため、組織はAIツールチェーンの断片化を管理するオーバーヘッドとリスクなしに、デベロッパーの生産性を大幅に向上させることができます。チームは単一のセキュアな記録システムの中で足並みを揃え、アプリケーションをより速くビルドし、確信を持ってリリースできるようになります。

GitLabとGoogle Cloudのコラボレーションは2018年から続いています。今日、これはAIの実験から、Google Cloud上での完全にガバナンスが効いたエージェント型ソフトウェア開発へと移行する組織にとって、最も包括的なパスの一つとなっています。GitLabがエージェントオーケストレーションとデベロッパーコンテキストを拡充し、Vertex AIがモデル能力とエージェントインフラの限界を押し広げていく中で、共同顧客にとっての価値は今後も成長し続けるでしょう。

GitLab Duo Agent Platformの無料トライアルを開始して、Google Cloud上でのGitLabとVertex AIのパワーをぜひご体験ください。

今月は内容が盛りだくさんです。GitLab 18.10、エージェント型AIへのアクセス拡大、Claude Marketplaceでの大きな前進、グローバルなハッカソン、そしてお客様による実際の素晴らしい成果についてお話しします。

取り上げる内容がたくさんあるので、さっそく見ていきましょう👇👇👇👇👇👇👇

AIによってコードを書くスピードはこれまでになく速くなりました。しかし、多くのチームが実感しているように、もはや本当のボトルネックはそこではありません。

問題は、その後のプロセスです。

GitLab 18.10は、エージェント型AIをソフトウェアライフサイクルのより深い部分に組み込み、あらゆる規模のチームがより簡単に、より手頃に、そしてより実用的に導入できるように設計されています。

私が特に注目しているポイントをいくつかご紹介します：

• 無料プランにもエージェント型AIを提供：GitLab.comの無料プランを利用しているチームでも、GitLabクレジットの月額コミットを購入することで、ユーザー単位の課金なしにGitLab Duo Agent Platformを利用できるようになりました
• Agentic Code Reviewのコストを固定化：コードレビュー1件あたり25セント（現在はGitLabクレジット1つで4件）となり、コストの予測性を保ちながら、すべてのプロジェクトやマージリクエストにスケール可能になりました
• SASTの誤検出判定機能が一般提供開始：GitLab Duo Agent Platformを利用するGitLab Ultimateユーザー向けに提供され、セキュリティおよび開発チームが重要な脆弱性とその対応をより適切に優先付けできるようになります
• 60以上の改善：プランニングからセキュリティ、CI/CDまで、このリリースはコミット間でチームのボトルネックを解消することに焦点を当てています

ここでの大きな変化は明確です。コードを書くスピードを上げるAIから、その後に必要となるすべてのソフトウェアエンジニアリング業務を支援するAIへと移行しているのです。

🔗 リリースノートの詳細はこちら。

GitLab Duo Agent PlatformがClaude Marketplaceで利用可能に

組織は、既存のAnthropicとの契約を活用してGitLabを購入し、エンタープライズレベルのセキュリティ、品質、ガバナンスを維持しながら、ソフトウェアライフサイクル全体でエージェント型AIを統合・活用できるようになりました。

（はい…Flowlandsは実在します。まあ、概念として。）

最近、GitLabのテーマパークについて何か見かけたなら、それは見間違いではありません。

Flowlandsは、エイプリルフールの企画でした。ソフトウェア開発が“物理的な体験”になるという、少し突飛で完全に想像上の世界です。

でも正直なところ、みんな行ってみたいですよね。

🎢🎡🎪🎠 見逃した方は、ぜひテーマパークのカルーセルをご覧ください！（ダジャレです😄）

GitLab Hackathon: 2026年4月16日〜23日

現実に戻りましょう。

グローバルGitLabハッカソンは2026年4月16日から23日まで開催され、プラットフォームやコミュニティに実際に触れながら参加できる最高の機会のひとつです。

• 実際のGitLabプロジェクトに貢献
• グローバルなオープンソースコミュニティと協働
• コード、ドキュメント、UXなど幅広い分野で開発
• 賞品を獲得し、GitLabプロフィールを強化

初心者でも経験者でも、参加して実際に手を動かし始める絶好のチャンスです。

🔗 こちらから参加できます。どなたでも歓迎です！

カスタマースポットライト：Canada Life

今月特に印象的だったのは、チームが本格的にAIを活用したときに何が起こるかを目の当たりにしたことです。

私たちはCanada Lifeと提携し、2日間のAIハッカソンを実施しました。開発、セキュリティ、コンプライアンス、ビジネス部門から100名以上が参加し、実際にエンタープライズレベルのソリューションを構築しました。

その結果は驚くべきものでした：

• わずか48時間で10件のエンタープライズ向けAIソリューションを構築
• コードレビュー時間を40％削減
• リリースノート作成時間を90％削減
• コンプライアンス違反を80％削減

さらに、コストを96.7％削減したレガシーコードのモダナイゼーション支援ツールや、オンボーディング時間を半分に短縮した開発者向けオンボーディングアシスタントなども開発されました。

彼らの言葉を借りると：

「もし48時間でこれだけのことができるなら、

この先に何が待っているのか想像してみてください。」

今後のイベント

今月はオンライン・オフラインともに多数のイベントを予定しており、ぜひご参加いただければ嬉しいです。

注目のイベントをいくつかご紹介します：

🔗 Wherever you are in the world, there’s something happening so check out our events page here!

今月のおすすめ

今月も興味深い記事をいくつか紹介します。

政府機関のチームがAIを活用したDevOpsによってどのようにモダナイゼーションを進めているのか、技術的負債の削減からライフサイクルの早い段階でのセキュリティ組み込みまでを探っています。

また、企業全体でのAI導入がどのように進化しているのかにも注目しています。特に、単なるコード生成を超えてワークフローを統合する方法や、SDLC全体にわたる複雑性の管理について考察しています。

🔖 少し時間があるときにじっくり読めるよう、ぜひブックマークしておいてください！

画像出典：Chemical Heritage Foundation

本当に、この4月はたくさんのことが起きています。エージェント型AIによって、より多くの実験や探求の余地が生まれていて、こんな言葉を思い出しました。

「新しいアイデアに心を開き、いろいろ試してみることでさまざまなことが起こり得る。」

ケブラーの発明者であるステファニー・クオレクの言葉です。まさに今の状況にぴったりだと感じます。

AIが反復的な作業の多くを担うようになることで、開発者はより自由に実験し、探求し、次のものを創り出す余地を手にしています。

お読みいただきありがとうございました。ウェブキャストやIssueでお会いできるのを楽しみにしています。そして、これからも対話を続けていきましょう。それでは、いつものようにHappy Merging!

Fatima Sarah Khalid｜Senior Developer Advocate, GitLab

このニュースレターが気に入ったら、ぜひチームに共有してください。 そして👉YouTubeチャンネルの登録もお忘れなく！

わずか12日間で4件の独立したサプライチェーン攻撃が発生し、継続的インテグレーション／継続的デリバリー（CI/CD）パイプラインが高度な脅威アクターにとって格好の標的となっていることが明らかになりました。

2026年3月19日から31日にかけて、脅威アクターは以下のツールを侵害しました。

• オープンソースのセキュリティスキャナー（Trivy）
• Infrastructure as Code（IaC）セキュリティスキャナー（Checkmarx KICS）
• AIモデルゲートウェイ（LiteLLM）
• JavaScript HTTPクライアント（axios）

いずれの攻撃も同じ侵入口を狙っていました。それがビルドパイプラインです。 本記事では、何が起きたのか、なぜパイプラインが特に脆弱なのか、そしてGitLabの集中型ポリシー適用（以下で定義するポリシーを使用）が、これらの攻撃パターンを本番環境に到達する前にブロック・検出・封じ込める方法を解説します。

数百万人が信頼するツールが、わずか数分で侵害された

サプライチェーン攻撃のタイムラインは以下のとおりです。

3月19日：Trivyセキュリティスキャナーが攻撃のベクターに

Trivyは、世界で最も広く使われているオープンソースの脆弱性スキャナーの1つです。脆弱性を検出するためにパイプライン内で実行されるツールです。

3月19日、TeamPCPと呼ばれる脅威アクターグループが侵害された認証情報を使用し、aquasecurity/trivy-action GitHub Actionの76バージョンタグ（全77件中）およびaquasecurity/setup-trivyの全7タグに悪意のあるコードをforce-pushしました。同時に、トロイの木馬化されたTrivyバイナリ（v0.69.4）が公式配布チャネルに公開されました。このペイロードは認証情報を窃取するマルウェアで、Trivyスキャンを実行したすべてのパイプラインから環境変数、クラウドトークン、SSHキー、CI/CDシークレットを収集しました。

このインシデントにはCVE-2026-33634が割り当てられ、CVSSスコアは9.4でした。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は数日以内にこれを既知の悪用済み脆弱性カタログに追加しました。

3月23日：次はCheckmarx KICSが標的に

TeamPCPは窃取した認証情報を使い、CheckmarxのオープンソースプロジェクトであるKICS（Keeping Infrastructure as Code Secure）に攻撃対象を移しました。ast-github-actionおよびkics-github-action GitHub Actionに同じ認証情報窃取マルウェアを注入し、3月23日の12:58〜16:50 UTCの間、これらのアクションを参照するCI/CDパイプラインはすべて、APIキー、データベースパスワード、クラウドアクセストークン、SSHキー、サービスアカウントの認証情報などの機密データを密かに外部に送信していました。

3月24日：Trivyの侵害された認証情報を経由してLiteLLMも被害を受ける

月間9,500万ダウンロードのLLM APIプロキシであるLiteLLMが次の標的になりました。TeamPCPは、TrivyでスキャンしていたLiteLLM自身のCI/CDパイプラインから収集した認証情報を使用し、PyPIにバックドアを仕込んだバージョン（1.82.7および1.82.8）を公開しました。

バージョン1.82.7を標的としたマルウェアは、litellm/proxy/proxy_server.pyにインポート時に実行されるbase64エンコードされたペイロードを直接注入していました。バージョン1.82.8を標的としたものは、Pythonインタープリタ起動時に自動実行される.pthファイルを使用していました。LiteLLMをインストールするだけでペイロードが起動してしまう仕組みです。攻撃者は窃取したデータ（SSHキー、クラウドトークン、.envファイル、暗号資産ウォレット）を暗号化し、本物のドメインに似せたmodels.litellm.cloudに外部送信しました。

3月31日：単純なパッケージングミスがAIコーディングアシスタントのソースコードを流出させる

TeamPCPの攻撃キャンペーンがまだ続く中、あるソフトウェア企業が59.8 MBのソースマップファイルを含むnpmパッケージを公開してしまいました。そのファイルには、AIコーディングアシスタントの完全な未縮小TypeScriptソースコードへの参照が含まれており、自社のCloudflare R2バケットでホストされていました。

この流出により、1,900のTypeScriptファイル、512,000行以上のコード、44の隠し機能フラグ、未公開のモデルコードネーム、そして知る人ぞ知る場所へのアクセス方法を知っていれば誰でも確認できるシステムプロンプトの全文が公開されてしまいました。エンジニアのGabriel Anhaia氏が解説したように、「.npmignoreまたはpackage.jsonのfilesフィールドの設定ミスが1つあるだけで、すべてが露出してしまいます」。

3月31日：axiosとサプライチェーンへのもう1つのトロイの木馬

同日、週間1億ダウンロード超のJavaScript HTTPクライアントであるaxios npmパッケージを狙った高度なキャンペーンが実行されました。

侵害されたメンテナーアカウントによりバックドアを仕込んだバージョン（1.14.1および0.30.4）が公開されました。悪意のある依存関係（plain-crypto-js@4.2.1）が注入され、macOS、Windows、Linuxで動作するリモートアクセス型トロイの木馬（RAT）がデプロイされました。2つのリリースブランチともに39分以内に感染し、マルウェアは実行後に自己消去するよう設計されていました。

これらの攻撃に潜む共通パターン

5件のインシデントを通じて、3つの明確な攻撃パターンが浮かび上がってきます。いずれもCI/CDパイプラインがその入力に対して暗黙的に持つ信頼を悪用するものです。

パターン1：汚染されたツールとアクション

TeamPCPのキャンペーンは、ある根本的な前提を突いていました。それは、パイプライン内で実行されるセキュリティツール自体は信頼できるという思い込みです。GitHubアクションのタグやPyPIパッケージのバージョンが悪意のあるコードに解決された場合、パイプラインはそれを環境シークレット、クラウド認証情報、デプロイトークンへのフルアクセス権限で実行してしまいます。パイプラインはタグを信頼するため、検証ステップが存在しないのです。

推奨されるパイプラインレベルの対策： 可変バージョンタグではなく、不変の参照（コミットSHAまたはイメージダイジェスト）にツールとアクションをピン留めしてください。ピン留めが現実的でない場合は、既知の正常なチェックサムまたは署名に対してツールと依存関係の整合性を検証してください。検証に失敗した場合は実行をブロックします。

パターン2：知的財産（IP）を漏洩するパッケージング設定ミス

設定ミスのあるビルドパイプラインが、デバッグ成果物をそのまま本番パッケージに含めて出荷してしまいました。.npmignoreまたはpackage.jsonのfilesフィールドの設定ミスが1つあれば十分です。公開前の検証ステップを設けておけば、こうした問題は毎回防ぐことができます。

推奨されるパイプラインレベルの対策： パッケージを公開する前に、パッケージの内容を許可リストに対して検証し、予期しないファイル（ソースマップ、内部設定ファイル、.envファイル）をフラグとして検出し、チェックに失敗した場合は公開ステップをブロックする自動チェックを実行してください。

パターン3：推移的依存関係の脆弱性

axiosへの攻撃は、axiosを直接使用しているユーザーだけでなく、依存関係ツリーが侵害されたバージョンに解決されるすべてのユーザーを標的にしました。ロックファイル内で一度依存関係が汚染されると、組織全体のビルドインフラに波及する可能性があります。

推奨されるパイプラインレベルの対策： 依存関係のチェックサムを既知の正常なロックファイルの状態と比較してください。予期しない新しい依存関係やバージョン変更を検出し、未検証のパッケージを導入するビルドをブロックします。

GitLabパイプライン実行ポリシーによる各攻撃パターンへの対処

GitLabパイプライン実行ポリシー（PEP）は、セキュリティチームおよびプラットフォームチームが、開発者が.gitlab-ci.ymlで定義した内容に関わらず、組織全体のすべてのパイプラインに必須のCI/CDジョブを注入できる仕組みです。PEPで定義されたジョブは、[skip ci]や[no_pipeline]ディレクティブを使ってもスキップできません。ジョブは開発者のパイプラインを前後から挟む予約済みステージ（.pipeline-policy-preおよび.pipeline-policy-post）で実行できます。

3つのパターンすべてに対応するパイプライン実行ポリシーをオープンソースプロジェクトとして公開しています：Supply Chain Policies。これらのポリシーは独立してデプロイ可能で、それぞれテスト用の違反サンプルが同梱されています。各ポリシーの仕組みをご紹介します。

ユースケース1：パッケージ公開時の意図しない情報露出を防ぐ

問題： ビルドパイプラインが公開時の検証をスキップしたため、ソースマップファイルがAIコーディングツールのnpmパッケージに含まれてしまいました。

PEPによるアプローチ： この種のエラーに特化したオープンソースのパイプライン実行ポリシーを作成しました：Artifact Hygiene。

このポリシーは、公開ステップが実行される前に、アーティファクトタイプ（npmパッケージ、Dockerイメージ、またはHelmチャート）を自動検出してその内容を検査する.pipeline-policy-preジョブを注入します。npmパッケージに対しては、3つのチェックを実行します。

1. ファイルパターンのブロックリスト。 npm packの出力をスキャンし、ソースマップ（.map）、テストディレクトリ、ビルド設定、IDE設定、src/ディレクトリを検出します。
2. パッケージサイズゲート。 AIツールを流出させた59.8 MBパッケージのように、50 MBを超えるパッケージをブロックします。
3. sourceMappingURLスキャン。 外部URL（大手AI企業のソースコードを露出させたR2バケットのパターン）、インラインのdata: URI、JavaScriptバンドルに埋め込まれたローカルファイル参照を検出します。

違反が検出されると、パイプラインは失敗したCIジョブのログに明確なレポートを出力して終了します。

=============================================
FAILED: 3 violation(s) found
=============================================
BLOCKED: dist/index.js.map (matched: \.map$)
BLOCKED: dist/index.js contains external sourceMappingURL
BLOCKED: dist/utils.js contains inline sourceMappingURL

This check is enforced by a Pipeline Execution Policy. If this is a false positive, contact the security team to update the policy project or exclude this project.

このポリシーには、ユーザーが設定できるCI変数はありません。開発者が無効化したり回避したりすることはできません。例外はポリシーレベルでセキュリティチームが管理するため、意図的なプロセスと明確な監査証跡が確保されます。

リポジトリには意図的な違反を含むテストプロジェクト（examples/leaky-npm-package/）が含まれており、組織にデプロイする前にポリシーの動作を確認できます。READMEには、セットアップとデプロイの完全なクイックスタートガイドが含まれています。

検出できる問題： これらのコントロールのどれか1つでもあれば、AI企業のソースコード流出は防げていた可能性があります。

• ソースマップファイルはファイルパターンのブロックリストに引っかかります。
• 59.8 MBというサイズはサイズゲートに引っかかります。
• 外部R2バケットを指すsourceMappingURLはURLスキャンに引っかかります。

ユースケース2：依存関係の改ざんとロックファイル操作を検出する

問題： axiosへの攻撃では、インストール時にRATを実行する悪意のある推移的依存関係（plain-crypto-js）が導入されました。侵害が行われた期間中にnpm installを実行したすべての人がトロイの木馬を取り込んでしまいました。

PEPによるアプローチ： Dependency Integrityポリシーは、パッケージエコシステム（npmまたはPython）を自動検出し、3つのチェックを実行する.pipeline-policy-preジョブを注入します。

npmプロジェクトの場合（package-lock.json、yarn.lock、またはpnpm-lock.yamlによってトリガー）：

1. ロックファイルの整合性。 npm ci --ignore-scriptsを実行します。node_modulesの内容がロックファイルの指定と異なる場合、失敗します。これにより、package.jsonは更新されたがロックファイルが再生成されていないケースを検出し、SRIインテグリティハッシュも検証します。
2. ブロックパッケージスキャン。 ロックファイルの完全な依存関係ツリーを、侵害が確認済みのパッケージバージョンのGitLab管理リストであるblocked-packages.ymlと照合します。同梱のブロックリストにはaxios@1.14.1、axios@0.30.4、plain-crypto-js@4.2.1が含まれています。
3. 未宣言の依存関係の検出。 インストール後、node_modulesの内容をロックファイルと比較します。ディスク上に存在するがロックファイルに存在しないパッケージは改ざんの証拠です（例：追加パッケージを取得する侵害されたpostinstallスクリプト）。

Pythonプロジェクトの場合（requirements.txt、Pipfile.lock、poetry.lock、またはuv.lockによってトリガー）：

1. ロックファイルの整合性。 分離された仮想環境にインストールし、ロックファイルからのインストールが成功することを確認します。
2. ブロックパッケージスキャン。 同じブロックリストのアプローチです。同梱リストにはlitellm==1.82.7およびlitellm==1.82.8が含まれています。
3. .pthファイルの検出。 site-packagesの.pthファイルをスキャンし、実行可能なコードパターン（import os、exec(、eval(、__import__、subprocess、socket）を検出します。これはLiteLLMバックドアが使用したまさにその仕組みです。

違反が検出されると：

=============================================
FAILED: 1 violation(s) found
=============================================
BLOCKED: axios@1.14.1 is a known-compromised package

This check is enforced by a Pipeline Execution Policy.

このポリシーはストリクトモードで動作します。コミット済みのロックファイルに存在しない依存関係は、パイプラインをブロックします。開発者が依存関係を追加する必要がある場合は、更新されたロックファイルをコミットします。ポリシーはインストールされたバージョンがコミットされたバージョンと一致することを確認します。コミットされていないものが現れた場合（例：侵害されたアップストリームパッケージ経由で注入された推移的依存関係）、パイプラインはブロックされます。

検出できる問題： plain-crypto-jsという新規かつ未確認の依存関係の導入は、未宣言の依存関係チェックによってフラグが立てられます。axios@1.14.1バージョンはブロックパッケージスキャンによって検出されます。LiteLLMの.pthファイルは.pth検出チェックによって検出されます。各攻撃に対して、少なくとも1つ、多くの場合は2つの独立した検出シグナルがあります。

ユースケース3：侵害されたツールを実行前に検出・ブロックする

問題： TeamPCPは、信頼できるTrivyとCheckmarxのGitHubアクションタグを悪意のあるバージョンに置き換えました。これらのタグを参照するパイプラインはすべて、認証情報を窃取するマルウェアを実行してしまいました。

PEPによるアプローチ： Tool Integrityポリシーは、GitLab CI Lint API（またはフォールバックとして.gitlab-ci.ymlを評価する仕組み）にクエリを発行し、コンテナイメージの参照を抽出して、セキュリティチームが管理する承認済みイメージ許可リストと照合する.pipeline-policy-preジョブを注入します。

許可リスト（approved-images.yml）は、イメージごとに3つの制御をサポートしています。

承認済みリポジトリ： リスト上のリポジトリからのイメージのみが許可されます。未知のリポジトリはパイプラインをブロックします。

許可されているタグ： 承認済みリポジトリ内でも、特定のタグのみが許可されます。これにより、未テストバージョンへの移行を防ぎます。

ブロックされているタグ： リポジトリが承認済みであっても、既知の侵害バージョンを明示的にブロックできます。同梱の許可リストは、TeamPCPがトロイの木馬化した正確なバージョンであるaquasec/trivy:0.69.4から0.69.6をブロックします。

違反が検出されると、他のジョブが実行される前にパイプラインが失敗します。

=============================================
FAILED: 1 violation(s) found
=============================================
BLOCKED: aquasec/trivy:0.69.4 (job: trivy-scan)

 - tag '0.69.4' is known-compromised

This check is enforced by a Pipeline Execution Policy.

許可リストは、ポリシープロジェクトに対するMRを通じて管理されます。新しい承認済みイメージを追加するには、セキュリティチームがMRを開きます。新たな侵害への対応には、ブロックするタグを追加するだけです。コードの変更は不要で、YAMLだけで管理できます。

検出できる問題： 未承認のタグを持つイメージが検出されると、ポリシーはイメージのリポジトリ名とタグを許可リストと照合します。一致しない場合、スキャナーが実行される前にパイプラインをブロックし、認証情報の外部送信を防ぎます。

注：上記のサンプルを拡張することで、PEPをタグではなくダイジェストへのピン留めを強制するために使用できます。これはforce pushに対して耐性があります。このサンプルは、より基本的なタグベースの適用パターンを示しています。

PEPを超えて：GitLabのサプライチェーン防御

パイプライン実行ポリシーは適用のレイヤーですが、サプライチェーン保護において多層防御（defense-in-depth）戦略の一部として機能するときに最大の効果を発揮します。GitLabは、サプライチェーン保護においてPEPを補完するいくつかの機能を提供しています。

シークレット検出

GitLabのシークレット検出は、認証情報がそもそもリポジトリに入り込むことを防ぎ、侵害されたパイプラインツールが収集できる情報を大幅に削減します。2026年3月の攻撃の文脈では：

• リポジトリに保存された認証情報は、攻撃者にとって発見しやすく、ローテーションも遅くなります。Trivyのインシデントでは、ローテーションプロセス自体も悪用されました。Aqua Securityのローテーションはアトミックではなく、攻撃者は古いトークンが完全に失効する前に新たに発行されたトークンを取得しました。GitLabのシークレット検出には、漏洩したGitLabトークンの自動失効機能と、サードパーティプロバイダーへの認証情報失効通知を行うパートナーAPIが含まれており、侵害発生時の対応を迅速化します。
• シークレット検出と適切なシークレット管理（短命トークン、Vault基盤の認証情報、パイプラインシークレットへの最小限の露出）を組み合わせることで、信頼済みツールが悪意を持つ動作をした場合でも、攻撃者がアクセスできる範囲を制限します。

ソフトウェアコンポジション解析（SCA）による依存関係スキャン

GitLabの依存関係スキャンは、ロックファイルとマニフェストを解析することで、プロジェクトの依存関係における既知の脆弱性を特定します。2026年3月の攻撃の文脈では：

• LiteLLMについては、侵害されたバージョン（1.82.7、1.82.8）がGitLabのアドバイザリデータベースで追跡されており、影響を受けるPythonプロジェクトに自動的にフラグを立てます。
• axiosについては、依存関係スキャンが組織内のすべてのプロジェクトで侵害されたバージョン（1.14.1、0.30.4）を特定し、セキュリティチームに影響範囲の評価と認証情報ローテーションの優先順位付けのための一元的なビューを提供します。
• 同様に、TeamPCPのCanisterWorm伝播によって侵害されたすべてのnpmパッケージも、使用されている場合はフラグが立てられます。

GitLabコンテナスキャンは、デプロイメントで使用される脆弱なコンテナイメージを検出します。Trivyの侵害については、コンテナスキャンがコンテナレジストリまたはデプロイメントマニフェストに現れたトロイの木馬化されたTrivyのDockerイメージ（0.69.4〜0.69.6）にフラグを立てます。

マージリクエスト承認ポリシー

マージリクエスト承認ポリシーは、依存関係のロックファイルやCI/CD設定への変更がマージされる前にセキュリティチームの承認を必須とすることができます。これにより、サプライチェーン攻撃が一般的に導入する種類の変更に対して、人間によるチェックポイントが確保されます。

近日公開予定：依存関係ファイアウォール、アーティファクトレジストリ、SLSAレベル3の認証と検証

今後予定されているGitLabのサプライチェーンセキュリティ機能は、レジストリとパイプラインという2つの重要なコントロールポイントにおけるポリシー適用を強化します。依存関係ファイアウォールとアーティファクトレジストリは非準拠のパッケージをブロックし、SLSAレベル3の認証によってアーティファクトが承認されたパイプラインで生成され、改ざんされていないという暗号学的な証明が提供されます。これらを組み合わせることで、セキュリティチームはソフトウェアサプライチェーンへの入出力を検証可能な形で管理できるようになります。

あなたの組織にとっての意味

AI支援型の脅威が高まる中、CI/CDパイプラインへの攻撃はますます一般的になっています。TeamPCPのキャンペーンは、1つの侵害された認証情報が信頼済みツールのエコシステム全体にどう波及するかを示しています。

影響を受けたコンポーネントを使用していた場合は、すべてのパイプラインシークレットが露出したという前提で行動してください。直ちにローテーションし、永続的なバックドアがないかシステムを監査してください。いずれの場合も、認証情報を定期的にローテーションし、短命トークンを使用することで、将来の侵害のブラスト半径を制限できます。

推奨事項をまとめます：

1. 可能な限り、依存関係をチェックサムにピン留めしてください。 TeamPCPが悪用した可変バージョンタグは、セキュリティ境界ではありません。すべてのCI/CDコンポーネント、アクション、コンテナイメージにはSHAピン留め参照を使用してください。
2. 実行前の整合性チェックを実行してください。 パイプライン実行ポリシーを使用して、パイプラインジョブが実行される前にツールと依存関係の整合性を確認してください。これが.pipeline-policy-preステージです。
3. 公開するものを監査してください。 すべてのパッケージ公開ステップには、アーティファクトの内容を自動検証する処理を含めてください。ソースマップ、環境ファイル、内部設定はビルド環境から外部に出すべきではありません。Supply Chain Policyプロジェクトは、npm、Docker、Helmアーティファクトのすぐにデプロイできる出発点を提供しています。
4. 依存関係のドリフトを検出してください。 すべてのパイプライン実行において、依存関係の解決結果をコミット済みロックファイルと比較してください。予期しない新しい依存関係を監視します。
5. ポリシー管理を集中化してください。 セキュリティチェックを含めることを開発者の記憶に頼らないでください。開発者が削除やスキップをできないポリシーを通じて、グループまたはインスタンスレベルで適用してください。
6. セキュリティツール自体が標的になると想定してください。 脆弱性スキャナー、静的アプリケーションセキュリティテスト（SAST）ツール、AIゲートウェイは侵害される可能性があります。各ツールの権限は最低限必要なものに限定し、その他へのアクセスが不可能であることを確認してください。

GitLabでパイプラインを保護する

2週間にわたり、攻撃者はソフトウェア開発エコシステムで最も広く採用されているツールの一部を使用している組織の本番パイプラインを侵害しました。

教訓は明確です。ビルドパイプラインには、ネットワークやクラウドインフラに適用するのと同じレベルの集中管理されたポリシー駆動の保護が必要です。

GitLabパイプライン実行ポリシーは、その適用レイヤーを提供します。個々のプロジェクト設定に関わらず、すべてのプロジェクトのすべてのパイプラインでセキュリティチェックが実行されることを保証します。依存関係スキャン、シークレット検出、マージリクエスト承認ポリシーと組み合わせることで、2026年3月に見られたクラスの攻撃をブロック、検出、封じ込めることができます。

Supply Chain Policiesプロジェクトは、大手AI企業の流出事故の背後にある種類のエラーを正確に検出する、動作するパイプライン実行ポリシーを提供しています。npmパッケージ、Dockerイメージ、Helmチャートに対応しています。クローンして、グループにデプロイし、今後のサプライチェーン攻撃に備えてすべてのパイプラインを準備してください。

集中管理されたパイプラインポリシーを始めるには、GitLab Ultimateの無料トライアルにサインアップしてください。

このブログ記事には、1933年証券法第27A条（改正済み）および1934年証券取引法第21E条の意味における「将来の見通しに関する記述」が含まれています。これらの記述に反映された予想は合理的であると信じておりますが、実際の結果や成果を大幅に異なるものにする可能性のある既知および未知のリスク、不確実性、前提条件、その他の要素の影響を受けることがあります。これらのリスクおよびその他の要素に関するさらなる情報は、SECへの提出書類の「リスク要因」という見出しの下に記載されています。法律で要求される場合を除き、このブログ投稿の日付以降にこれらの記述を更新または修正する義務を負いません。

これらの機能により、以下のことが可能になります。

• 日常のワークフローにおいて繰り返し設定する必要のあったフィルター設定が不要になります
• チーム全体が統一された方法で作業を確認・評価できます
• 標準化されたレポート作成やステータス確認が容易になります

ワークアイテムとは？

これまで、エピックとイシューはそれぞれ別のリストページに存在していたため、ユーザーはページ間を行き来する必要がありました。ワークアイテムリストは、エピック・イシューをはじめとするすべてのワークアイテムタイプを単一の統合リストにまとめ、異なるワークアイテムタイプごとにページを切り替える手間をなくします。

この機能は、今後提供予定のより高度な計画機能の基盤でもあります。すべてのワークアイテムタイプを一か所に集約することで、エピック・イシューなどのアイテム間の関係性や構造を一目で把握できる階層ビュー（テーブルビューなど）の実現への道が開かれます。

リストビューや階層ビューにとどまらず、ボードなどの他の一般的なワークフローもこの統合された体験に組み込んでいく予定です。その結果、計画に必要なすべてのビューが一か所に集まり、保存済みビューを通じてチームと共有できるようになります。製品の異なる部分をまたいで移動する必要はなくなります。

なぜ「イシュー」ではなく「ワークアイテム」と呼ぶのか、疑問に思われるかもしれません。簡単に言うと、「イシュー」という言葉は今後の展開に対応できないからです。近い将来、ワークアイテムタイプは、その名称も含めて自由に設定し、組織のプランニング階層に合わせてカスタマイズできるようになります。既存の名称に縛られた体験では、その柔軟性が損なわれてしまいます。「ワークアイテム」は、独自の裁量で作成できるモデルの基盤となる概念です。

ワークアイテムへの移行の背景は？

2024年、私たちはワークアイテムフレームワークを基盤としたGitLabにおける新しいアジャイル計画体験のビジョンを発表しました。その記事では、エピックとイシューが別々の体験として存在していたため、計画オブジェクト全体で一貫した機能を期待するチームとは齟齬が生じていたという核心的な問題を説明しました。その解決策といして登場したのがワークアイテムフレームワークです。一貫性を実現し、GitLabの計画ツール全体で新たな機能を実現可能にするために設計された統合アーキテクチャです。ワークアイテムリストと保存済みビューは、その道のりにおける一歩です。

保存済みビューとは？

保存済みビューを使用すると、フィルター・並び替え順・表示オプションを含むカスタマイズされたリスト設定を保存し、後から呼び出すことができます。日常的な確認作業を効率化し、チーム全体で一貫した標準的な作業確認方法をサポートすることを目的としています。

今後の展望

GitLabが行っている変更の理由を理解するには、GitLabが目指す先をイメージしていただくことが助けになります。

目標は単なるワークアイテムリストではありません。現在のフィルタースコープを保持しながら、さまざまなビュータイプ（リスト・ボード・テーブルなど）をスムーズに切り替えられる計画体験の実現です。

そこに保存済みビューを組み合わせることで、各ワークフロー専用のビューを作成できます。イテレーションプランニング、バックログリファインメント、ネストされたテーブルビューを使ったポートフォリオレベルの計画など、さまざまな用途に対応します。

各ビューはすぐに使える状態で、フィルタリングや作業の表示方法が統一されており、チームと共有することができます。このフレームワークは、ボードのあらゆるワークアイテム属性に対するフルスイムレーンサポートなど、今後のより強力な機能実現への道も開きます。

日々使用しているツールの変更が、作業の妨げになることは十分に理解しています。既存のエピックおよびイシューリストページを中心としたワークフローを構築されている場合、見た目や使い心地は変わるでしょう。決してその点を軽く考えているわけではありません。

この方針は短期間で決めたものではありません。長年にわたるフィードバック、ワークアイテムフレームワークへの多大なアーキテクチャ投資、そして統合された体験が長期的にチームをより良くサポートできるという確信を反映したものです。移行には慣れが必要だと思いますが、皆さまのご意見をもとに継続的に改善を重ねてまいります。

フィードバックをお聞かせください

ぜひこれらの新機能をお試しください。そして、ワークアイテムリストと保存済みビューについてのご意見をフィードバックイシューにてお知らせください。皆さまのコメントが、これらの機能のさらなる改善につながります。

GitLab 18.10リリース

エージェント型SASTの誤検出判定機能とFreeでのクレジット購入に対応したGitLab 18.10をリリース

このたび、SASTの誤検出判定（GitLab Duo Agent Platform対応）、Freeでのクレジット購入、パスキーによる安全なサインイン、作業アイテムリストと保存済みビューなど、さまざまな新機能を搭載したGitLab 18.10のリリースを発表しました。

これらの機能は、今回のリリースに含まれる60件以上の改善点のほんの一部です。以下で、すべてのアップデートをご確認ください。

GitLabコミュニティの皆さまからは、GitLab 18.10に対して212件ものコントリビュートをいただきました。GitLabでは誰でもコントリビュート可能です。皆さまのご協力に心より感謝いたします。

来月のリリース予定については、What's newページをご覧ください。

Notable Contributor（注目のコントリビューター）

今月のNotable Contributorは、Harshith Sudarさんです。

Harshithさんは現在レベル3のコントリビューターであり、コミュニティツールやアナリティクスの改善に大きくコントリビュートしています。トリアージの自動化、コントリビューター表彰機能からGitLab Duoの使用状況インサイトまで、幅広い領域でインパクトのあるコントリビュートを続けています。

Harshithさんのコントリビュートは、GitLabのDevRelエンジニアリング部門のフルスタックエンジニアであるLee Tickett氏が最初に認め、推薦しました。Harshithさんの取り組みは、自動化やコントリビューター向けエクスペリエンスの改善を通じて、舞台裏からコントリビューターを支える仕組みを強化しています。例えば、triage-opsのIssueSummaryプロセッサーを複数プロジェクトに対応させるよう更新し、contributors.gitlab.comを含むコミュニティプロジェクト全体のサマリー作成と可視化を容易にしました。また、新しい「コンテンツ追加」ボタンとフローの実装により、コントリビューターが自身のプロフィールからブログ記事、動画、その他のコンテンツを直接登録し、リワードを獲得できるようになりました。

さらに、アナリティクスやGitLab Duoの使用状況インサイトにもコントリビュートしています。主な成果として、GitLab Duoの使用量算出方法の改善、180日間のデフォルト制限の撤廃によるAIの長期的な影響分析の改善、DORAメトリクスの日付範囲定数の統合、そしてバリューストリームアナリティクスのカスタムステージラベルピッカーへの無限スクロール追加によるスケーラブルなアナリティクス体験の向上があります。これらの変更により、チームは実際のプロジェクトにおけるGitLabの活用状況をより深く理解できるようになりました。

Harshithさんのコメント：

「コントリビュート活動を通じて特に楽しんでいるのは、コミュニティ内でアイデアが丁寧に議論されるプロセスです。MR !1288に関するディスカッションのように、提案が協力的に検討される様子は大変励みになり、素晴らしい学習体験にもなりました。このコミュニティの一員であることを嬉しく思っており、今後もさらに多くのコントリビュートを続けていきたいと考えています。」

Harshithさん、GitLabのコードベースとコントリビューターエクスペリエンスの向上へのご尽力、ありがとうございます。

Harshithさんとつながり、コントリビュートの詳細を知りたい方は、GitLabプロフィールおよびLinkedInプロフィールをご覧ください。

GitLab 18.10の主な改善点

SASTの誤検出判定（GitLab Duo Agent Platform対応）

GitLab.com: Ultimate、Duo Core、Duo Pro、Duo Enterprise
Self-Managed: Ultimate、Duo Core、Duo Pro、Duo Enterprise
GitLab Dedicated: Ultimate、Duo Core、Duo Pro、Duo Enterprise

GitLab 18.7でベータ版として導入されたSASTの誤検出判定機能が、GitLab 18.10で一般提供開始となりました。

セキュリティスキャンの実行時に、GitLab Duo Agent Platformが重大度「致命的」および「高」のSAST脆弱性を自動分析し、誤検出の可能性を判定します。評価結果は脆弱性レポートに直接表示されるため、チームは不確実性に悩まされることなく、的確なトリアージを行えます。

主な機能は以下のとおりです。

• 自動分析: セキュリティスキャンのたびに、手動操作なしで誤検出判定が自動実行されます。
• 手動実行オプション: 脆弱性の詳細ページから、個別の脆弱性に対してオンデマンドで誤検出判定を手動実行することも可能です。
• 重大な検出結果に集中: 「致命的」と「高」の重大度のSAST脆弱性に限定して分析を行うことで、最も重要な部分のノイズを効果的に削減します。
• コンテキストを踏まえたAI推論: 各評価では、コードのコンテキスト、データフロー、静的解析に特有の脆弱性特性を考慮し、検出結果が誤検出である可能性がある理由（または実際の脆弱性である理由）を説明します。
• 既存ワークフローとのシームレスな統合: 結果は脆弱性レポート上で、既存の重大度、ステータス、修正情報と一緒に表示されるため、既存のワークフローを変更する必要はありません。

この機能は、GitLab Duo Agent Platformが有効なUltimateのお客様がご利用いただけます。グループまたはプロジェクトの設定で機能を有効にする必要があります。フィードバックはイシュー583697からお寄せください。

ドキュメント | エピック

Freeでの GitLabクレジット購入（GitLab.com）

GitLab.com: Free、GitLab Credits

GitLab.comのFreeグループのオーナーは、GitLabクレジットを購入してAI機能を利用できるようになりました。月額のクレジット購入量を設定し、年間契約にコミットすることで、GitLab Duo Agent Platformのエージェントとフローにアクセスできます。クレジットは毎月自動的に更新されるため、チームは常に必要なリソースを確保し、より速く、よりスマートに開発を進められます。

主なポイントは以下のとおりです。

• 使用量ベースの料金体系: ベースプランのサブスクリプションなしで、月額のクレジットコミットメントを購入可能です。
• セルフサービスでの購入: GitLabの購入フローからクレジットを直接購入できます。
• シームレスなアップグレードパス: PremiumまたはUltimateに後からアップグレードした場合も、クレジットのコミットメントは引き継がれます。
• 使用状況の追跡: GitLabクレジットダッシュボードからクレジットの使用状況を確認できます。

この購入オプションは、現在GitLab.comのFreeトップレベルグループのみで利用可能です。

ドキュメント | エピック

パスキーによる安全なサインイン

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

GitLabがパスワードレスサインインおよびフィッシング耐性のある2要素認証（2FA）方式としてパスキーに対応しました。パスキーは公開鍵暗号方式と生体認証（指紋、顔認証）またはデバイスのPINを使用して、アカウントに安全にアクセスする仕組みです。

パスキーの主なメリットは以下のとおりです。

• パスワード不要の利便性: パスワードを覚える必要なく、デバイスの生体認証やPINでサインインできます。
• マルチデバイス対応: デスクトップブラウザー、モバイルデバイス（iOS 16以降、Android 9以降）、FIDO2/WebAuthn対応のハードウェアセキュリティキーでパスキーを利用できます。
• フィッシング耐性のあるセキュリティ: 秘密鍵はデバイスの外に出ることはありません。GitLabは公開鍵のみを保存するため、万が一GitLabサーバーが侵害された場合でもアカウントは保護されます。
• 自動2FA統合: 2FAが有効なアカウントでは、パスキーがデフォルトの2FA方式として自動的に利用可能になります。

パスキーの利用を開始するには、アカウント設定からパスキーを追加してください。ご質問やフィードバックはイシュー366758からお寄せください。

ドキュメント | エピック

作業アイテムリストと保存済みビューの導入

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

GitLabのプランニング体験が、作業アイテムリストと保存済みビューにより大幅にアップグレードされます。長らくご要望いただいていた2つの機能をまとめてお届けします。

• 作業アイテムリストは、エピック、イシュー、その他の作業アイテムを1つの統合されたリストにまとめ、作業アイテムの種類ごとに別々のページを切り替える必要をなくします。プランニングオブジェクト間の関係がより把握しやすくなります。
• 保存済みビューでは、フィルター、ソート順、表示オプションを含むカスタマイズされたリスト構成を作成・保存できます。定期的な確認作業が効率化され、チーム全体での標準的な表示方法を確立できます。

これは、GitLab作業アイテムの統一アーキテクチャに向けた次のステップであり、GitLabのプランニングツール全体での一貫性と新しい機能の実現を目指しています。

ご意見・フィードバックはイシュー590689からお寄せください。

ドキュメント | エピック

カスタムエージェントがMCPで外部データにアクセス可能に

GitLab.com: Premium、Ultimate

AIカタログのカスタムエージェントを、Model Context Protocol（MCP）を通じて外部のデータソースやツールに接続できるようになりました。GitLabの外に出ることなく統合が可能です。

これは実験的機能です。フィードバックはイシュー593219からお寄せください。

ドキュメント | イシュー

正規表現によるマージリクエストのタイトル命名規則の適用

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

一貫性のあるマージリクエストのタイトルを維持することは、Conventional Commitsフォーマットや社内トラッキングシステムとの連携など、構造化された命名規則に依存しているチームにとって重要です。従来、こうした規則を適用するには外部ツールやカスタムCI/CDパイプラインジョブが必要でしたが、パイプライン実行後にマージリクエストのタイトルが変更された場合に再検証が行われず、非準拠のタイトルのままマージされてしまうという課題がありました。

プロジェクト設定でマージリクエストの必須タイトル正規表現を設定できるようになりました。設定後、GitLabはマージ可能性チェックとしてマージリクエストのタイトルをパターンに照合します。タイトルが準拠するまでマージがブロックされ、タイトルの最終変更時点にかかわらず常に検証が実施されます。

設定するには、プロジェクトの設定 > マージリクエストに移動し、Title must match required pattern（タイトルは正規表現に一致する必要があります）フィールドに正規表現パターンを入力してください。

既存のマージリクエストワークフローはこれまでどおり動作します。このチェックは、タイトル正規表現を明示的に設定したプロジェクトにのみ適用されます。

ドキュメント | エピック

AIによるシークレット誤検出判定（ベータ版）

GitLab.com: Ultimate、Duo Core、Duo Pro、Duo Enterprise
Self-Managed: Ultimate、Duo Core、Duo Pro、Duo Enterprise
GitLab Dedicated: Ultimate、Duo Core、Duo Pro、Duo Enterprise

セキュリティチームは、テスト用クレデンシャル、サンプル値、プレースホルダートークンなど、実際のシークレットではないにもかかわらず誤って検出されるシークレット検出の誤検出の調査に多大な時間を費やしています。誤検出はアラート疲れを引き起こし、スキャン結果への信頼を損ない、本当のセキュリティリスクから注意をそらします。

GitLab 18.10では、AIを活用したシークレット誤検出判定（ベータ版）を導入し、本当に重要なシークレットに集中できるようにしました。セキュリティスキャンの実行時に、GitLab Duoが重大度「致命的」および「高」のシークレット検出の脆弱性を自動分析し、誤検出かどうかを判定します。

AIによる評価結果は脆弱性レポートに直接表示され、セキュリティエンジニアは即座にコンテキストを把握し、より迅速で確信を持ったトリアージを行えます。

主な機能は以下のとおりです。

• 自動分析: セキュリティスキャンのたびに、手動トリガーなしで誤検出判定が自動実行されます。
• 手動トリガーオプション: 脆弱性の詳細ページから、個別の脆弱性に対してオンデマンドで誤検出判定を手動トリガーすることも可能です。
• 重大な検出結果に集中: 「致命的」と「高」の重大度の脆弱性に限定し、シグナル対ノイズ比を最大化します。
• コンテキストを踏まえたAI推論: 各評価には、コードのコンテキストと脆弱性の特性に基づき、検出結果が真のポジティブである可能性がある理由（またはない理由）の説明が含まれます。
• 信頼度スコア: 各検知には信頼度スコアが付与され、モデルの確信度に基づいてレビューの優先順位付けが可能です。
• 既存ワークフローとのシームレスな統合: 結果は脆弱性レポート上で、既存の重大度、ステータス、修正情報と一緒に表示されます。

この機能は、Ultimateのお客様に無料ベータとしてご利用いただけます。グループまたはプロジェクトの設定で有効にする必要があります。フィードバックはイシュー592861からお寄せください。

ドキュメント | エピック

CI/CDジョブでのランタイムインプットの使用

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

CI/CD変数を使用した動的なジョブ設定には課題がありました。変数は複雑なオーバーライド階層に従うため管理が難しく、さまざまなユースケースに対応できない場合がありました。

ジョブレベルで明示的な型付きインプットを定義するinputsが利用可能になりました。ジョブインプットを使用して、ジョブがランタイムで受け入れる値を定義・制御できます。ジョブインプットでは以下が可能です。

• 型安全性（string、number、boolean、array）
• 静的な値または既存の変数を参照するデフォルト値
• 使用可能な値の厳密なリストの定義
• インプット値を検証するための正規表現のサポート

ジョブインプットは、ユーザーの操作なしにデフォルト値を使用できますが、ジョブのリトライ時や手動ジョブの実行時に値を変更することも可能です。

ドキュメント | エピック

GitLab 18.10のその他の改善点

Markdownテーブルでのタスクアイテムのサポート

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

Markdownのテーブルセル内でタスクアイテムのチェックボックス構文を直接使用できるようになりました。

従来、これを実現するにはHTMLとMarkdownの組み合わせが必要で、保守が困難でした。

この改善により、イシュー、エピック、その他のコンテンツ内の構造化されたテーブルレイアウトで、タスクの完了状況を直接追跡しやすくなりました。

ドキュメント | イシュー

macOS Tahoe 26およびXcode 26ジョブイメージ

GitLab.com: Premium、Ultimate

macOS Tahoe 26とXcode 26を使用して、最新世代のAppleデバイス向けアプリケーションの作成、テスト、デプロイが可能になりました。

macOSのホステッドRunnerを利用することで、開発チームはGitLab CI/CDに統合された安全なオンデマンドビルド環境で、macOSアプリケーションをより迅速にビルド・デプロイできます。

.gitlab-ci.ymlファイルでmacos-26-xcode-26イメージを指定して、ぜひお試しください。

ドキュメント | エピック

GitLab Helmチャートレジストリが一般提供を開始

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

Helmを使用してKubernetesアプリケーションのデプロイを管理しているチームは、GitLab Helmチャートレジストリを本番ワークロードに活用できるようになりました。ベータ版として提供されていたこのレジストリが、主要なアーキテクチャおよび信頼性の問題が解決されたことで、一般提供開始となりました。

一般提供に向けた主な改善として、1,000件を超えるチャートのindex.yamlエンドポイントの制限の解消、新しく公開されたチャートバージョンがインデックスに反映されないバックグラウンドインデックスのバグ修正、AppSecセキュリティレビューの完了、GitLab Geoを使用したセルフマネージドのお客様向けの高可用性を確保するHelmメタデータキャッシュのGeoレプリケーションサポートの追加が含まれます。

プラットフォームチームおよびDevOpsチームは、パーソナルアクセストークン、デプロイトークン、CI/CDジョブトークンによる認証をサポートした標準的なHelmクライアントワークフローを使用して、HelmチャートをGitLabから直接公開・インストールできます。ソースコード、パイプライン、セキュリティスキャンとともにチャートを一元管理できるようになりました。

ドキュメント | イシュー

SBOMベースの依存関係スキャンでJava Gradleビルドファイルに対応

GitLab.com: Ultimate
Self-Managed: Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

SBOMを使用したGitLabの依存関係スキャンが、Javaのbuild.gradleおよびbuild.gradle.ktsビルドファイルのスキャンに対応しました。

従来、Gradleを使用したJavaプロジェクトの依存関係スキャンにはロックファイルが必要でした。今回のリリースでは、ロックファイルが存在しない場合、アナライザーが自動的にbuild.gradleおよびbuild.gradle.ktsファイルのスキャンにフォールバックし、脆弱性分析のために直接的な依存関係のみを抽出・レポートします。この改善により、Gradleを使用するJavaプロジェクトでロックファイルなしでも依存関係スキャンを容易に有効化できます。

マニフェストフォールバックを有効にするには、CI/CD変数DS_ENABLE_MANIFEST_FALLBACKを"true"に設定してください。

ドキュメント | イシュー

Pubパッケージマネージャーを使用したDart/Flutterプロジェクトのライセンススキャン対応

GitLab.com: Ultimate
Self-Managed: Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

pubパッケージマネージャーを使用したDartおよびFlutterプロジェクトのライセンススキャンに対応しました。従来、DartまたはFlutterで開発するチームは、オープンソース依存関係のライセンスをGitLab内で直接特定することができず、ライセンスポリシー要件を持つ組織にとってコンプライアンスの盲点となっていました。

ライセンスデータは、Dartの公式パッケージリポジトリであるpub.devから直接取得され、他のサポートされているエコシステムとともに結果が表示されます。Dart/Flutterの依存関係スキャンと脆弱性検出は、すでにサポートされています。

ドキュメント | エピック

クレジット使用データのCSVダウンロード

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

請求管理者は、Customers PortalのGitLabクレジットダッシュボードからクレジットの使用データをCSVファイルとして直接ダウンロードできるようになりました。

エクスポートには、現在の請求月の日別・アクション別のクレジット消費の内訳が含まれ、コミットメント、免除、トライアル、オンデマンド、付属クレジットの使用状況が確認できます。

財務チームおよびオペレーションチームは、このデータを使用して手動でのデータ収集やサポートリクエストなしに、Excel、Googleスプレッドシート、BIツールでコスト配分、チャージバックレポート、使用状況分析を実施できます。

ドキュメント | イシュー

GitLabクレジットダッシュボードでのユーザーソート

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

エンタープライズ管理者は、GitLabクレジットダッシュボードのユーザーごとの使用状況テーブルを、クレジット使用合計またはユーザー名でソートできるようになりました。

デフォルトのソート順は使用クレジット合計（降順）であるため、スクロールせずに最も使用量の多いユーザーをすぐに確認できます。

このビューにより、数千人のGitLab Duoユーザーを管理する管理者は、コスト配分、チャージバックレポート、ライセンス利用状況の監査のために使用量の多いユーザーを迅速に特定できます。

ドキュメント | イシュー

グループおよびインスタンスのコード検索に対応した GitLab Blob Search

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

gitlab_blob_searchツールにより、GitLab AIエージェントが以下の範囲でコード検索を実行できるようになりました。

• グループ内のすべてのプロジェクト
• インスタンス上のアクセス可能なすべてのプロジェクト

従来、Blob Searchは単一プロジェクトに限定されるか、明示的なプロジェクトIDの指定が必要でした。この変更により、AI搭載ワークフローで複数の関連プロジェクトにまたがるコードの発見と再利用が容易になりました。

ドキュメント | イシュー

Exploreのプロジェクトの新しいナビゲーション体験

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

Exploreのプロジェクトページを整理し、長い間蓄積されてきた冗長なオプションを削除しました。シンプルになったインターフェースは、2つの主要なビューに集中しています。

• アクティブタブ：最近のアクティビティがあり、開発が進行中のプロジェクトを確認できます。
• 非アクティブタブ：アーカイブされたプロジェクトや削除予定のプロジェクトにアクセスできます。

冗長なタブを削除しました。

• スター数が最も多いプロジェクトは、アクティブまたは非アクティブタブをスター数でソートすることで確認できます。
• すべてのプロジェクトは、アクティブと非アクティブの両方のタブを表示することで確認できます。
• トレンドタブは、機能の制限と低い利用率のため、GitLab 19.0で完全に削除されます。

整理されたデザインは、他のプロジェクトリストとの視覚的な一貫性を確保しています。より論理的な構成と柔軟なソートオプションにより、従来と同じコンテンツにすべてアクセスできます。

ドキュメント | エピック

GitLab Duo Agent Platform向けセルフホストVertex AI

Self-Managed: Premium、Ultimate

GitLab Duo Agent Platform Self-Hostedで、Vertex AIがサポートされるLLMプラットフォームとして利用可能になりました。

Vertex AI上でホストされるAnthropicモデルを、GitLab Duo Agent Platform機能に使用するよう設定できるようになりました。

ドキュメント | イシュー

プロジェクトからエージェントとフローを直接有効化

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

メンテナーおよびオーナーが、現在のコンテキストを離れることなく、プロジェクトまたはExploreページから直接エージェントとフローを有効化できるようになりました。

トップレベルグループのオーナーは、グループおよびエージェントやフローを有効にする特定のプロジェクトも選択でき、ワークフローの設定を効率化できます。

ドキュメント | イシュー

GitLab Runner 18.10

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

GitLab Runner 18.10もリリースしました。GitLab Runnerは、CI/CDジョブを実行し、結果をGitLabインスタンスに返送する高いスケーラビリティを備えたビルドエージェントです。GitLab Runnerは、GitLabに含まれるオープンソースの継続的インテグレーションサービスであるGitLab CI/CDと連携して動作します。

新機能:

• ビルドポッドのPodレベルリソースをKubernetes Runnerで定義可能に
• すべてのRunnerプロジェクトのGoバージョンおよびパッケージ更新を自動化

バグ修正:

• RoleARNを使用したS3キャッシュが、キャッシュ未存在時に404ではなく403を返す問題を修正
• ヘルパーイメージgitlab-runner-helper:x86_64-v16.11.1-nanoserver21H2使用時にinit-permissionsエラーが発生する問題を修正
• macOS: LaunchAgent - M1アーキテクチャでサービスが初期化できない問題を修正

すべての変更点のリストは、GitLab RunnerのCHANGELOGをご覧ください。

ドキュメント | イシューボード

Conan 2.0パッケージレジストリのサポート（ベータ版）

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

パッケージマネージャーとしてConanを使用するCおよびC++開発チームから、GitLabでのレジストリサポートが長く求められていました。従来、Conanパッケージレジストリは実験的機能の段階でConan 1.xクライアントのみをサポートしていたため、最新のConan 2.0ツールチェーンに移行したチームの採用には限界がありました。

Conanパッケージレジストリが、Conan 2.0に対応し、実験的機能からベータ版に昇格しました。今回のリリースでは、v2 API完全互換性、レシピリビジョンサポート、検索機能の改善、--forceフラグを含むアップロードポリシーの適切な処理が含まれます。標準的なConanクライアントワークフローを使用して、Conan 2.0パッケージをGitLabから直接公開・インストールでき、JFrog Artifactoryなどの外部アーティファクト管理ソリューションへの依存を軽減できます。

このアップデートにより、CおよびC++の依存関係を管理するプラットフォームエンジニアリングチームは、ソースコード、CI/CDパイプライン、セキュリティスキャンとともにパッケージ管理をGitLab内で一元化できます。Conanレジストリはプロジェクトレベルおよびインスタンスレベルのエンドポイントに対応しており、パーソナルアクセストークン、デプロイトークン、CI/CDジョブトークンによる認証が可能です。

一般提供に向けた改善にご協力ください。ご利用の感想はエピックからお寄せください。

ドキュメント | イシュー

専用UIでのコンテナ仮想レジストリの管理（ベータ版）

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

前回のマイルストーンでコンテナ仮想レジストリがベータとして提供開始された際、プラットフォームエンジニアは複数のアップストリームコンテナレジストリ（Docker Hub、Harbor、Quayなど）を単一のプルエンドポイントの背後に集約できるようになりました。しかし、すべての設定にはAPI呼び出しが直接必要であり、レジストリの作成・管理、アップストリームの設定、変更の処理にスクリプトや手動のcurlコマンドを維持する必要がありました。

コンテナ仮想レジストリをGitLab UIから直接作成・管理できるようになりました。グループレベルのコンテナレジストリページから、新しい仮想レジストリの作成、認証情報を含むアップストリームソースの設定、既存の構成の編集、不要になったレジストリの削除が可能です。GitLabを離れたりAPI呼び出しを記述したりする必要はありません。UIは既存のコンテナレジストリ体験とシームレスに統合されており、仮想レジストリがグループのアーティファクト管理ワークフローの中でファーストクラスの機能となりました。

この機能はベータ版です。フィードバックはフィードバックイシューからお寄せください。

ドキュメント | エピック

SBOMベースの依存関係スキャンがセルフマネージドに拡張

GitLab.com: Ultimate
Self-Managed: Ultimate

GitLab 18.10では、新しいSBOMベースの依存関係スキャン機能の限定提供ステータスをセルフマネージドインスタンスに拡張しました。

この機能は、GitLab 18.5でGitLab.comのみを対象とした限定提供として初めてリリースされ、フィーチャーフラグdependency_scanning_sbom_scan_apiの下でデフォルトでは無効化されていました。

追加の改善と修正により、新しいSBOMスキャン内部APIを確実に使用できるようになり、このフィーチャーフラグをデフォルトで有効化しました。この内部APIにより、依存関係スキャンアナライザーは全コンポーネントの脆弱性を含む依存関係スキャンレポートを生成します。CI/CDパイプライン完了後にSBOMレポートを処理していた従来の動作（ベータ版）とは異なり、改善されたプロセスではCI/CDジョブ実行中にスキャン結果を即座に生成し、カスタムワークフロー向けに脆弱性データへの即時アクセスが可能になりました。

問題が発生したセルフマネージドのお客様は、dependency_scanning_sbom_scan_apiフィーチャーフラグを無効化することで、従来の動作にフォールバックできます。

この機能を使用するには、v2依存関係スキャンテンプレートJobs/Dependency-Scanning.v2.gitlab-ci.ymlをインポートしてください。

この機能に関するフィードバックをお待ちしております。ご質問、コメント、チームとのやり取りについては、フィードバックイシューからお問い合わせください。

ドキュメント | イシュー

セキュリティ構成プロファイルでのパイプラインシークレット検出

GitLab.com: Ultimate
Self-Managed: Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

GitLab 18.9では、プッシュ保護から始まるSecret Detection - Defaultプロファイルとともにセキュリティ構成プロファイルを導入しました。このプロファイルを使用して、単一のCI/CD設定ファイルも変更することなく、標準化されたシークレットスキャンを数百のプロジェクトに適用できます。

Secret Detection - Defaultプロファイルにパイプラインベースのスキャンも含まれるようになり、開発ワークフロー全体にわたるシークレット検出の統一的な制御を提供します。

このプロファイルは3つのスキャントリガーを有効にします。

• プッシュ保護: すべてのGitプッシュイベントをスキャンし、シークレットが検出されたプッシュをブロックすることで、シークレットがコードベースに入ることを防ぎます。
• マージリクエストパイプライン: オープンなマージリクエストがあるブランチに新しいコミットがプッシュされるたびに自動的にスキャンを実行します。結果にはマージリクエストで導入された新しい脆弱性のみが含まれます。
• ブランチパイプライン（デフォルトブランチのみ）: 変更がデフォルトブランチにマージまたはプッシュされたときに自動的に実行され、デフォルトブランチのシークレット検出状態の完全な可視化を提供します。

プロファイルの適用にはYAML設定は不要です。プロファイルはグループに適用してすべてのプロジェクトにカバレッジを伝播させるか、個別のプロジェクトに適用してより詳細な制御を行えます。

ドキュメント | エピック

クレジット使用状況をGitLab Duo Agent Platformセッションにリンク

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

GitLabクレジットダッシュボードで、クレジット消費を生成したGitLab Duo Agent Platformセッションに直接リンクできるようになりました。

ユーザー別の詳細ビューで、Agent Platform使用行（Agentic Chatや基本エージェントなど）のアクション列がクリック可能なハイパーリンクとなり、対応するセッションの詳細に遷移できます。

このリンクにより、請求からAIセッションの動作への直接的な監査証跡が提供されます。管理者は、別々のシステム間でタイムスタンプを手動で照合することなく、クレジット使用状況の調査、サポートのエスカレーション、コンプライアンスレビューを実施できます。

ドキュメント | イシュー

プロジェクトのリモートフローにネットワークアクセス制御を設定

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

プロジェクト内のGitLab Runnerを使用するフローに対して、ネットワークアクセス制御を設定できるようになりました。

ネットワーク宛先の制御を維持しながら、安全な外部統合を実現します。プロジェクトのメンテナーは、必要なAPI接続、MCPサーバー、サードパーティサービスを許可しつつ、セキュリティ境界を適用する柔軟性を備えています。

ネットワークアクセス制御は、agent-config.ymlのnetwork_policyセクションで設定します。agent-config.ymlはブランチ保護ルールおよびマージリクエスト承認ワークフローによって保護されています。

ドキュメント | イシュー

パイプライン管理のためのGitLab MCPサーバーツール

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

新しいmanage_pipelineツールにより、CI/CDパイプラインをGitLabプロジェクト内で管理できるようになりました。このGitLab MCPサーバーツールを使用すると、AIエージェントがパイプラインの作成、キャンセル、リトライ、削除、メタデータの更新を単一の呼び出しで実行できます。複数のステップを組み合わせてパイプラインワークフローを自動化する必要がなくなりました。

その他のGitLab MCPサーバーツールのご要望があれば、フィードバックイシューからお知らせください。

ドキュメント | イシュー

プロジェクトメンテナーがカスタムエージェントとフローを有効化可能に

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

従来、AIカタログからのAIエージェントとフローの有効化には、トップレベルグループの権限が必要でした。

ExploreレベルまたはプロジェクトレベルでAIカタログを閲覧する際、プロジェクトのメンテナーが自身のプロジェクトで直接エージェントとフローを有効化できるようになりました。

ドキュメント | イシュー

IDEおよびCI/CDパイプラインでのAgent Skillsのサポート

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate

GitLab Duo Agent Platformが、AIエージェントに新しい機能と専門知識を付与するための新しい標準規格であるAgent Skills仕様に対応しました。

プロジェクトのワークスペースレベルでAgent Skillsを定義し、特定のフレームワークでのテスト記述など、特定タスクに対する専門知識とワークフローをエージェントに付与できます。エージェントは該当するタスクに遭遇した際、関連するスキルを自動的に検出・ロードします。

名前、ファイルパス、カスタムスラッシュコマンドでスキルを手動でトリガーすることも可能です。Agent SkillsはIDE内のフローやAgentic Chat、CI/CDパイプラインで実行されるフローからアクセスでき、仕様をサポートする他のAIツールでも利用できます。

ドキュメント | イシュー

実験的機能

ジョブアドミッション制御のためのRunnerコントローラー

Runnerコントローラーにより、Runner割り当て前にCI/CDジョブにカスタムポリシーを適用できるようになりました。Runnerコントローラーはジョブルーターに接続し、カスタムルールに基づいて受入または拒否の判断を行います。アドミッション制御、コンプライアンスの適用、コストおよびリソースガバナンスにご活用ください。コントローラーはインスタンスRunnerに対応しており、適用前の安全な検証のためのドライランモードもサポートしています。これは実験的機能です。詳細は、チュートリアル: Runnerアドミッションコントローラーの構築をご覧ください。

バグ修正、パフォーマンスの改善、UIの改善

GitLabでは、ユーザーの皆さまに最高のエクスペリエンスを提供することに取り組んでいます。リリースのたびに、バグの修正、パフォーマンスの改善、UIの向上に努めています。GitLab.comの100万人以上のユーザーの方も、他のプラットフォームをお使いの方も、快適でスムーズなご利用をお届けします。

以下のリンクから、18.10で提供されたすべてのバグ修正、パフォーマンス改善、UI改善をご確認いただけます。

• バグ修正
• パフォーマンスの改善
• UIの改善

非推奨（Deprecation）

新しい非推奨機能および現在非推奨となっているすべての機能のリストは、GitLabドキュメントでご確認いただけます。今後の破壊的変更の通知を受け取るには、破壊的変更RSSフィードをご購読ください。

削除と破壊的変更

削除されたすべての機能のリストは、GitLabドキュメントでご確認いただけます。今後の破壊的変更の通知を受け取るには、破壊的変更RSSフィードをご購読ください。

変更履歴

名前付きの変更点については、各チェンジログをご確認ください。

• GitLab
• GitLab Runner
• GitLab Workflow for VS Code
• GitLab CLI

インストール

新規にGitLabをセットアップする場合は、GitLabダウンロードページをご覧ください。

アップデート

アップデートページをご確認ください。

ご不明な点がある場合

ご質問やご意見をお聞かせください。本リリースについてご不明な点がある場合は、GitLabフォーラムにアクセスして質問を投稿してください。

GitLabサブスクリプションプラン

• Free ユーザー向けの永久無料機能を提供
• Premium チームの生産性と調整を強化
• Ultimate 組織全体のセキュリティ、コンプライアンス、プランニングに対応 GitLabのすべての機能を無料でお試しいただけます。

--------------------

監修：ソリス ジェレズ / Jerez Solis @jerezs （GitLab合同会社 ソリューションアーキテクト本部 ソリューションアーキテクト）

過去の日本語リリース情報

• GitLab 18.9
• GitLab 18.8
• GitLab 18.7
• GitLab 18.6
• GitLab 18.5
• GitLab 18.4
• GitLab 18.3
• GitLab 18.2
• GitLab 18.1
• GitLab 18.0
• GitLab 17.11
• GitLab 17.10
• GitLab 17.9
• GitLab 17.8
• GitLab 17.7
• GitLab 17.6
• GitLab 17.5
• GitLab 17.4
• GitLab 17.3
• GitLab 17.2
• GitLab 17.1
• GitLab 16.11

新機能の概要は以下のとおりです。

• 静的アプリケーションセキュリティテスト（SAST）の誤検出判定 の一般提供が開始されました。 このフローでは、LLMによるエージェント型推論を使用して、脆弱性が誤検出である可能性を判定できるため、セキュリティチームと開発チームは重大な脆弱性の修正に優先的に取り組めるようになります。
• エージェント型SAST脆弱性の修正 がベータ版として提供開始されました。 エージェント型SAST脆弱性解決は、検証済みのSAST脆弱性に対する修正案を含むマージリクエストを自動的に作成します。修正までの時間が短縮され、高度なセキュリティ専門知識の必要になるケースが少なくなります。
• シークレットの誤検出判定機能 がベータ版として提供開始されました。 このフローは、AIを活用したノイズ削減をシークレット検出にも適用し、ダミーやテスト用のシークレットにフラグを付けてレビューの負担を軽減します。

これらのフローは、GitLab Duo Agent Platformを使用するGitLab Ultimateのお客様にご利用いただけます。

SASTの誤検出判定機能でトリアージ時間を短縮

従来のSASTスキャナーは、コードパスが到達可能かどうかや、フレームワークが既にリスクを処理しているかどうかに関係なく、疑わしいコードパターンにすべてフラグ付けしていました。ランタイムコンテキストがなければ、実際の脆弱性と危険に見えるだけの安全なコードを区別できません。

そのため、デベロッパーは誤検出と判明するまで、検出結果の調査に何時間も費やす可能性がありました。時間の経過とともにレポートへの信頼が低下し、実際のリスクの修正を担当するチームの作業が遅延する原因となっていたのです。

各SASTスキャンの後、GitLab Duo Agent Platformは新しい「致命的」と「高」の重大度の検出結果を自動的に分析し、以下の情報を付加します。

• 検出結果が誤検出である可能性を示す信頼度スコア
• AI生成による判定理由の説明
• UIにより「誤検出の可能性が高い」と「実際の脆弱性の可能性が高い」を簡単に目視で識別できるバッジ

これらの検出結果は、以下のように脆弱性レポートに表示されます。レポートをフィルタリングして「誤検出ではない」とマークされた検出結果を絞り込むことで、チームはノイズの選別ではなく実際の脆弱性への対応に時間を使えるようになります。

GitLab Duo Agent Platformの評価はあくまで推奨事項です。すべての誤検出の判定はユーザーが管理でき、エージェントの推論をいつでも監査して信頼性の高いモデルを構築できます。

脆弱性を自動修正に変換

実際に脆弱性であると判明しても、まだ作業の半分が完了したにすぎません。修正には、コードパスの理解、安全なパッチの作成、他の部分への影響がないことの確認が必要です。

SASTの誤検出判定フローによって脆弱性が誤検出ではない可能性が高いと判定された場合、エージェント型SAST脆弱性解決フローが自動的に以下を実行します。

1. リポジトリから脆弱なコードとその周辺のコンテキストを読み取る
2. 高品質な修正案を生成する
3. 自動テストによって修正を検証する
4. 以下を含む修正案のマージリクエストを作成する：
   • 具体的なコード変更
   • 信頼度スコア
   • 変更内容とその理由の説明

このデモでは、GitLabがSAST脆弱性を検出からレビュー可能なマージリクエストまで自動的に処理する様子をご覧いただけます。エージェントがコードを読み取り、修正を生成・検証し、明確で説明可能な変更を含むMRを作成する流れをご確認ください。デベロッパーにセキュリティの専門知識がなくても、より迅速に修正を行えるようになります。

AI生成の提案と同様に、マージを行う前に提案されたマージリクエストを慎重にレビューしてください。

実際のシークレットを特定

シークレット検出は、チームが結果を信頼できて初めて有用なものとなります。レポートにテスト用の認証情報やプレースホルダーの値、サンプルトークンが大量に含まれていると、デベロッパーは実際の漏洩を修正するよりも、ノイズのレビューに時間を浪費してしまう可能性があります。その結果、修正が遅延し、スキャンへの信頼が低下しかねません。

シークレットの誤検出判定機能は、チームが重要なシークレットに集中し、より迅速にリスクを軽減できるよう支援します。この機能がデフォルトブランチで実行されると、自動的に以下が行われます。

1. 各検出結果を分析し、テスト用の認証情報、サンプル値、ダミーシークレットの可能性を特定する
2. 検出結果が実際のリスクか誤検出の可能性が高いかの信頼度スコアを付与する
3. 実際のシークレット、ノイズのいずれかとして扱われる理由の説明を生成する
4. 脆弱性レポートにバッジを追加し、デベロッパーがステータスを一目で確認できるようにする

デベロッパーは、脆弱性レポートからシークレット検出の結果に対して「誤検出を確認」を選択することで、この分析を手動でトリガーすることもできます。リスクのない検出結果を除外し、実際のシークレットへの対応をより速やかに開始できます。

AIを活用したセキュリティ機能を今すぐお試しください

GitLab 18.10では、SASTとシークレット検出における誤検出ノイズの削減から、修正案を含むマージリクエストの自動生成まで、脆弱性ワークフロー全体をカバーする機能が導入されました。

AIを活用したセキュリティ機能がレビュー時間の短縮と検出結果のマージ可能な修正への変換にどのように役立つかをご確認いただくには、GitLab Duo Agent Platformの無料トライアルを今すぐ開始してください。

GitLab 18.10で、この状況が変わります。本日より、GitLab.comのFreeプランを利用するチームは、GitLabクレジットを購入して月額料金にコミットすることにより、GitLab Duo Agent Platformをすぐに利用開始できます。サブスクリプションのアップグレードは不要です。GitLab有料プランの追加はまだ検討していないものの、AIを活用した開発を始めたいチームにとって、エージェント型AIへの本格的なエントリーポイントとなります。

モデルはシンプルで、利用するユーザー数ではなくAIが実行した作業に対して課金されます。グループオーナーがグループの請求設定からGitLabクレジットを購入して月額料金にコミットすると、チーム全体がGitLab PremiumおよびUltimateのお客様と同じAIエージェントとワークフローにアクセスできるようになります。計画、コード生成、自動コードレビュー、パイプライン診断のすべてを、共有クレジットプールから利用可能です。

GitLabクレジットダッシュボードにより、グループオーナーはどのエージェントやワークフローがクレジットを消費しているかを把握でき、AI関連の支出を実際の作業成果に直接紐づけることが可能です。

購入したその日からGitLab Duo Agent Platformを利用可能

グループオーナーがクレジットを購入すると、チームの全メンバーがすぐにGitLab Duo Agent Platformの利用を開始できます。

一般的なワークフローは次のとおりです。

まず、ソフトウェアの機能リクエストから始めます。GitLab Duo Chat（エージェント）でプランナーエージェントを開き、必要な内容を自然言語で記述します。エージェントがそれを構造化された作業アイテム（説明、ラベル、関連付けを含むイシュー）に分解し、プロジェクトに直接作成します。これまで手作業のイシュー整理に半日かかっていた作業が、わずか数分で完了します。

作成されたイシューの1つを選び、デベロッパーフローを割り当てて作業を開始します。エージェントがイシューのコンテキストを読み取り、要件に沿ったコードを生成し、テストを実行して、レビュー用のマージリクエストを作成します。リファクタリングや拡張、プロジェクトのコンテキスト内でのコード説明など、より反復的な作業にはGitLab Duo Chat（エージェント）も活用できます。

マージリクエストの準備が整うと、コードレビューフローが多段階の自動レビューを実行します。変更内容のスキャン、リポジトリコンテキストの取り込み、差分に紐づいた構造化されたインラインフィードバックの投稿が行われます。人間のレビュアーは初回の機械的なチェックを省略し、アーキテクチャやビジネスロジックに集中できます。

パイプラインが失敗した場合は、CI/CDパイプライン修正フローがエラーログを読み取り、根本原因を特定して修正案を提示します。チームは、ジョブログを手動で確認しなくても、解決の糸口を得ることができます。

GitLab Duo Agent Platformは、1つのクレジットプールでソフトウェア開発をイテレーションからデプロイまで支援します。

エージェントとワークフローの利用開始は簡単で、計画からデプロイまで3分以内で完了します。詳細はこちらのデモをご覧ください。

定額コードレビュー：スケールしてもコストを予測可能

GitLab Duo Agent Platformで利用できるすべてのワークフローの中で、自動コードレビューはコストが予測可能であるという点で、最も早く価値を実感できる機能です。

コードレビューフローの料金は、マージリクエストのサイズやリポジトリの複雑さ、内部で実行されるステップ数に関係なく、レビュー1回あたり一律0.25 GitLabクレジットとなります。4回のレビューで1クレジットです。チームが月に500件のマージリクエストを処理する場合でも50,000件の場合でも、レビュー数に基づいてコストを直接予測できます。

この数字をもう少し詳しく見てみましょう。手動のコードレビューはコストだけでなく時間もかかり、コンテキストスイッチングが絶えず必要になるため、開発に支障をきたします。コードレビューフローによる時間の節約は、レビュー量の増加に伴い大幅なコスト削減につながる可能性があります。キューで待機させるのではなく、数百件のレビューを同時に実行できるため、時間の節約とコスト削減の効果が急速かつ複合的に高まります。

GitLabのFreeプランを利用しているチームは、月間クレジットプールのうちコードレビューに充てる割合を正確に把握し、計画を立てることが可能です。

コードレビューフローの仕組みと、エンジニアリング組織のスケーリングにおける意義について詳しくご確認ください。

Premiumで価値を最大化

FreeプランのGitLabクレジットは、エージェント型AIへの直接的な道筋を提供します。チームがGitLabをより幅広く活用している場合、Premiumは経済性と機能の両方を兼ね備えた選択肢です。

月額29ドル/ユーザーのGitLab Premiumには、プロモーションオファーとしてユーザーあたり12 GitLabクレジットが含まれています。20人のチームであれば、追加費用なしで月240クレジットを利用でき、約960回の自動コードレビュー、またはコードレビュー、計画、開発ワークフロー、パイプライン修正を組み合わせた利用が可能です。

GitLab Duo Agent Platformは、Premiumが提供する機能の一部にすぎません。大量パイプライン向けの高度なCI/CD、ガバナンスのためのマージ承認とコードオーナー、プロジェクト全体で統一されたコンテキストを持つ単一データレイヤー内で動作するAIも含まれています。

Freeプランでクレジットを使用し、AIがワークフローの中心になりつつあると感じているチームにとって、プロモーションクレジットが含まれるPremiumが次の選択肢となるのは自然の流れでしょう。Premiumでは、より多くのプラットフォーム機能を利用でき、チームとともに成長する基盤となります。

今すぐ始めましょう

GitLab 18.10はすでに提供が開始されており、すぐにご利用いただけます。エージェント型AIでスピードアップしたいチームも、現在の作業方法を支えるフルプラットフォームが必要なチームも、ソフトウェア開発プロセスを加速するための明確な道筋があります。

• FreeプランのGitLab.comをご利用のチーム： グループの請求設定からGitLab クレジットの月額コミットメントを購入し、今すぐGitLab Duo Agent Platformの利用を開始してください。
• フルプラットフォームを検討されているチーム： チームに最適なGitLabサブスクリプションを見つけるか、GitLab Ultimateの無料トライアルを開始してください。

チームへのクレジット設定は迅速かつ簡単です。詳細はこちらのデモをご覧ください。

FAQ

GitLabクレジットの月額コミットメントとは何ですか

月額コミットメントは、グループオーナーがグループ全体の共有プールとして適用されるクレジット数を選択する、使用量ベースの購入オプションです。チームがGitLab Duo Agent Platformの機能を使用するとクレジットが消費されます。詳細はGitLabクレジットのドキュメントをご確認ください。

現在、GitLabクレジットを購入できるのは誰ですか

GitLab PremiumおよびUltimateのお客様は、プロモーションクレジットがすでにサブスクリプションに含まれています。18.10以降、FreeプランのGitLab.comトップレベルグループネームスペースでも、セルフサービスのグループ請求を通じてクレジットの月額コミットメントを購入できるようになりました。最新の対象条件については、GitLabクレジットのドキュメントをご確認ください。

Freeプランでクレジットによって利用可能になるAI機能は何ですか

クレジットを持つチームは、PremiumおよびUltimateのお客様と同じエージェント型AI機能とモデルにアクセスできます。プランナーエージェント、デベロッパーフロー、コードレビューフロー、CI/CDパイプライン修正フロー、GitLab Duo Chat（エージェント）、コード提案、カスタムエージェントとワークフローなどが含まれます。全機能の一覧はDuo Agent Platformドキュメントをご確認ください。

自動コードレビューの費用はいくらですか

コードレビューフローは、マージリクエストのサイズや複雑さに関係なく、レビュー1回あたり一律0.25 GitLabクレジットの定額料金です。最新の価格詳細については、コードレビューフローのドキュメントをご確認ください。

Freeプラン＋クレジットからGitLab Premiumにアップグレードできますか

GitLab 18.10では、営業担当を通じて月額クレジットコミットメントを持つ無料ネームスペースからPremiumへのアップグレードを利用可能です。オプションについてはGitLab営業チームにお問い合わせください。

こうした課題に対し、AIを活用したレビューツールが次々と登場しています。しかし、その多くには落とし穴があります。それは、変更の規模や複雑さによって料金が変わるトークン課金モデルのため、コストを予測できないという点です。新しいツールの中には、1件あたり15〜25ドルかかるものもあります。このような料金体系では、チームは優先度の高い変更のみに絞ってレビューを行うことになり、結局、レビュー待ちの行列は解消されません。

今回ご紹介するGitLab Duo Agent Platform内のエージェント型AI機能であるコードレビューフローは、1件のレビューあたり0.25ドルの定額制です。すべてのマージリクエスト、すべてのプロジェクトにおいて、毎回同じ料金で利用できます。

仕組み

マージリクエストが作成されると、コードレビューフローは自動的にマルチステップのレビューを実行します。変更内容のスキャン、関連するリポジトリのコンテキストの調査、パイプライン・セキュリティの検出結果・コンプライアンス要件との照合、そして構造化されたインラインフィードバックの生成までを自動で行います。

レビュー結果は、差分の変更だけでなく、プロジェクトで実際に起きていることを踏まえた内容になります。また、GitLab内で動作するため、スタンドアロンツールでは実現できないことが可能です。エンジニア1人のIDEで1件ずつ処理するのではなく、組織全体で数百件のレビューを並行して実行できます。

コードレビューの動作をデモでご確認ください：

シンプルな計算、確かなコスト削減

1件のレビューコストは0.25 GitLabクレジット（定価0.25ドル）です。つまり、1クレジットで4件のレビューを実行できます。月に500件のマージリクエストをマージするチームでも、50,000件のチームでも、計算式は同じです。

トークンの見積もりは不要です。マージリクエストの複雑さによってコストが変わることもありません。スプレッドシートで計算できる、1件あたりの定額コストです。

参考までに、シニアエンジニアが手動でコードレビューを行うと、1件あたり約15分、つまり約25ドルの人件費がかかります。自動レビューであれば0.25ドルで済むため、1件あたりのコストを99%削減できます。さらに、レビューはキューで待機するのではなく、並行して実行されます。このため、コスト削減だけでなく、マージリクエストのブロックが数時間ではなく数分で解消されます。

定額制がゲームチェンジャーになる理由

従量課金制では、どのマージリクエストにAIレビューを適用するかを選択せざるを得ませんでした。しかし、0.25ドルであれば、選択は不要です。すべてに適用することができます。

すべてのマージリクエスト、すべてのプロジェクトで実行。 コードレビューフローをすべてのマージリクエストで自動的にトリガーするよう設定できます。エージェントがキューを処理する間、エンジニアはアーキテクチャやメンタリングに集中できます。

スケールにかかわらず一貫した標準を適用可能。 プロジェクトごとにカスタムのマージレビュー手順を定義できます。あるプロジェクトは組み込みフローを使用し、別のプロジェクトはClaude CodeやCodexを使用し、さらに別のプロジェクトはカスタムエージェントを実行する、といった構成も可能です。すべてが並行して実行され、それぞれのガードレールに沿って、一か所で確認できます。

レビューキューのボトルネックを解消。 最近のソフトウェア開発でボトルネックとなっているのは、コード作成ではなく、レビューの完了を待つことです。定額制で、並行して実行できるAIレビューにより、数日かかっていたキューが数分のプロセスに変わります。

GitLabクレジットについて GitLabクレジットはDuo Agent Platformの利用量を示す単位で、1クレジット＝1ドルに相当します。GitLabクレジットの仕組みについてはこちらをご覧ください。

今すぐ始める

エージェント型コードレビューの0.25ドル定額料金は、GitLab.com、Dedicated、または18.8.4以降のSelf-ManagedインスタンスでGitLab Duo Agent Platformをご利用の場合、今すぐ利用可能です。今すぐコードレビューフローをデフォルトで有効にして、チームが作成するすべてのマージリクエストに適用しましょう。

GitLab Duo Agent Platformの無料トライアルを開始して、実際の動きをご確認ください。すでにGitLabをご利用いただいているお客様は、ご担当の営業担当者にお問い合わせください。

Runnerがなければ、パイプラインは設計図のままです。Runnerがあれば、それは具体的な動作として再現できるものになります。本記事では、GitLab Runnerとは何か、インストール・設定の方法、そして最大限に活用するためのベストプラクティスをご紹介します。

GitLab Runnerとは？

GitLab RunnerはオープンソースのGoで書かれたアプリケーションで、CI/CDパイプラインのジョブを実行します。デベロッパーがコードをプッシュすると、GitLabがパイプラインをトリガーし、利用可能なRunnerにジョブを振り分けます。RunnerはジョブをRunnerし、その結果（ログ、アーティファクト、ステータス）をGitLabに返します。

パイプラインとは、ジョブ（コンパイル、テスト、デプロイ）を自動化した一連の流れのことです。Runnerは、特定のマシン上でそれらを実行するエージェントです。RunnerのExecutorは、ジョブが実行される環境（Docker、Shell、Kubernetesなど）を定義します。

→ GitLab UltimateおよびGitLab Duo Enterpriseを無料でお試しください。

GitLab CI/CDで利用できるRunnerの種類

GitLab Runnerでは、アクセスを許可する対象に応じて、次のRunnerスコープを利用できます。

• インスタンスRunner：GitLabインスタンス上のすべてのグループとプロジェクトで利用可能。
• グループRunner：グループ内のすべてのプロジェクトおよびサブグループで利用可能。
• プロジェクトRunner：特定のプロジェクトに紐付けられています。通常、プロジェクトRunnerは一度に1つのプロジェクトのみで使用されます。

これらのRunnerは、2つの方法でホストできます。

• ホスト型Runner：GitLabが管理し、GitLab.com上で利用可能。インストール不要で、素早く開始できますが、設定の自由度は制限されます。
• セルフホスト型Runner：独自のサーバー、仮想マシン、またはクラスター上にインストール・設定・管理します。完全なコントロールが可能で、特定の環境にも柔軟に対応できます。

GitLab Runnerがサポートするエグゼキューター

GitLab Runnerのインストール時には、Executor（ジョブが実行される環境）を選択する必要があります。Executorの選択は、パイプラインのセキュリティ、パフォーマンス、柔軟性に直接影響します。

主なExecutorは以下のとおりです。

• Docker：各ジョブを隔離されたコンテナ内で実行します。高速かつ柔軟で、ほとんどのプロジェクトに推奨されます。
• Shell：ホストマシン上でジョブを直接実行します。シンプルですが、分離性はありません。
• Kubernetes：Kubernetesのポッド内でジョブを実行し、ネイティブなスケーラビリティを備えています。
• VirtualBox / Parallels：macOSなど特定の環境でジョブを実行します。

選択はニーズによって異なりますが、ほとんどのプロジェクトではDockerが最適です。Executorの詳細については、ドキュメントをご覧ください。

GitLab Runnerのインストール方法

GitLab Runnerのインストール方法は、使用するOSとターゲット環境によって異なります。以下に代表的なシナリオをご紹介します。

Linuxへのインストール（Debian/Ubuntu）

Linuxは、特にサーバー側でセルフホスト型Runnerをホストする最も一般的な環境です。インストール方法は次の3通りです。

• GitLabの公式リポジトリ経由
• .debまたは.rpmパッケージ経由
• バイナリファイル経由

以下の例は、Debian/UbuntuにおいてGitLabリポジトリからパッケージをインストールする手順を示しています。

1. GitLabの公式リポジトリを追加します。

curl -L "https://packages.gitlab.com/install/repositories/runner/gitlab-runner/script.deb.sh" | sudo bash

2. GitLab Runnerの最新バージョンをインストールします。特定バージョンをインストールする場合は次のステップに進んでください。

sudo apt install gitlab-runner

3. 特定バージョンのGitLab Runnerをインストールする場合：

apt-cache madison gitlab-runner

sudo apt install gitlab-runner=17.7.1-1 gitlab-runner-helper-images=17.7.1-1

gitlab-runnerの特定バージョンをgitlab-runner-helper-imagesの同バージョンなしにインストールしようとすると、次のようなエラーが発生する場合があります。

sudo apt install gitlab-runner=17.7.1-1

...

The following packages have unmet dependencies:
 gitlab-runner : Depends: gitlab-runner-helper-images (= 17.7.1-1) but 17.8.3-1 is to be installed
E: Unable to correct problems, you have held broken packages.

4. Runnerを登録します。

sudo gitlab-runner register

WindowsおよびmacOSへのインストール

プロジェクトにビルド固有の要件がある場合は、次の手順に従ってWindowsまたはmacOSにGitLab Runnerをインストールすることもできます。

• GitLab RunnerをWindowsにインストールする
• GitLab RunnerをmacOSにインストールする

DockerによるRunnerのインストール

DockerはGitLab Runnerをセットアップする最もシンプルかつ迅速な方法の一つです。複雑なインストール作業なしにDockerコンテナ内でRunnerを実行でき、隔離された再現性の高い環境を活用できます。

迅速なテストや一時的な開発環境、またはすでにコンテナを多用しているチームに最適な方法です。

1. コンテナを起動します。

docker run -d --name gitlab-runner --restart always \ 
  -v /srv/gitlab-runner/config:/etc/gitlab-runner \
  -v /var/run/docker.sock:/var/run/docker.sock \ 
  gitlab/gitlab-runner:latest

2. Runnerを登録します。

docker exec -it gitlab-runner gitlab-runner register

KubernetesによるRunnerのインストール

KubernetesへのGitLab RunnerのインストールはGitLabのHelm Chartを使用します。これはKubernetesクラスター内にGitLab Runnerインスタンスをデプロイする公式の方法です。

GitLabのHelm ChartからGitLab Runnerをインストールする手順は以下のとおりです。

1. GitLab Helmリポジトリを追加します。

helm repo add gitlab https://charts.gitlab.io

2. アクセス可能なGitLab Runnerのバージョンを確認します。

helm search repo -l gitlab/gitlab-runner

3. GitLab Runnerの最新バージョンにアクセスできない場合は、次のコマンドでチャートを更新してください。

helm repo update gitlab

4. values.yamlファイルでGitLab Runnerを設定した後、必要に応じてパラメーターを変更しながら次のコマンドを実行します。

# For Helm 3

helm install --namespace <NAMESPACE> gitlab-runner \ 
  -f <CONFIG_VALUES_FILE> \ 
  gitlab/gitlab-runner

• <NAMESPACE>：GitLab RunnerをインストールするKubernetesの名前空間。
• <CONFIG_VALUES_FILE>：カスタム設定が含まれるvaluesファイルへのパス。作成方法はドキュメントをご参照ください。
• 特定バージョンのGitLab Runner Helm Chartをインストールする場合は、helm installコマンドに--version <RUNNER_HELM_CHART_VERSION>を追加してください。任意バージョンのHelm Chartをインストールできますが、新しいvalues.ymlファイルは古いバージョンと互換性がない場合があります。

KubernetesでGitLab Runnerをインストールする詳細については、ドキュメントをご覧ください。

GitLab Runnerのインストールについてのよくあるご質問は、FAQをご参照ください。

GitLab Runnerの登録方法

インストール後、GitLab Runnerを登録することで、GitLabインスタンスからジョブを取得できるようになります。この手順では、インストール済みのRunnerを1つ以上のGitLabインスタンスに接続します。

GitLab Runnerの登録方法はいくつかあります。本記事では、認証トークンを使用したRunner登録に焦点を当てます。

前提条件

• Runner認証トークンを取得してください。次のいずれかの方法で取得できます。
  • インスタンス、グループ、またはプロジェクトのRunnerを作成する。手順についてはRunnerの管理に関するドキュメントをご参照ください。
  • config.tomlファイル内のRunner認証トークンを確認する。Runner認証トークンのプレフィックスはglrt-です。

Runnerが登録されると、設定内容はconfig.tomlファイルに保存されます。このファイルはGitLab Runnerのメイン設定ファイルで、RunnerとCI/CDジョブの実行に必要なすべての設定を含んでいます。このファイルはいつでも編集でき、変更内容はサービスの再起動なしに次のジョブから反映されます。

Runner認証トークンを使用してRunnerを登録するには、次の手順を実施します。

1. インストール方法に応じた登録コマンドを実行し、
2. GitLabインスタンスのURL（GitLab.comまたはGitLab Self-Managed）を入力し、
3. Runner認証トークンを入力し、
4. RunnerとジョブタグのDescriptionを追加し、
5. 選択したExecutor（Docker、Shell、Kubernetesなど）を入力します。

同一のホストマシン上で異なる設定を持つ複数のRunnerを登録するには、registerコマンドを繰り返します。また、同一の設定を複数のホストマシンに登録するには、各Runner登録で同じRunner認証トークンを使用してください。

非インタラクティブモードを使用して、追加の引数でRunnerを登録することもできます。

Linuxを例に挙げると：

sudo gitlab-runner register \
  --non-interactive \
  --url "https://gitlab.com/" \
  --token "$RUNNER_TOKEN" \
  --executor "docker" \
  --docker-image alpine:latest \
  --description "docker-runner"

Runnerの動作確認と使用開始

ワークフローにRunnerを組み込む前に、正常に動作しているかどうかを確認してください。

1. GitLab UIで確認する。

a. プロジェクト内で 設定 > CI/CD > Runners に移動します。

b. Runnerがアクティブかつ正常であることを確認します。

2. 選択したインストール方法に応じてコマンドラインで確認します。
3. .gitlab-ci.ymlファイルを作成してシンプルなパイプラインでテストします。

test-runner: 
  stage: test 
  script: 
   - echo "Hello GitLab Runner" 
   - hostname 
   - date 
tags: 
   - my-tags # ⚠️ Replace with YOUR runner's tags

GitLab Runnerのセキュリティと最適化のベストプラクティス

設定が不適切なGitLab Runnerは、パフォーマンスの低下やセキュリティ上の問題を引き起こす可能性があります。CI/CDパイプラインを最大限に活用するためのベストプラクティスをご紹介します。

Runnerのセキュリティ

• 隔離された環境を優先する：ホストマシン上でコマンドを直接実行するShellモードではなく、ジョブ間の明確な分離を提供するDockerまたはKubernetesのExecutorを優先して使用してください。
• 権限を制限する：必要でない限り、RunnerにAdminの権限を付与しないでください。攻撃対象領域を減らすため、最小限の権限で設定してください。
• タグによるアクセスを制御する：特定のジョブのみが実行されるよう、Runnerに特定のタグを割り当ててください。これにより、意図しないジョブが機密性の高いRunner上で実行されるリスクを防げます。

パイプラインのパフォーマンスと速度

• 軽量イメージを使用する：Docker ExecutorではビルドやCI要件に最適化されたイメージを選択してください（例：十分であればubuntuではなくalpine）。これによりコンテナの起動時間を短縮できます。
• キャッシュを設定する：GitLabのキャッシュ機能を活用して、複数のパイプライン間で依存関係や生成ファイルを再利用してください。これにより全体的な実行時間が短縮されます。
• 並列実行する：ジョブを並列で実行できる複数のステージに分割し、パイプライン全体の時間を短縮してください。

メンテナンスと信頼性

• Runnerを定期的に更新する：各バージョンにはバグ修正と新機能が含まれています。RunnerをGitLabのバージョンと同期させておくことで、互換性と安定性が確保されます。
• Runnerを監視する：組み込みメトリクス（例：Prometheus経由）を使用して、負荷、ジョブ実行時間、リソース使用状況を追跡してください。これによりボトルネックを事前に把握できます。
• 冗長性を確保する：重要な環境では、負荷を分散しインシデントによるパイプライン停止を防ぐため、複数のRunnerをインストールしてください。

GitLab CI/CDをさらに活用するために

GitLab Runnerは、GitLabのCI/CDパイプライン、セキュリティテスト、完全な自動化と連携することで真の価値を発揮します。共有サービスモデルにおけるGitLab Runnerフリートの管理に関するベストプラクティスについては、ドキュメントもあわせてご覧ください。

→ GitLab UltimateおよびGitLab Duo Enterpriseを無料でお試しください。

本記事では、開発プロセスにおいて継続的なコンプライアンスを確保する方法を解説します——自動化によって余計な負荷をなくし、開発の妨げにならずに支援する仕組みを実現する方法です。GitLabのウェビナーから抜粋した動画も併せてご紹介します。

ウェビナー "Intelligent Orchestrationが導くAgentic AIの未来" を無料でご覧ください。

コンプライアンス基準に取り組む際の課題

従来のコンプライアンスアプローチは摩擦を生み出し、開発チームの作業速度を低下させます。管理業務が増加し、時間とリソースが消耗されることで、セキュリティが「後でやればいい」と後回しにされがちになります。

コンプライアンス管理の自動化：実践例

セキュリティ分野で急成長中のB2B企業が、新たな顧客獲得を目指しているとします。市場環境とターゲット顧客から、情報セキュリティ分野における厳格な基準（例：ISO 27001）の遵守が求められています。

このような認証の取得には、組織を挙げた相当な準備が必要です。開発チーム、マネージャー、セキュリティチームが緊密に連携し、日常業務のプレッシャーの中でも認証取得と成長の両立を実現しなければなりません。

12倍の迅速な展開：GitLabの完全な統合により、Hiltiは効率を実現。

GitLabは完全な可視性、包括的なコード管理、充実したセキュリティスキャンを提供し、Hiltiの新たなソフトウェア能力を支えています。Hiltiがいかにソフトウェア開発を革新したかをご覧ください。事例を読む

企業内でのコンプライアンス実装

コンプライアンス基準を組織内に導入するには、体系的なプロセスが必要です。

1. コンプライアンスプロセスの定義： 監査人の要件から具体的な対応策を導出する
2. 現状のコンプライアンス状況の把握： 対象プロジェクトの定義
3. 是正措置の実施： プロジェクトへの新しいプロセスと修正の実装
4. コンプライアンスの証明： 経営陣と監査人へのレポーティング

最大の課題は、情報収集に伴う高い手動作業コストです。このプロセスへの複数チームの関与が、調整コストの増大と日常業務の中断を招きます。

GitLabによるコンプライアンス管理の自動化：手順ガイド

コンプライアンス基準の認証に関するすべての要件がソフトウェア開発の範囲に含まれるわけではありません。しかし、開発チームの認証取得における手動作業を最小限に抑え、時間を節約するために、GitLabはコンプライアンス管理の自動化を支援します。

目標は、担当者が形式的なチェック作業に追われるのではなく、本来の業務に集中できるようにすることです。

1. Compliance Centerの活用

GitLabのCompliance Centerは、すべての情報を一目で把握できる中央ダッシュボードです。この一元的なビューから、対象となるすべてのプロジェクトのコンプライアンス状況を確認できます。

Compliance Centerにアクセスするには、GitLabアカウントの左側ナビゲーションバーで「Secure」>「Compliance Center」をクリックしてください。

ウェビナー "Intelligent Orchestrationが導くAgentic AIの未来" を無料でご覧ください。

2. フレームワークの作成

各コンプライアンス基準を確実に遵守するには、対応するフレームワークを活用する必要があります。各組織には、業界標準、規制要件、または内部ポリシーに基づく固有のコンプライアンス要件があります。これらは「Frameworks」タブにおいて、自動的に監視・適用されるようGitLabでモデル化できます。

GitLabでは、独自フレームワークの作成も、既存のテンプレートを自社ニーズに合わせてカスタマイズして利用することも可能です。

この動画（英語）では、新しいフレームワークを作成するプロセスをステップバイステップでご案内します。

新しいフレームワーク を作成するには、以下の手順が必要です。

• 名前と説明を設定する： フレームワークの目的と重要性を伝えます。
• カラーバッジを選択する： プロジェクト横断的なフレームワークの識別子として機能します。
• （オプション）フレームワークをデフォルトとして設定する： 最初からコンプライアンス要件が維持されるようにし、ガイドレールを設定します。
• 要件を追加する： 上位のコンプライアンス目標を表します。
• 名前と説明を追加する： 要件の目的と重要性を伝えます。
• コントロールを設定する： 自動的に確認・検証できる技術的なチェックを定義します。

例： 「Segregation of Duties」という要件は、コードレビューの実施を確保します。自身のマージリクエストの承認を防止するために、「Author approved merge request is forbidden」と「At least one approval」というコントロールを作成することで、コードの変更が必ず別の担当者によってレビュー・承認されるよう保証します。

ウェビナー "Intelligent Orchestrationが導くAgentic AIの未来" を無料でご覧ください。

新しいフレームワークに対する具体的な要件が定義されたら、フレームワークを作成できます。コンプライアンス要件はフレームワークを通じて自動チェックに変換されるため、手動による確認は不要になります。

このポリシーはプロジェクトに適用できるようになります。

3. フレームワークをプロジェクトに追加する

コンプライアンス監視を開始するには、フレームワークを対象プロジェクトに適用する必要があります。

「Projects」タブでは、すべてのプロジェクトと適用されているフレームワークを確認できます。個別のプロジェクトに新しいフレームワークを追加するには、「Action」列でプロジェクトを編集して対応するフレームワークを追加します。

一括編集機能を使用すると、すべてのプロジェクトにフレームワークを一度に追加できます。

• すべてのプロジェクトを選択する
• 「Choose one bulk action」オプションをクリックする
• 「Apply frameworks to selected projects」をクリックする
• 「Select framework」をクリックして対応するフレームワークを選択する
• 「Apply」をクリックする

フレームワークをプロジェクトに追加すると、開発チームを妨げることなくコンプライアンス監視が自動的に開始されます。別途のオンボーディングや手動入力のフォームは不要です。

4. コンプライアンスステータスレポートの活用

コンプライアンスステータスレポートは、プロジェクトと対応する要件の概要を提供します。どの要件が達成され、どれが未達成かを明確に把握できます。

Compliance Centerの「Status」タブでは、すべてのプロジェクトにわたるフレームワーク遵守状況の詳細ビューを確認できます。

フィルター機能により、多数のプロジェクトを抱える大規模な組織でも簡単にナビゲートできます。レポーティングをニーズに合わせてカスタマイズし、各ステークホルダーに関連するレポートを正確に生成することが可能です。

ステータスレポートは、緑と赤のフラグによって現在の要件を視覚的に素早く評価し、特定のコントロールを通知し、煩雑な監査なしに問題を迅速に特定できるため、透明性を実現します。

これにより、コンプライアンス状況と講じるべき対策を明確に把握できます。

5. コンプライアンス違反を直接解決する

ステータスレポートで失敗した要件が表示された場合は、直接解決できます。各プロジェクトについて、どのコントロールが失敗したかが表示されます。対応するエラーをクリックすると、問題のドキュメントが開きます。

ドキュメントに加えて、関連するプロジェクト設定に直接誘導されるため、対象プロジェクト内を長時間検索することなく、問題をすぐに修正できます。

ウェビナー "Intelligent Orchestrationが導くAgentic AIの未来" を今無料でご覧ください。

6. 複数プロジェクトにわたるコンプライアンス要件の是正

複数のプロジェクトにコンプライアンス要件を定義している場合は、すべてを手動で確認するのではなく、関連する修正を自動化して実行できます。そのためにセキュリティポリシーを活用します。セキュリティポリシーは、セキュリティ関連のコントロールをプロジェクト・グループ・フレームワークレベルで標準ワークフローの一部として適用するものです。

GitLabアカウントの左側ナビゲーションバーで「Secure」>「Policies」をクリックしてください。

「New Policy」から、複数プロジェクトに対する自動コンプライアンス要件を有効化できます。選択できるポリシーは以下のとおりです。

• Scan execution policy：パイプラインの一部として、またはスケジュールに従ってセキュリティスキャンを実行します。
• Merge request approval policy：プロジェクトレベルの設定と、スキャン結果に基づく承認ルールを適用します。
• Pipeline execution policy：プロジェクトパイプラインの一部としてCI/CDジョブを強制実行します。
• Vulnerability management policy：デフォルトブランチで検出されなくなったセキュリティ上の脆弱性を自動的に修正します。

たとえば「Secret Detection」の分野で包括的なセキュリティ対策を設定するには、以下の手順に従ってください。

• 「New Policy」をクリックする
• 「Scan execution policy」を選択する
• 名前を定義する
• ポリシーの適用範囲として以下のいずれかを選択する
• すべてのプロジェクト（「all projects in this group」）
• 特定のプロジェクト（「specific projects」）または
• コンプライアンスフレームワーク（「projects with compliance framework」＋関連フレームワーク）
• 「Configuration Type」でポリシーのテンプレートを使用するか、個別設定を使用するかを選択する
• 新しいポリシーを保存する

保存されると、ポリシーは自動的に適用されます。このプロジェクトでのすべてのパイプライン実行に「Secret Detection」要件が含まれるようになります。

7. GitLabによるレポーティングと監査サポート

コンプライアンス管理の自動化は、開発者の日常業務をサポートするだけでなく、関連するステークホルダーへのレポーティングも容易にします。Compliance Centerを使用すると、規制当局、顧客、その他のステークホルダーとのコミュニケーションを効率化する包括的なレポーティングツールが利用できます。

Compliance Centerでは以下の情報を確認できます。

• コンプライアンスフレームワークでカバーされているプロジェクトの総数
• コンプライアンス達成率（コンプライアンス要件を満たしているプロジェクトの割合）
• 組織全体のアクティブなフレームワーク
• 対応が必要な重大な違反

GitLabは情報の流れを自動化し、手動の調整作業を排除してリアルタイムデータを処理することで、ステータスの把握を効率化します。豊富なエクスポート形式により、外部へのレポーティングも容易に実現できます。

GitLabを活用したコンプライアンスプロセスについて、お問い合わせをお待ちしております。

GitLabによる自動化されたコンプライアンス管理のメリット

• Single Source of Truth： 手動のExcelリストや調整ミーティングの代わりに、GitLabがコンプライアンス管理の一元的な拠点を提供します。
• 統合されたコンプライアンス： 追加のプロセス負荷なしに、コンプライアンスを開発プロセスに組み込みます。
• 高い効率性： 追加の手動ワークフローなしにコンプライアンスを実現します。
• 直接的な対応： GitLabはコンプライアンスチェックを自動化し、違反を即座に検出してシンプルに解決できるようにします。
• フォーカスの向上： 開発チームが日常業務に集中できるようになります。
• 高いセキュリティ： コンプライアンスが組織の根幹に根付くようになります。
• 可視性の向上： コンプライアンス担当者とコンプライアンス対策の組織内での認知度が高まります。
• 簡素化されたレポーティング： 監査人が関連するすべての証拠をタイムリーに受け取れます。

「この最適化されたアプローチは、コンプライアンスを後手対応の重い作業から、組織の成長に合わせて拡張できる能動的な仕組みへと変えていきます」

– Karolina Franz、Solutions Architect @GitLab

ウェビナー "Intelligent Orchestrationが導くAgentic AIの未来" を無料でご覧ください。

GitLabによるコンプライアンスプロセス

GitLabによるコンプライアンス管理の自動化には数多くのメリットがあります。本記事の冒頭で述べたように、コンプライアンス基準を確保するには組織に体系的なプロセスが必要です。

GitLabは以下の方法でそのようなプロセスの構築を支援します。

• コンプライアンスプロセスの定義： 独自フレームワークにより、あらゆるコンプライアンス基準をモデル化・監視できます。これにより、ボトルネックなしに組織全体でコンプライアンスをスケールできるようになります。
• 現状のコンプライアンス状況の把握： 包括的な監視によってすべての関連プロジェクトと要件を把握し、監査前に違反を通知するため、迅速な対応が可能です。
• 是正措置の実施： ポリシーを活用することで、すべてのプロジェクトとチームにわたってコンプライアンス基準を自動的に確保できます。
• コンプライアンスの証明： レポーティングにはCompliance Centerを利用できます。すべてのプロジェクトを一元的に表示し、手動のステータス確認とワークフローを排除して、証拠が正確に提供されるよう保証します。

まとめ

コンプライアンスは一度限りの監査プロジェクトではなく、ソフトウェア開発に直接統合される必要がある継続的なプロセスです。手動による検査や孤立したワークフローはすぐに限界に達し、チームの作業速度を低下させます。

GitLabを使用することで、コンプライアンス要件を自動化・検証可能な基準に変換できます。フレームワーク、ポリシー、一元的な監視を通じて、開発者への追加負荷なしに、コンプライアンスが透明性・拡張性・実行力を備えたものになります。こうしてコンプライアンスは、セキュアなソフトウェア開発と持続的な成長のための信頼できる基盤となります。

規制要件を開発プロセスに直接組み込む

コンプライアンス管理を自動化し、開発チームの力を引き出して、組織全体でコンプライアンスを持続的にスケールさせましょう。

今すぐ始める

SaaSはAgentic AIの「主語」であるべき

GitLab は2026年2月10日、東京・六本木ヒルズクラブで「GitLab Transcend Japan」を開催しました。今回のイベントは、世界12都市で同日開催されたグローバルカンファレンスの一環で、GitLabを先進的に活用されている国内ユーザーの皆様の中から、グローバルで選定された方々を招待して実施しました。

オープニングセッションには、GitLab Head of Japan 小澤 正治が登壇。小澤は、AIが急速に普及し「手段」として定着しつつある現状を踏まえ、Tech SaaSのあり方を再定義する必要性について以下のように語りました。

「これからは、Agentic AI（自律型のAI）そのものを主語として考えるSaaSなのか、それともSaaSというプラットフォームを主語にして考えるAgentic AIなのか、この違いが問われる時代になります」

統合プラットフォームであるGitLabは、ソフトウェア開発における複雑なワークフローをコントロールし、すべてのトランザクションをデータとして蓄積しています。そして、この膨大かつ正確なデータ群のおかげで、人やAIはコンテキスト（文脈）としてその全容を理解できるようになるのです。つまり、AIが精度の高い回答を提供してくれるか否かは、こうしたデータがそろっているかどうかが大きなカギになるわけです。「これこそ、GitLabが提供できる根源的な価値になります」（小澤）。

小澤は、現在の日本企業を取り巻く環境について、3つの重要なトピックを挙げました。サイバーセキュリティと法規制、円安と輸出規制、および2025年の崖と人材不足です。

サイバーセキュリティと法規制では、サイバー攻撃によるインシデントが多発する中、NIST（米国国立標準技術研究所）のガイドラインなど、国内外の法規制への対応が必須となっています。もはやセキュリティは「努力目標」ではなく「経営課題」と言える状況です。円安と輸出規制では、円安が輸出企業にとって追い風になる一方、欧州のサイバーレジリエンス法（CRA）やGDPRなどの規制をクリアしなければグローバル市場で戦えません。これらがビジネスのハードルになるケースが増えてきています。最後の2025年の崖と人材不足では、レガシーシステムのモダナイゼーションを推進できるIT人材の確保が多くの企業にとって悩みの種になっています。

GitLabは、これらの課題に対しシングルプラットフォームという価値でこたえることができます。

小澤は、「ソフトウェア開発のすべてをGitLab上で行うことで、データは単一のデータストアに蓄積されます。分断されたツール群では成し得ないこのデータとコンテキストの一元化こそが、AI活用における最大の武器になります。また、コンプライアンスやガバナンスに強制力を効かせながら、効率を下げずにソフトウェア開発することで、安心・安全なデリバリーが可能になるのです」と語りました。

インテリジェント・オーケストレーションがソフトウェア開発の未来を切り拓く

続いて、会場のスクリーンで全世界に向けたビデオが放映されました。GitLab CEO Bill Staplesをはじめとする経営陣、そして先進的なユーザー企業が登場し、AI時代の新たなソフトウェア開発戦略の発表の場です。

Staplesは、「月曜の朝、コーヒーを片手にPCを開き、仕事をスタートさせます。しかし、実際にコードを書く時間はどれくらいあるでしょう？」と語りかけます。25万人の開発者を対象とした調査によると、開発者が実際にコードを書いている時間は、1日平均でわずか52分に過ぎません。残りの時間は、会議、承認待ち、障害対応、およびその他の雑務に奪われているのです。

これがAIのパラドックスです。AIコーディングツールは、生産性10倍とうたいますが、それは業務全体のわずか10〜20%に過ぎないコーディング時間を短縮しているだけ。前後のプロセスにあるボトルネックが解消されない限り、ビジネス全体のデリバリー速度は劇的には向上しないのです。

この課題を解消するために、Staplesは「インテリジェント・オーケストレーション」という方向性を提唱します。これまでの開発は、人間がバケツリレーのように工程を渡していく「ステージベース」でした。これからは、AIエージェントが自律的にタスクを拾い、プロセス間を繋ぐ形へとシフトします。

「人間はループの上に立ち、エージェントをオーケストレーション（指揮）する役割へと進化します」（Staples）と語ります。雑務から解放され、戦略や創造的な意思決定に集中する未来の姿がそこにあります。

続いて、このビジョンを実践している企業として、サウスウエスト航空社のManaging Director、Grant Morris氏が登場しました。同社は、個別最適化されたツール群を捨て、GitLabでソフトウェア開発の全プロセスを統合。セキュリティとコンプライアンスを担保しながら開発者がビジネス価値の創出に集中できる環境を整備しています。

AI活用についてGrant氏は、「セキュリティ修正や依存関係のアップデートなど、エンジニアが疲弊するルーティンワークをAIエージェントに任せています」と語ります。さらに将来は、「AIエージェントがバックグラウンドで常にコードを監視し、リファクタリング（ソフトウェアの内部コード構造を整理する作業）やアップグレードを自律的に提案してくれるようになるでしょう。つまり、技術的負債という概念自体が過去のものになります」と語りました。

続いて登場したGitLab CPMOのManav Khuranaは、インテリジェント・オーケストレーションを実現するための製品戦略について解説しました。

まずは、AIエージェントをGitLab内で機能させる基盤となるAgentic Coreの進化。リポジトリやイシューなどをAIがコンテキストとして理解できるように構造化する独自技術を提供します。汎用的なエージェントに加え、各社独自のノウハウを組み込んだCustom Agentsを作成・公開できるAI Catalogを用意し、JiraやSlackなど外部ツールからもコンテキストを取得するためにModel Context Protocol （MCP）にも対応します。

既存機能の強化では、複雑なYAMLを書かずにAIと対話しながらパイプラインを構築できるAIファーストのCI/CDビルダーや、あらゆる成果物をGitLab内で一元管理し、AIエージェントが機密性の高い状態でも安全にアクセスできる仕組みを構築します。

GitLabは、SaaSだけでなく、オンプレミス環境でも利用できます。AIもオンプレミスで利用できるよう、ガバナンスを効かせた状態でAIを活用できる環境も提供します。独自のAIモデルを持ち込むBYOM（Bring Your Own Model）や、インターネット遮断環境（エアギャップ）にも対応します。

ビデオの終盤には、Oracle Group VPであるVictor Restrepo氏が登場し、GitLabとの強力なパートナーシップについて語りました。Restrepo氏は、Oracle Cloud Infrastructure （OCI）のコストパフォーマンスとGitLabの効率性を組み合わせることでインフラコストを削減し、その分をイノベーション投資に回すクラウドエコノミクスの重要性を強調。「政府系クラウドや専用リージョンを持つOCI上でGitLabを稼働させれば、厳しい規制が課される業界でもセキュアにAIを活用できるようになります」とGitLabとの親和性についても語りました。

コンテキストを理解し、自律的に動くAIエージェント

ビデオで披露された最新機能について、次のセッションで実機デモを交えた解説が行われました。その際にも強調されたのは、コンテキストの重要性です。AIエージェントが的確な仕事をするためには、プロジェクトの全容を理解している必要があります。企画から監視までをシングルプラットフォームで管理しているGitLabだからこそ、AIは断片的な情報ではなく、プロジェクトの全履歴という文脈を理解した上で自律的に動くことができるのです。

デモでは、まずDuo Planner Agentを紹介。「こんな感じの機能をリリースしたい」という人間からの曖昧な指示に対し、AIはバックログや現状のコードベースを分析し、数分で具体的なタスクへと分解し、実行計画を立案してくれます。Duo CLIのデモでは、ターミナル上での作業をAIが支援してくれる様子が披露されました。対話内容はWeb UIと同期されるため、開発者はツール間を行き来することなく、シームレスに作業を継続できます。

Foundational Flowsのデモでは、CIパイプラインが失敗した際にワンクリックでAIがログを解析してくれました。原因の特定から修正コードの作成、そして修正用マージリクエストの作成まで、AIが自律的に支援してくれます。Security Analyst Agentも便利です。脆弱性が検出された際に、単に警告を出すだけではなく、AIエージェントが「なぜ危険なのか」を解説し、具体的な修正パッチを作成してくれます。

最後のセッションには、国内の先進事例として、株式会社SBI証券 執行役員 IT企画部長 武藤 恵慈氏をお招きし、小澤とのFireside Chatを実施しました。かつてはシステムや言語が乱立する課題を抱えていた同社は内製化へと大きく舵を切り、大規模かつ多数のプロジェクトを効率的に推進しています。詳細なセッション内容は、近日中に公開予定です。

この日のイベントでは、Staplesの以下の発言が印象に残りました。

「ソフトウェア開発は、コードを書くことから価値を創ることへと変化しています」

GitLabは単なるツールから、人間とAIエージェントが協調して働くための基盤である「インテリジェント・オーケストレーション・プラットフォーム」へと進化します。AIのパラドックスを乗り越え、開発者が真のイノベーションに注力できる未来へ。「Transcend（=超越）」というイベント名にふさわしい、新たな時代が幕を開けます。

コード生成が高速化する一方で、レビュー、テスト、セキュリティスキャン、デプロイといった下流工程に新たなボトルネックが生まれています。

これが、私たちが「AIパラドックス」と呼ぶ現象です。

今月のMonday Mergeでは、計画、開発、セキュリティ、デプロイにわたるSDLC全体でのインテリジェント・オーケストレーションがこの課題にどのように対応し、エンタープライズDevSecOpsをどのように再構築しているのかを探ります。

GitLab 18.9：エージェント型AIがプラットフォームのさらに深部へ

2月の締めくくりに、25以上の改善とエージェント型AI機能の大幅な進化を含むGitLab 18.9をリリースしました。

セルフマネージド環境向け GitLab Duo Agent Platform

GitLab Duo Agent Platformは、オンラインライセンスを持つセルフマネージドのお客様向けに提供開始となりました。自社インフラ内でエージェント型AI機能を必要とするエンタープライズチームにとって、これは大きな前進です。

エージェント型SAST脆弱性解決（ベータ）

SAST脆弱性のトリアージと修正は、アプリケーションセキュリティにおいて最も時間のかかる作業のひとつであることが多いです。GitLab 18.9では、GitLab Duoが次のことを実行できるようになりました。

• 脆弱性を分析する
• 周辺コードの文脈を推論する
• コンテキストを考慮した修正を生成する
• マージリクエストを自動作成する
• レビュアーの信頼度を示す品質スコアを提供する

単一の提案を出すのではなく、GitLab Duoはコードベース全体を推論し、十分に検討された修正提案を生成します。

GitLab 18.9のその他の改善点

新しい折りたたみ可能なファイルツリーによりリポジトリをナビゲートでき、ページ読み込み回数を減らしながら、より効率的にプロジェクト構造を閲覧できます。 GitLab.comではWebベースのコミット署名が利用可能になり、Web上のコミットがGitLabの署名キーで自動的に署名されます。

そして、本リリースに530件以上の貢献をしてくださったGitLabコミュニティの皆さまに心より感謝します。GitLabでは誰もが貢献できることを18.9は証明しています。

先日開催されたGitLab Transcendのバーチャルイベントでは、AIエージェントが計画、開発、テスト、セキュリティ、デプロイにわたって単一のプラットフォーム上でどのように連携し、エンタープライズのガードレールやガバナンス要件に沿って動作するのかをご紹介しました。

Southwest Airlines社からは、GitLab Duo Agent Platformがどのようにチームのミッションクリティカルなソフトウェアをより迅速に提供しながら、24時間365日の航空運航に必要なレジリエンスを維持しているかについてお話しいただきました。また、SDLC全体でエージェントが協働するライブデモも実施し、特定の工程だけでなく、デリバリーライフサイクル全体をどのようにモダナイズできるかを探りました。

イベントを見逃した方は、こちらからフル録画をご覧いただけます👇

GitLab Transcendを視聴する

技術デモ

📅 3月19日 – 開発現場でのGitLab Duo Agent Platform

本セッションでは、

• Duo Agent Platformを活用して、計画、Issueからのマージリクエスト（MR）作成、エージェント型コードレビューなど、複数ステップのワークフローを自動化する方法
• GitLabの基盤エージェント（PlannerやSecurity Analystなど）を活用してSDLCを効率化する方法
• GitLabの統合データモデルによる、コンテキストに応じたコード生成でコーディングを高速化する方法
• AI駆動のセキュリティワークフローで脆弱性を自動検出・修復する方法
• AIを活用した根本原因分析とガイド付きの修正により、パイプラインエラーを迅速に解決する方法

をご紹介します。

👉 こちらからご登録ください。

開発現場でのGitLab Duo Agent Platform

今月のおすすめ

今月は、インテリジェント・オーケストレーションの背景にあるより広い視点について、さらに深く掘り下げています。

CEOのBill Staplesは、AI時代におけるソフトウェアデリバリーについて語っています。

また、Chief Product and Marketing OfficerのManav Khuranaは、AIが単なる高速なコード生成を超え、品質、セキュリティ、そしてライフサイクル全体の最適化へと拡張されることで、真にイノベーションサイクルの加速が実現することを探っています。

さらに、セキュリティリーダーシップの観点からは、ソフトウェアライフサイクル全体におけるAI主導の変化に対応するため、エンタープライズがどのように組織構造モデルを進化させる必要があるのかという議論が続いています。

ポイントソリューションを超え、システム全体の変革を見据えている方にとって、これらの視点は一読の価値があります。

Intelligent Orchestration: Software Delivery for the AI Era, with CEO of GitLab

GitLab CEO on why AI isn’t helping enterprises ship code faster

From faster coding to accelerated innovation cycles: How intelligent orchestration unlocks AI's promise

The one structural shift CISOs must make before AI outpaces their security strategy

最後に、インテリジェント・オーケストレーションの本質を表す言葉をご紹介します。

「全体は部分の総和に勝る。」― アリストテレス

インテリジェント・オーケストレーションは、まさにこの考えを体現しています。

AIが孤立した場面で活用されるだけでは、その効果は限定的です。しかし、統一されたコンテキストとエンタープライズのガードレールのもとで、エージェントがソフトウェアライフサイクル全体にわたり協調すれば、その成果は実際に測定可能なソフトウェア開発速度として現れます。

お読みいただきありがとうございました。ウェブキャストやIssueでお会いできるのを楽しみにしています。そして、これからも対話を続けていきましょう。それでは、いつものようにHappy Merging!

Fatima Sarah Khalid｜Senior Developer Advocate, GitLab

このニュースレターが気に入ったら、ぜひチームに共有してください。 そして👉YouTubeチャンネルの登録もお忘れなく！