AIはどのセキュリティチームがレビューできるよりも速くコードを生成しています。かつては管理可能だった静的アプリケーションセキュリティテスト(SAST)の脆弱性バックログは、今や解析が困難なほど膨大なリストへと膨れ上がっています。デベロッパーが1件ずつ手作業で調査・修正することを期待するのは、プロセスとは言えません。それはボトルネックです。答えは人的労力を増やすことではなく、自律型パイプラインです。GitLab Duo Agent Platform内のAgentic SAST脆弱性解決機能は、まさにその課題のために構築されました。
一般提供(GA)となったAgentic SAST脆弱性解決機能は、SAST脆弱性を修正するマージ可能なコードフィックスを自動生成します。この機能により:
- デベロッパーはフローを維持できます
- 脆弱性は本番環境に到達する前に解決されます
- AppSecチームはトリアージと、修正完了の確認のためにデベロッパーを追いかける時間を削減できます
Agentic SAST脆弱性解決機能は、アプリケーションセキュリティの未来形です。GitLab 18.11はさらに、より高速なSASTスキャン、スマートな優先順位付け、プラットフォーム全体にわたる強力なガバナンスも提供します。
フローを維持したまま自動修正
AIがコードを大規模に生成するようになると、状況が一変します。かつて線形に増加していたセキュリティバックログは、AIアシストによるコミットのたびに複利で積み重なります。デベロッパーに頭の切り替えを強いて手動で脆弱性を修正させ続けるだけでは、この問題は解決しません。GitLabの2025 DevSecOpsレポートによると、デベロッパーはすでに月あたり11時間を、リリース後の脆弱性修正(つまり、新しい機能の開発ではなく、すでに本番環境で悪用可能な問題の対処)に費やしています。
Agentic SAST脆弱性解決機能は、そのサイクルの経済性を変えます。SASTスキャンが完了すると、検出結果が自動的にSAST誤検出検知フローを開始します。真陽性と確認されたものは直接Agentic SAST脆弱性解決フローへと送られ、GitLab Duo Agent Platformが以下を実行します:
- 脆弱性をコンテキストを踏まえて分析
- 根本原因に対処する修正を生成
- 自動テストによって修正を検証
デベロッパーは信頼スコア付きのマージ可能なマージリクエストを受け取り、脆弱性の修正方法について十分な情報に基づいた判断を下せます。スプリントはスケジュール通りに進み、デベロッパーはフローを維持し、脆弱性は本番環境に到達する前に解決されます。
ソフトウェア開発の加速は、スキャナーの待ち時間をなくすことも意味します。GitLab 18.11ではAdvanced SASTのインクリメンタルスキャンが導入され、デベロッパーはフルスキャンの完了を待たずに脆弱性の結果を確認でき、パイプラインも止まりません。
スコアではなく、ビジネスリスクで修正の優先順位を決める
自律型修正が機能するのは、その判断の根拠となるシグナルが信頼できる場合に限ります。重大度スコアが実際の悪用可能性を反映していない場合、デベロッパーはシグナルを信頼しなくなり、無視し始めます。
GitLab 18.11は、この問題に4つのレベルで対処します。まず、脆弱性スコアが現在最も新しい業界標準であるCVSS 4.0に基づくようになりました。より細かい指標によって実際の悪用可能性が的確に評価されます。GitLabに表示されるスコアは、現実世界のリスクを測る現行の業界標準を反映しています。
次に、AppSecチームはポリシーベースのルールを定義でき、CVE(共通脆弱性識別子)、CWE(共通脆弱性タイプ一覧)、ファイルパス/ディレクトリなどのシグナルに基づいて脆弱性の重大度スコアを自動的に調整できます。ポリシーが設定されると、重大度の上書きがただちに適用されるため、デベロッパーはスキャナーの生データではなく、実際のビジネスリスクを反映したバックログをもとに作業できます。
リスクベースの適用はバックログにとどまりません。AppSecチームは、KEV(既知の悪用脆弱性)ステータスやEPSS(悪用予測スコアリングシステム)スコアのしきい値に基づいてマージをブロックまたは警告する承認ポリシーを設定できます。マージがブロックされた際、デベロッパーはその脆弱性が自分の環境を考慮していないスコアではなく、現実世界の悪用可能性データに基づいていることを把握できます。
最後に、新しい「上位CWE」セキュリティダッシュボードチャートにより、プロジェクト全体でどの脆弱性クラスが最も頻繁に出現しているかを把握できます。個々の検出結果を追いかけるのではなく、パターンを特定し、根本原因レベルで優先順位を付け、複利的に積み重なる前にシステム的なリスクに対処できます。
運用オーバーヘッドを抑えながらセキュリティコントロールを強化
自律型修正パイプラインの品質は、その下支えとなるセキュリティスキャナーのカバレッジに依存します。スキャナーの適用が一貫していなければ、パイプラインに流れ込む検出結果は不完全となり、修正も同様に不完全になります。
GitLab 18.11では、Security Managerという、セキュリティ担当者向けに特化して設計された新しいデフォルトロールが導入されます。Security Managerロールにより、セキュリティチームはコードの変更やデプロイ権限なしに、セキュリティスキャナーの適用、セキュリティポリシーの定義と設定、脆弱性のトリアージ・修正ワークフローの管理、コンプライアンスフレームワークと監査ストリームの維持が可能になります。セキュリティチームは業務に必要なアクセス権のみを持ち、コードとデプロイの権限はデベロッパーに維持されます。
AppSecチームにとって、複数のプロジェクトとグループにわたって一貫したSASTスキャナーのカバレッジを確保することが、大幅に容易になりました。SASTコンフィギュレーションプロファイルにより、セキュリティチームは一箇所でスキャン設定を定義し、1回の操作でグループ内の全プロジェクトに適用できます。チームはもはや、YAMLポリシーファイルの作成と維持、デベロッパーへのスキャナー設定依頼、各プロジェクトのカバレッジギャップの手動確認を行う必要はありません。
エージェント型脆弱性修正を今すぐ始める
GitLab 18.11は、1つのプラットフォームで脆弱性ワークフローの全体像を提供します:脆弱性を自動修正するAI、脆弱性ノイズを解消するスマートな優先順位付け、そしてセキュリティチームに適切なアクセス権とカバレッジをスケールで提供するガバナンスコントロールです。
GitLab Duo Agent Platformがどのようにして自動修正をデベロッパーのワークフローに直接組み込むかを確認するには、今すぐGitLab Ultimateの無料トライアルを開始してください。
