更新日:2026年3月25日

7分で読めます

GitLab 18.10がAIネイティブなトリアージと修正機能を導入

ノイズを排除して実際の脆弱性を特定し、修正案につなげるGitLab Duo Agent Platformの機能をご紹介します。

Alisa HoAlisa Ho

製品

セキュリティ

機能

GitLab 18.10では、脆弱性管理の品質とスピードの向上に焦点を当て、AIを活用したさまざまな新しいセキュリティ機能が導入されました。これらの機能を組み合わせることで、デベロッパーが誤検出の調査に費やす時間を削減し、自動修正をワークフローに直接組み込めるようになるため、セキュリティの専門知識がなくても脆弱性を修正できる環境が実現します。

新機能の概要は以下のとおりです。

  • 静的アプリケーションセキュリティテスト(SAST)の誤検出判定 の一般提供が開始されました。 このフローでは、LLMによるエージェント型推論を使用して、脆弱性が誤検出である可能性を判定できるため、セキュリティチームと開発チームは重大な脆弱性の修正に優先的に取り組めるようになります。
  • エージェント型SAST脆弱性の修正 がベータ版として提供開始されました。 エージェント型SAST脆弱性解決は、検証済みのSAST脆弱性に対する修正案を含むマージリクエストを自動的に作成します。修正までの時間が短縮され、高度なセキュリティ専門知識の必要になるケースが少なくなります。
  • シークレットの誤検出判定機能 がベータ版として提供開始されました。 このフローは、AIを活用したノイズ削減をシークレット検出にも適用し、ダミーやテスト用のシークレットにフラグを付けてレビューの負担を軽減します。

これらのフローは、GitLab Duo Agent Platformを使用するGitLab Ultimateのお客様にご利用いただけます。

SASTの誤検出判定機能でトリアージ時間を短縮

従来のSASTスキャナーは、コードパスが到達可能かどうかや、フレームワークが既にリスクを処理しているかどうかに関係なく、疑わしいコードパターンにすべてフラグ付けしていました。ランタイムコンテキストがなければ、実際の脆弱性と危険に見えるだけの安全なコードを区別できません。

そのため、デベロッパーは誤検出と判明するまで、検出結果の調査に何時間も費やす可能性がありました。時間の経過とともにレポートへの信頼が低下し、実際のリスクの修正を担当するチームの作業が遅延する原因となっていたのです。

各SASTスキャンの後、GitLab Duo Agent Platformは新しい「致命的」と「高」の重大度の検出結果を自動的に分析し、以下の情報を付加します。

  • 検出結果が誤検出である可能性を示す信頼度スコア
  • AI生成による判定理由の説明
  • UIにより「誤検出の可能性が高い」と「実際の脆弱性の可能性が高い」を簡単に目視で識別できるバッジ

これらの検出結果は、以下のように脆弱性レポートに表示されます。レポートをフィルタリングして「誤検出ではない」とマークされた検出結果を絞り込むことで、チームはノイズの選別ではなく実際の脆弱性への対応に時間を使えるようになります。

脆弱性レポート

GitLab Duo Agent Platformの評価はあくまで推奨事項です。すべての誤検出の判定はユーザーが管理でき、エージェントの推論をいつでも監査して信頼性の高いモデルを構築できます。

脆弱性を自動修正に変換

実際に脆弱性であると判明しても、まだ作業の半分が完了したにすぎません。修正には、コードパスの理解、安全なパッチの作成、他の部分への影響がないことの確認が必要です。

SASTの誤検出判定フローによって脆弱性が誤検出ではない可能性が高いと判定された場合、エージェント型SAST脆弱性解決フローが自動的に以下を実行します。

  1. リポジトリから脆弱なコードとその周辺のコンテキストを読み取る
  2. 高品質な修正案を生成する
  3. 自動テストによって修正を検証する
  4. 以下を含む修正案のマージリクエストを作成する:
    • 具体的なコード変更
    • 信頼度スコア
    • 変更内容とその理由の説明

このデモでは、GitLabがSAST脆弱性を検出からレビュー可能なマージリクエストまで自動的に処理する様子をご覧いただけます。エージェントがコードを読み取り、修正を生成・検証し、明確で説明可能な変更を含むMRを作成する流れをご確認ください。デベロッパーにセキュリティの専門知識がなくても、より迅速に修正を行えるようになります。

AI生成の提案と同様に、マージを行う前に提案されたマージリクエストを慎重にレビューしてください。

実際のシークレットを特定

シークレット検出は、チームが結果を信頼できて初めて有用なものとなります。レポートにテスト用の認証情報やプレースホルダーの値、サンプルトークンが大量に含まれていると、デベロッパーは実際の漏洩を修正するよりも、ノイズのレビューに時間を浪費してしまう可能性があります。その結果、修正が遅延し、スキャンへの信頼が低下しかねません。

シークレットの誤検出判定機能は、チームが重要なシークレットに集中し、より迅速にリスクを軽減できるよう支援します。この機能がデフォルトブランチで実行されると、自動的に以下が行われます。

  1. 各検出結果を分析し、テスト用の認証情報、サンプル値、ダミーシークレットの可能性を特定する
  2. 検出結果が実際のリスクか誤検出の可能性が高いかの信頼度スコアを付与する
  3. 実際のシークレット、ノイズのいずれかとして扱われる理由の説明を生成する
  4. 脆弱性レポートにバッジを追加し、デベロッパーがステータスを一目で確認できるようにする

デベロッパーは、脆弱性レポートからシークレット検出の結果に対して「誤検出を確認」を選択することで、この分析を手動でトリガーすることもできます。リスクのない検出結果を除外し、実際のシークレットへの対応をより速やかに開始できます。

AIを活用したセキュリティ機能を今すぐお試しください

GitLab 18.10では、SASTとシークレット検出における誤検出ノイズの削減から、修正案を含むマージリクエストの自動生成まで、脆弱性ワークフロー全体をカバーする機能が導入されました。

AIを活用したセキュリティ機能がレビュー時間の短縮と検出結果のマージ可能な修正への変換にどのように役立つかをご確認いただくには、GitLab Duo Agent Platformの無料トライアルを今すぐ開始してください。

さらに検索する

すべてのブログ記事を表示する

セキュリティ

GitLab コンテナスキャン完全ガイド:SBOM生成から運用監視まで5つのスキャン手法

セキュリティ

GitLab.comのセキュリティ強化:多要素認証の必須化

セキュリティ

パイプライン変数からパイプライン入力への移行でセキュリティを強化

ご意見をお寄せください

このブログ記事を楽しんでいただけましたか?ご質問やフィードバックがあればお知らせください。GitLabコミュニティフォーラムで新しいトピックを作成してあなたの声を届けましょう。

フィードバックを共有する

今すぐ開発をスピードアップ

DevSecOpsに特化したインテリジェントオーケストレーションプラットフォームで実現できることをご確認ください。

無料トライアルを開始 お問い合わせ