GitLab 18.11：マージ可能なAIコード生成により脆弱性の修正を自動化

AIがコードを生成するスピードに、セキュリティチームのレビューが追いつかない現状があります。かつては管理できていた静的アプリケーションセキュリティテスト（SAST）の脆弱性バックログも、今や解析が困難なほど膨大なリストへと膨れ上がっています。デベロッパーが1件ずつ手作業で調査・修正することを待っているこうした状況は、プロセスではなく「ボトルネック」です。そしてこの課題の解決に必要なのは人的な労力の増強ではなく、自律型パイプラインです。GitLab Duo Agent Platformのエージェント型SAST脆弱性解決機能は、まさにそのために構築されました。

一般提供（GA）となったエージェント型SAST脆弱性解決機能は、SAST脆弱性を修正するマージ可能なコードフィックスを自動生成します。この機能のメリットは次のとおりです。

• デベロッパーはフローを維持できる
• 脆弱性を本番環境に到達する前に解決できる
• AppSecチームは、トリアージを行い、修正完了の確認のためにデベロッパーを追い回す時間を削減できる

エージェント型SAST脆弱性解決機能は、アプリケーションセキュリティの未来形です。GitLab 18.11はさらに、より高速なSASTスキャン、スマートな優先順位付け、プラットフォーム全体にわたる強力なガバナンスも提供します。

フローを維持したまま自動修正

AIがコードを大規模に生成するようになると、開発の状況は一変します。かつて線形に増加していたセキュリティバックログは、AIアシストによるコミットのたびに大きく積み上がっていきます。デベロッパーに頭の切り替えを強いて手動で脆弱性を修正させ続けるだけでは、この問題は解決しません。GitLabの2025 DevSecOpsレポートによると、デベロッパーはすでに月あたり11時間を、リリース後の脆弱性修正（つまり、新しい機能の開発ではなく、すでに本番環境に入ってしまった悪用可能な問題への対処）に費やしています。

エージェント型SAST脆弱性解決機能は、そのサイクルの構造を根本から変えます。SASTスキャンが完了すると、検出結果が自動的にSAST誤検出判定フローを開始します。真陽性と確認されたものは直接エージェント型SAST脆弱性解決フローへと送られ、GitLab Duo Agent Platformが以下を実行します。

• コンテキストを踏まえて脆弱性を分析
• 根本原因に対処するコードフィックスを生成
• 自動テストによりコードフィックスを検証

デベロッパーは信頼スコア付きのマージ可能なマージリクエストを受け取り、脆弱性の修正方法について十分な情報に基づいた判断を下すことができます。スプリントはスケジュール通りに進み、デベロッパーはフローを維持し、脆弱性は本番環境に到達する前に解決されます。

ソフトウェア開発の加速は、スキャナーの待ち時間をなくすことにもつながります。GitLab 18.11ではAdvanced SASTのインクリメンタルスキャンが導入され、デベロッパーはフルスキャンの完了を待たずに脆弱性の結果を確認でき、パイプラインが止まることもありません。

スコアではなく、ビジネスリスクで修正の優先順位を決める

自律型修正が機能するのは、その判断の根拠となるシグナルが信頼できる場合に限ります。重大度スコアが実際の悪用可能性を反映していない場合、デベロッパーはシグナルを信頼しなくなり、無視し始めます。

GitLab 18.11は、この問題に4つのレベルで対処します。まず、脆弱性スコアが、現時点で最も新しい業界標準であるCVSS 4.0に基づいたものに変わりました。より細かい指標によって実際の悪用可能性が的確に評価されます。GitLabに表示されるスコアは、現実世界のリスクを測る現行の業界標準を反映しています。

次に、AppSecチームはポリシーベースのルールを定義して、CVE（共通脆弱性識別子）、CWE（共通脆弱性タイプ一覧）、ファイルパス/ディレクトリなどのシグナルに基づいて脆弱性の重大度スコアを自動的に調整できます。ポリシーが設定されると、重大度がすぐに上書きされるため、デベロッパーはスキャナーが出力した生データではなく、実際のビジネスリスクを反映したバックログをもとに作業することができます。

リスクベースの適用はバックログにとどまりません。AppSecチームは、KEV（既知の悪用された脆弱性）ステータスやEPSS（悪用予測スコアリングシステム）スコアのしきい値に基づいてマージをブロックまたは警告する承認ポリシーを設定できます。マージがブロックされた場合、デベロッパーはその脆弱性が自分の環境を考慮していないスコアではなく、現実世界の悪用可能性データに基づいていることを把握できます。

最後に、新しい「上位CWE」セキュリティダッシュボードチャートにより、プロジェクト全体でどの脆弱性クラスが最も頻繁に出現しているかを把握できます。個々の検出結果を追いかけるのではなく、パターンを特定し、根本原因レベルで優先順位を付け、加速度的に積み上がる前にシステム的なリスクに対処できます。

運用オーバーヘッドを抑えながらセキュリティコントロールを強化

自律型修正パイプラインの品質は、その下支えとなるセキュリティスキャナーのカバレッジに依存します。スキャナーの適用が一貫していなければ、パイプラインに流れ込む検出結果は不完全となり、修正も同様に不完全になります。

GitLab 18.11では、セキュリティマネージャーという、セキュリティ担当者向けに特化して設計された新しいデフォルトロールが導入されます。セキュリティマネージャーロールにより、セキュリティチームはコードの変更やデプロイ権限なしに、セキュリティスキャナーの適用、セキュリティポリシーの定義と設定、脆弱性のトリアージ・修正ワークフローの管理、コンプライアンスフレームワークと監査ストリームの維持が可能になります。セキュリティチームは業務に必要なアクセス権のみを持ち、コードとデプロイの権限は引き続きデベロッパーが持ちます。

AppSecチームにとって、複数のプロジェクトとグループにわたる一貫したSASTスキャナーのカバレッジの確保が、大幅に容易になりました。SAST設定プロファイルにより、セキュリティチームは一箇所でスキャン設定を定義し、1回の操作でグループ内の全プロジェクトに適用できます。これにより、チームは、YAMLポリシーファイルの作成と維持、デベロッパーへのスキャナー設定依頼、各プロジェクトのカバレッジギャップの手動確認を行う必要がなくなります。

エージェント型脆弱性修正を今すぐ始める

GitLab 18.11により、脆弱性を自動修正するAI、脆弱性ノイズを解消するスマートな優先順位付け、そしてセキュリティチームに適切なアクセス権とカバレッジを大規模に提供するガバナンスコントロールという、脆弱性ワークフロー全体が1つのプラットフォームで完結します。

今すぐGitLab Ultimateの無料トライアルを開始して、GitLab Duo Agent Platformがどのようにして自動修正をデベロッパーのワークフローに直接組み込むかをご確認ください。