本ブログは、GitLab 18.11 release notesの抄訳です。内容に相違がある場合は、原文が優先されます。

GitLab 18.11リリースノート

2026年4月16日、GitLab 18.11が以下の機能とともにリリースされました。

また、すべてのコントリビューターの皆さまに感謝申し上げます。今月の注目コントリビューターもご紹介します。

今月の注目コントリビューター：Rinku Cさん

Rinku Cさんは、2025年9月の参加以降、GitLab全体で80件以上の改善をマージしたレベル4コントリビューターです。

Developer Relationsチームのシニアフルスタックエンジニア、Arianna Haradonさんの推薦により、今回の表彰が実現しました。この賞は、長期にわたるRinkuさんの持続的かつ意義あるインパクトを称えるものです。Rinkuさんは、プロジェクトおよびグループアクセストークンの作成フォームにスコープを必須とすることでセキュリティに敏感なフローを強化し、ジョブログのnext/previousナビゲーション、空の検索を最近の検索から除外する改善、ファイルツリーの整理など、日常的なGitLab体験を向上させる数多くのアップデートを行いました。これらはすべて、一般的なワークフローをより明確で使いやすくするためのUIの改善です。Rinkuさんは、誰も手を付けないような作業にも積極的に取り組み、コードベースの健全性を保ち、意義ある持続的な価値をもたらしています。コントリビュートに感謝します！

主要な機能

脆弱性修正がGitLab Duo Agent Platformで一般提供開始

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated
リンク： ドキュメント | 関連イシュー

エージェント型SASTの脆弱性修正機能が、GitLab 18.11のGitLab Duo Agent Platformで一般提供開始（GA）となりました。SASTスキャンの一環として、SAST誤検知の検出後、または個別のSAST脆弱性に対して手動でトリガーした場合に実行されます。

エージェント型SAST脆弱性修正の特長：

検出内容を自律的に分析し、周辺のコードコンテキストを推論します。
重大度が「重大」および「高」のSAST脆弱性に対して、提案されたコード修正を含むレビュー可能なマージリクエストを自動作成します。
品質評価を提供し、レビュアーが提案された修正に対する信頼度を素早く把握できます。
脆弱性詳細ページから直接修正を適用できます。

フィードバックはイシュー585626にてお待ちしています。

GitLabデータ分析基本エージェントが一般提供開始

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated
リンク： ドキュメント | 関連エピック

データ分析エージェントはAIチャットアシスタントで、GitLabプラットフォーム全体のデータをクエリ、可視化し、インサイトを導き出せます。

GitLab Query Language（GLQL）を基盤として、サポート対象のデータソースに関するデータを取得・分析し、ソフトウェア開発の健全性やエンジニアリング効率について明確で実用的なインサイトを提供します。

これらのインサイトはエージェントの出力内で直接可視化でき、イシューやエピックに埋め込んでさらに評価できます。

CIエキスパートエージェントがベータ版として公開

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連イシュー

AIを活用したCIエキスパートエージェントがベータ版として利用可能になりました。このエージェントは、空の.gitlab-ci.ymlからではなく、GitLab上のコードを基に、最初の動作するパイプラインを作れるよう支援します。

GitLab Duo Agent Platformを使用してリポジトリを検査した後、ビルドやテストプロセスについていくつかのガイド付き質問を行います。その結果をもとに、レビュー・編集・コミットが可能なすぐに実行できるパイプラインを生成します。

パイプラインの作成が会話形式のコンテキストに沿った体験になると同時に、YAMLを本格的に調整・最適化したい段階になれば、すべてを自分で制御できます。

脆弱性の重大度が自動オーバーライド可能に

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

脆弱性のデフォルト重大度は、必ずしも組織の実際のリスクを反映しているわけではありません。たとえば、内部専用サービスにおける重大なCVEが、公開アプリケーションと同じ緊急度で対応すべきとは限りません。それにもかかわらず、チームは自社のリスクモデルに合わない検出結果のトリアージに多くの時間を費やしています。

脆弱性管理ポリシーにより、CVE ID、CWE ID、ファイルパス、ディレクトリなどの条件に基づいて脆弱性の重大度を自動調整できるようになりました。ポリシーが適用されると、デフォルトブランチ上の条件に一致する脆弱性の重大度が更新されます。手動によるオーバーライドは引き続き優先され、すべての変更は脆弱性の履歴と監査イベントに記録されます。

トリアージ作業を削減し、ビジネスにとって最も重要な検出結果にデベロッパーが集中できるようにします。

サブグループおよびプロジェクトでサービスアカウントの作成が可能に

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

サブグループおよびプロジェクトでサービスアカウントを作成できるようになりました。トップレベルグループの広範なボットの代わりに、単一のサブグループまたはプロジェクトに専用のサービスアカウントを関連付け、そのネームスペースの他のメンバーと同様にアクセスを管理できます。グループおよびサブグループのサービスアカウントは、作成されたグループまたはその配下のサブグループやプロジェクトに招待できます。プロジェクトサービスアカウントは、そのプロジェクト内に限定されます。

サービスアカウントがGitLab Freeで利用可能に

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

サービスアカウントがGitLab.comのすべてのプランで利用可能になりました。以前はPremiumおよびUltimateに限定されていたサービスアカウントにより、個々のチームメンバーに認証情報を紐付けることなく、自動化されたアクション、データアクセス、スケジュール処理を実行できます。チームの変更に関係なく認証情報を安定的に維持する必要があるパイプラインやサードパーティのインテグレーションで広く使用されています。GitLab Freeでは、トップレベルグループごとに最大100個のサービスアカウント（サブグループやプロジェクトで作成されたものを含む）を作成できます。

詳細制限付きパーソナルアクセストークンが利用可能に（ベータ版）

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

詳細権限付きパーソナルアクセストークン（PAT）がベータ版として利用可能になりました。従来のPATはユーザーが所属するすべてのプロジェクトとグループへのアクセスを付与しますが、詳細権限付きPATでは各トークンのアクセス先を特定のリソースやアクションに絞り込めます。万が一トークンが漏洩・侵害された場合の影響範囲を大幅に縮小できます。

既存のPATはこれまでどおり動作し、詳細権限なしのレガシーPATも引き続き作成できます。

今回のベータリリースではGitLab REST APIの約75%をカバーしています。REST APIの完全なカバレッジ、GraphQLの適用、管理者によるポリシーコントロールはGAリリースで対応予定です。

フィードバックはエピック18555にてお待ちしています。

セキュリティダッシュボードにトップCWEチャートを追加

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

新しいセキュリティダッシュボードでトップCWEチャートが利用可能になりました。プロジェクトまたはインスタンス全体で最も一般的なCWEを特定し、トレーニング、改善、プログラムの最適化の機会を見つけられます。ダッシュボードデータを重大度別にグループ化したり、重大度、プロジェクト、レポートタイプでフィルタリングできます。

KubernetesへのGitalyデプロイ

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連イシュー

完全にサポートされたデプロイ方法として、Kubernetes上にGitalyをデプロイできるようになりました。Kubernetesのオーケストレーション機能を活用したスケーリング、高可用性、リソース管理により、GitLabインフラストラクチャの管理の柔軟性が向上します。以前は、Kubernetesへのデプロイにはカスタム構成が必要で公式サポートがなかったため、コンテナ化された環境で信頼性の高いGitalyクラスターを維持することが困難でした。

マージリクエストパイプラインの手動実行時にインプットを再設定可能に

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連イシュー

CI/CDインプットを使うと、パイプラインの実行時にパラメータ値を変更して動作をカスタマイズできます。これまでこの機能はマージリクエスト（MR）パイプラインでは利用できませんでしたが、今回のリリースでMRパイプラインにも対応しました。

MRパイプライン向けにインプットを設定した後、マージリクエストの新しいパイプラインを実行するたびに、インプットを変更してパイプラインの動作を変更できます。

Agent Platformの中核機能

GitLab Duo Agentic Chatのデフォルトモデルがhaiku 4.5からSonnet 4.6に更新

利用可能プラン： Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated
リンク： ドキュメント | 関連イシュー

GitLabのAgentic Chat体験を向上させるアップデートを行いました。Agentic ChatのデフォルトモデルがVertex AIでホストされるClaude Haiku 4.5からClaude Sonnet 4.6にアップグレードされました。Claude Sonnet 4.6は推論と応答品質が向上していますが、Haiku 4.5と比べてGitLabクレジット消費量が多くなります。

モデル選択設定から、Haikuを含む代替モデルを選択できます。すでに特定のモデルを選択している場合、その選択は維持されます。このアップデートはデフォルトのみに影響し、既存の選択を上書きしません。モデルごとのクレジット消費量の詳細については、GitLabクレジットのドキュメントをご確認ください。

カスタムフロー定義でツールを設定可能に

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連イシュー

カスタムフロー定義内でツールオプションとパラメータ値を直接設定し、LLMのデフォルト値を上書きできるようになりました。カスタムフロー内でのツールの動作をより正確かつ一貫して制御でき、ガードレールや特定のパラメータ値の適用が容易になります。

Mistral AIがGitLab Duo Agent Platformのセルフホストモデルとして利用可能に

利用可能プラン： Premium、Ultimate
提供形態： GitLab Self-Managed
リンク： ドキュメント | 関連イシュー

GitLab Duo Agent Platformが、セルフホストモデルデプロイ向けのLLMプラットフォームとしてMistral AIをサポートしました。GitLab Self-Managedをご利用のお客様は、既存のサポート対象プラットフォーム（AWS Bedrock、Google Vertex AI、Azure OpenAI、Anthropic、OpenAI）と並行してMistral AIを設定できます。AI機能の運用方法の選択肢がさらに広がりました。

スケールとデプロイ

GitLabクレジットダッシュボードで過去の月を表示可能に

利用可能プラン： Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連イシュー

カスタマーポータルのGitLabクレジットダッシュボードで、過去の請求月を遡って確認できるようになりました。請求管理者は日々の使用状況の推移や期間ごとの消費パターンを比較し、請求書の内容と照らし合わせて確認できます。以前はダッシュボードに当月の請求月のみが表示されていました。この改善により、管理者はクレジット配分についてより的確な判断を行い、過去のデータに基づいて将来のニーズを予測できます。

GitLabクレジットのサブスクリプションレベル使用量上限の設定

利用可能プラン： Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント

管理者がサブスクリプションレベルでオンデマンドクレジットの月間使用量上限を設定できるようになりました。オンデマンドクレジットの消費総量が設定された上限に達すると、そのサブスクリプションのすべてのユーザーに対してGitLab Duo Agent Platformへのアクセスが自動的に一時停止され、次の請求期間の開始時または管理者が上限を調整するまで継続されます。この設定により、予期しない超過料金に対する確実なガードレールを提供し、Agent Platformのより広範な展開における主要な障壁を取り除きます。上限は請求期間ごとに自動的にリセットされ、管理者には上限到達時にメール通知が送信されます。

ユーザーごとのGitLabクレジット上限の設定

利用可能プラン： Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント

管理者が請求期間ごとにGitLabクレジットのユーザーごとの使用量上限をオプションで設定できるようになりました。個々のユーザーの総クレジット消費量が設定された上限に達すると、そのユーザーのみGitLab Duo Agent Platformへのアクセスが一時停止されます。他のユーザーは影響を受けません。特定のユーザーが組織全体のクレジットを偏って消費することを防ぎ、管理者が使用量の配分をきめ細かく制御できます。ユーザーごとの使用量上限はサブスクリプションレベルの使用量上限と連動し、先に到達した上限が適用されます。

Linuxパッケージの改善

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed
リンク： ドキュメント | 関連イシュー

GitLab 19.0では、PostgreSQLの最低サポートバージョンがバージョン17になります。この変更に備えて、PostgreSQLクラスターを使用していないインスタンスでは、GitLab 18.11へのアップグレード時にPostgreSQL 17への自動アップグレードが試行されます。

PostgreSQLクラスターを使用している場合、またはこの自動アップグレードをオプトアウトする場合は、GitLab 19.0にアップグレードするためにPostgreSQL 17に手動でアップグレードする必要があります。

コンテナレジストリメタデータデータベースのバックアップとリストアのサポート

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed
リンク： ドキュメント | 関連イシュー

Linuxパッケージインストール向けのGitLabバックアップRakeタスクと、Cloud Native（Helm）インストール向けのbackup-utilityが、コンテナレジストリメタデータデータベースに対応しました。メタデータデータベースに格納されているblob、manifest、タグなどのデータへの参照をバックアップでき、悪意のあるまたは偶発的なデータ破損からの復旧が可能になります。

検索のグループ向け新しいナビゲーション体験

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

検索のグループ一覧が改善され、GitLabインスタンス全体でのグループの発見が容易になりました。再設計されたインターフェースでは、2つのビューを持つタブレイアウトを採用しています。

アクティブタブ： アクセス可能なすべてのグループを閲覧し、関連するコミュニティやプロジェクトを発見できます。
非アクティブタブ： アーカイブされたグループや削除保留中のグループを表示し、グループのライフサイクルステータスを確認できます。

これらの変更により、グループの発見が効率化され、参加可能なグループの可視性が向上します。

プロジェクトの非同期転送

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

以前のバージョンのGitLabでは、大規模なグループやプロジェクトの転送がタイムアウトになることがありました。今回、転送・アーカイブ・削除などの操作に統一された状態管理モデルを導入したことで、動作の一貫性が向上し、状態履歴や監査詳細の可視性が改善されました。また、転送処理が非同期化され、長時間の操作でもタイムアウトが発生しにくくなっています。

統合DevOpsとセキュリティ

ClickHouseがSelf-Managedデプロイで一般提供開始

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated
リンク： ドキュメント | 関連イシュー

GitLab Self-Managedインスタンス向けに、GitLab ClickHouseインテグレーションの推奨事項と設定ガイダンスが改善されました。独自のクラスターを持ち込むか、ClickHouse Cloud（推奨）セットアップオプションを使用できます。このインテグレーションは複数のダッシュボードを支え、アナリティクス領域内のさまざまなAPIエンドポイントへのアクセスを提供します。

このスケーラブルで高パフォーマンスなデータベースは、GitLabアナリティクスインフラストラクチャにおける大規模なアーキテクチャ改善計画の一環です。

Duo・SDLCトレンドダッシュボードでのGitLab Duo Agent Platformアナリティクスの強化

利用可能プラン： Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated
アドオン： Duo Pro、Duo Enterprise
リンク： ドキュメント | 関連エピック

GitLab DuoおよびSDLCトレンドダッシュボードが改善され、ソフトウェアデリバリーへのGitLab Duoの影響を測定するためのアナリティクス機能が強化されました。月間Agent Platformユニークユーザー数とAgentic Chatセッション数の新しいシングルスタットパネルが追加されました。また、シート割り当てに対する使用率（%）として表示されていたメトリクスが、使用回数のみを報告するように更新されました。この変更により、新しい使用量課金モデルのAgent Platform使用量が反映されていなかった問題が解消されます。

GLQLがプロジェクト、パイプライン、ジョブのデータソースにアクセス可能に

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated
リンク： ドキュメント

GitLab Query Language（GLQL）が3つの新しいデータソース（プロジェクト、パイプライン、ジョブ）にアクセスできるようになりました。これらの新しいデータソースは埋め込みビューとしても利用でき、パイプライン結果、ジョブステータス、プロジェクト概要をWiki、イシューやマージリクエストの説明、リポジトリのMarkdownファイルに直接表示できます。GLQLはデータ分析エージェントの基盤でもあり、これらの新しいタイプにより、エージェントはCI/CDジョブの結果の検査、障害のデバッグ、パイプライン実行の詳細な概要の提供、およびネームスペース内のプロジェクトの正確な概要の提供が可能になります。

MavenおよびPythonのSBOMスキャンにおける依存関係の解決

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

SBOMを使用したGitLabの依存関係スキャンが、MavenおよびPythonプロジェクトの依存関係グラフの自動生成に対応しました。以前は、正確な依存関係分析にはロックファイルまたはグラフファイルの提供が必要でした。今回の改善により、これらのファイルが利用できない場合はアナライザーが自動的に生成を試みるようになり、MavenおよびPythonプロジェクトでロックファイルなしでも依存関係スキャンを有効にしやすくなりました。

高度なSASTのインクリメンタルスキャン

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

GitLab高度なSASTで、コードベースの変更された部分のみを分析するインクリメンタルスキャンが可能になりました。リポジトリ全体のスキャンと比較してスキャン時間が大幅に短縮されます。この機能は差分ベースのスキャンをさらに進化させたもので、コードベース全体の完全な結果を生成します。

変更されたコードのみをスキャンすることで、速度を犠牲にしたり摩擦を増やしたりすることなく、セキュリティテストを開発ワークフローにシームレスに統合できます。

未検証の脆弱性（ベータ版）

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

高度なSASTが、未検証の脆弱性（ソースからシンクまで完全にトレースできない検出結果）を脆弱性レポートに直接表示できるようになりました。検出漏れ（偽陰性）よりも誤検出（偽陽性）が多くなることを許容できる場合には、この機能を有効にしてください。

この機能はベータ版です。フィードバックはイシュー596512にてお待ちしています。

Kubernetes 1.35のサポート

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連イシュー

GitLabがKubernetesバージョン1.35を正式にサポートしました。アプリケーションをKubernetesにデプロイしてすべての機能にアクセスするには、接続されたクラスターを最新バージョンにアップグレードしてください。詳細については、GitLabの機能でサポートされているKubernetesのバージョンをご確認ください。

コンテナレジストリメタデータデータベースのpreferモード

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed
リンク： ドキュメント | 関連イシュー

コンテナレジストリメタデータデータベースをpreferモードに設定できるようになりました。これは、既存のtrueおよびfalseの値に加わる新しい設定オプションです。preferモードでは、レジストリがインストールの現在の状態に基づいて、メタデータデータベースを使用するかレガシーストレージにフォールバックするかを自動的に検出します。

データベースにインポートされていない既存のファイルシステムメタデータがある場合、メタデータのインポートが完了するまでレガシーストレージが引き続き使用されます。データベースがすでに使用されている場合、または新規インストールの場合は、レジストリがデータベースを直接使用します。

今後のリリースで、preferモードは新規Linuxパッケージインストールのデフォルトになる予定です。既存のインストールには影響しません。詳細については、イシュー595480をご確認ください。

パッケージ保護ルールがTerraformモジュールに対応

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連イシュー

これまで、ビルトインのGitLab Terraformモジュールレジストリからモジュールを公開しているチームには、新しいモジュールバージョンのプッシュを制限する手段がありませんでした。パッケージ保護ルールは複数のパッケージ形式に対応していたものの、terraform_moduleは対象外だったため、インフラストラクチャチームはプロジェクトレベルでプッシュを制御できませんでした。

今回、terraform_moduleを対象としたパッケージ保護ルールを作成できるようになり、最小ロールに基づいてプッシュアクセスを制限できます。この機能はUI、REST API、GraphQL API、GitLab Terraformプロバイダーリソースから利用できます。

リリースエビデンスにパッケージが含まれるように

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連イシュー

GitLabリリースの作成時、パッケージレジストリに公開されたパッケージは自動的にリリースに関連付けられませんでした。チームはパッケージURLを手動で構築し、APIやパイプラインスクリプトを通じてリリースリンクとして添付する必要があり、手間がかかるうえ不完全なリリースレコードのリスクがありました。

パッケージのバージョンがリリースタグと一致する場合、GitLabがリリースエビデンスにパッケージを自動的に含めるようになりました。手動の手順なしにリリースと関連パッケージ間の検証可能で監査可能なリンクが作成され、ソースコード、アーティファクト、パッケージが1つの完全なリリーススナップショットにまとめられます。

Wikiサイドバートグルの位置変更によるアクセス性向上

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連イシュー

Wikiサイドバートグルが、制御対象のサイドバーのすぐ横の左側に配置されるようになりました。

サイドバーが折りたたまれている場合でも、フローティングコントロールとしてトグルが表示されたままになるため、ページの先頭までスクロールすることなく再度開けます。

Wikiページのアクションバーが固定表示に

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連イシュー

Wikiページのアクションバーが固定表示されるようになり、ページをスクロールしても常に画面上に表示されます。以前は、編集やページ履歴の表示、テンプレートの管理などにアクセスするにはページの先頭までスクロールする必要がありました。ページタイトルと主要なアクション（編集、新しいページ、テンプレート、ページ履歴など）が、ページのどこにいても手の届く場所に表示されます。

エピックのウェイト

利用可能プラン： Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

エピックがウェイトに対応し、計画時に大規模なイニシアティブの見積もりと優先順位付けが容易になりました。

エピックを子イシューに分解する前に、初期見積もりを表す暫定ウェイトを割り当てられます。エピックを分解すると、すべての子イシューからのロールアップ合計を反映してウェイトが自動的に更新されます。これは、イシューやタスクのウェイトロールアップの動作と一貫しています。

エピック詳細ページでは、暫定ウェイトと子イシューからのロールアップウェイトの両方を確認でき、時間の経過とともに見積もりを洗練するために必要なインサイトを得られます。

悪用可能性リスクの高いマージリクエストのブロック

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

以前は、マージリクエスト（MR）の承認ポリシーは脆弱性の重大度に基づいてMRをブロックできましたが、すべての脆弱性が同じリスクを持つわけではありません。CVSSの重大度だけでは、CVEが実際に悪用されているかどうかや悪用の可能性はわかりません。その結果、承認ポリシーがノイズの多いものとなり、デベロッパーとセキュリティチームの時間が浪費されていました。

Known Exploited Vulnerability（KEV）およびExploit Prediction Scoring System（EPSS）データを使用してMR承認ポリシーを設定できるようになりました。検出結果がKEVカタログに含まれている場合（実際に悪用されている場合）、またはEPSSスコアがしきい値を超えている場合に、ブロックまたは承認を要求できます。MRのポリシー違反にはKEVおよびEPSSのコンテキストが含まれ、デベロッパーはセキュリティゲートがトリガーされた理由を理解できます。

セキュリティチームにどの検出結果をブロックまたは警告するかの正確な制御を提供し、アラート疲労を軽減し、現在の脅威状況に沿った適用を実現します。

脆弱性へのCVSS 4.0スコアの割り当て

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

CVSS 4.0は、脆弱性の重大度を評価・格付けするための業界標準の最新バージョンです。UIでCVSS 4.0スコアを表示・確認できるようになりました（脆弱性詳細ページおよび脆弱性レポートを含む）。APIを使用したスコアのクエリも可能です。

脆弱性レポートの行操作の改善

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連イシュー

以前は、脆弱性レポートから詳細ページに移動するには、行内の説明テキストをクリックする必要がありました。

今回の改善で、行のどこをクリックしても詳細ページに直接移動できるようになりました。脆弱性の説明やファイルの場所のリンク表示はマウスを合わせたときのみ表示されるようになり、キーボードナビゲーションも改善されています。

これらの変更により、脆弱性レポートがより直感的で使いやすくなりました。

セキュリティダッシュボードのPDFエクスポート

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

セキュリティダッシュボードをレポートやプレゼンテーション用にPDFとしてエクスポートできるようになりました。エクスポートには、アクティブなフィルターを含むダッシュボードのすべてのチャートとパネルの現在の状態が反映されます。

セキュリティ設定プロファイルでのSASTスキャン

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

GitLab 18.9では、シークレット検出 - デフォルトプロファイルによりセキュリティ設定プロファイルを導入しました。GitLab 18.11では、静的アプリケーションセキュリティテスト（SAST） - デフォルトプロファイルが追加され、SASTにも対応しました。CI/CD設定ファイルを一切編集することなく、標準化された静的解析のスキャン設定をすべてのプロジェクトに適用できます。

このプロファイルは2つのスキャントリガーを有効にします。

マージリクエストパイプライン： オープンなマージリクエストのあるブランチに新しいコミットがプッシュされるたびに、SASTスキャンを自動実行します。結果にはマージリクエストによって導入された新しい脆弱性のみが含まれます。
ブランチパイプライン（デフォルトのみ）： 変更がデフォルトブランチにマージまたはプッシュされた際に自動実行され、デフォルトブランチのSAST態勢の包括的なビューを提供します。

グループセキュリティダッシュボードのセキュリティ属性フィルター

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連エピック

グループセキュリティダッシュボードの結果を、グループ内のプロジェクトに適用されたセキュリティ属性に基づいてフィルタリングできるようになりました。

利用可能なセキュリティ属性は以下のとおりです。

ビジネスインパクト
アプリケーション
ビジネスユニット
インターネット露出
ロケーション

セキュリティマネージャーロール（ベータ版）

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント

セキュリティマネージャーロールがベータ版として利用可能になりました。セキュリティ専門家向けに設計された新しいデフォルトの権限セットを提供します。セキュリティチームはセキュリティ機能にアクセスするためにデベロッパーやメンテナーロールを必要とせず、過剰な権限付与の懸念を解消しながら職務分離を維持できます。

セキュリティマネージャーロールのユーザーには以下のアクセス権限があります。

脆弱性管理： グループおよびプロジェクト全体の脆弱性の表示、トリアージ、管理（脆弱性レポートおよびセキュリティダッシュボードを含む）。
セキュリティインベントリ： グループのセキュリティインベントリを表示し、全プロジェクトのスキャナーカバレッジを把握。
セキュリティ設定プロファイル： グループのセキュリティ設定プロファイルの表示。
コンプライアンスツール： グループまたはプロジェクトの監査イベント、コンプライアンスセンター、コンプライアンスフレームワーク、依存関係リストの表示。
シークレットプッシュ保護： グループのシークレットプッシュ保護の有効化。
オンデマンドDAST： グループのオンデマンドDASTスキャンの作成と実行。

開始するには、グループに移動し、管理 > メンバーを選択してメンバーを招待し、セキュリティマネージャーロールを割り当ててください。

脆弱性レポートの識別子リストポップオーバー

利用可能プラン： Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント | 関連イシュー

脆弱性レポートの各行にプライマリCVE識別子がクリック可能なリンクとして表示されるようになりました。複数の識別子が存在する場合、**「+N more」**のポップオーバーですべての識別子が一覧表示されます。リスト内の各識別子は外部参照（CVE、CWE、WASCデータベースなど）にリンクしており、レポートを離れることなく詳細にすばやくアクセスできます。

GitLab Runner 18.11

利用可能プラン： Free、Premium、Ultimate
提供形態： GitLab Self-Managed、GitLab.com、GitLab Dedicated、GitLab Dedicated for Government
リンク： ドキュメント

GitLab Runner 18.11もリリースしました。GitLab Runnerは、CI/CDジョブを実行し、結果をGitLabインスタンスに返送する高いスケーラビリティを備えたビルドエージェントです。GitLab Runnerは、GitLabに含まれるオープンソースの継続的インテグレーションサービスであるGitLab CI/CDと連携して動作します。

新機能：

バグ修正：

すべての変更の一覧はGitLab Runner CHANGELOGをご覧ください。

GitLab 18.11リリース