GitLab 18.5：ソフトウェア開発を前進させるインテリジェンス

ソフトウェア開発チームは、膨大な情報の波に飲み込まれています。何千もの脆弱性がセキュリティダッシュボードにあふれていますが、実際にリスクとなるのはごく一部です。デベロッパーは、計画バックログ、セキュリティ検出結果のトリアージ、コードレビュー、CI/CDの失敗への対応の間を行き来し、手作業に何時間も費やしています。GitLab 18.5は、この混乱に秩序をもたらします。

今回のリリースの核となるのは、GitLab全体の使いやすさを大幅に改善すること、そしてAIをユーザーエクスペリエンスに自然に統合することです。新しいパネルベースのUIにより、データをコンテキスト内で確認しやすくなり、GitLab Duo Chatをプラットフォーム全体で必要な場所に常時表示できるようになりました。そして、専用のエージェントが脆弱性のトリアージとバックログ管理に対応し、主要なAIツールがこれまで以上にシームレスにエージェント型ワークフローと統合されます。また、業界をリードするセキュリティ機能を拡張し、悪用可能な脆弱性と理論上の脆弱性の識別、有効な認証情報と期限切れの認証情報の区別、変更されたコードのみのスキャンによるデベロッパーのフローの維持をサポートします。

18.5の新機能

18.5は今年最大のリリースです。リリース紹介動画をご覧いただき、詳細については記事本文をお読みください。

GitLab Duoへのクイックアクセスを備えた最新のユーザーエクスペリエンス

GitLab 18.5では、新しいパネルベースのレイアウトにより、より使いやすく直感的なインターフェースでGitLabのユーザーエクスペリエンスが向上します。

パネルは情報を並べて表示し、より文脈に沿った作業を可能にします。イシューリストでイシューをクリックすると、そのサイドパネルに詳細が表示されます。次に、インターフェースの右側にGitLab Duo Chatパネルをオンデマンドアシスタントとして開くことができ、GitLab体験のどこからでも、コンテキストに応じた質問や指示でエージェントを活用できます。その他の細かいながらも使いやすさを重視した改善には、アクセシビリティ向上のためのグローバル検索ボックスの上部中央への移動、マイイシュー、マージリクエスト、To-Do、ユーザーアイコンなどのグローバルナビゲーション要素の右上への移動などがあります。左側のナビゲーションメニューは折りたたみと展開が可能で、柔軟なサイドバー管理を実現します。

パネルUIは、GitLab 18.5では「デフォルトでオフ」となり、ユーザーアイコンの下にあるオプトイントグルで利用できます。この機能を有効または無効にする方法の詳細については、こちらのドキュメントを参照してください。改善点やバグがあれば、ぜひフィードバックをお寄せください。エンジニアチームが注意深く対応します。私たちのチームと同じようにこの体験を気に入っていただければ、このトグルは18.6で削除され、パネルUIがすべてのユーザーエクスペリエンスで標準になる予定です。

GitLab Duo Agent Platformのアップデート

Security Analyst Agent（セキュリティ分析エージェント）：手動の脆弱性トリアージをAI駆動の自動化に変革

GitLab Duoセキュリティ分析エージェントは、AI搭載の分析により脆弱性管理ワークフローを自動化し、何時間もかかる手動トリアージをAI駆動の高度な自動化に変革します。GitLab Duo Agentic Chatで利用できるVulnerability Management Tools（脆弱性管理ツール）を基盤として、セキュリティ分析エージェントは複数のツールを連携させ、セキュリティポリシーを適用しながら、繰り返しのワークフロー用のカスタムフローを自動的に作成します。

セキュリティチームは、CVEの詳細、静的到達可能性分析、コードフロー情報を含む充実した脆弱性データにアクセスでき、誤検知の却下、脅威の確認、深刻度レベルの調整、修復用のリンクイシューの作成など、すべてを会話型AIを通じて実行できます。このエージェントは、脆弱性ダッシュボードでの繰り返しのクリック作業を削減し、カスタムスクリプトを簡単な自然言語コマンドに置き換えます。

たとえば、セキュリティスキャンで数十件の脆弱性が検出された場合、「reachable=FALSEの脆弱性を却下し、クリティカルな調査結果のイシューを作成する」とプロンプトするだけです。セキュリティ分析エージェントは到達可能性データを分析とセキュリティポリシーの適用を行い、一括操作を瞬時に完了します。これにより、本来であれば何時間もかかる作業を削減できます。

個別の脆弱性管理ツールは特定のタスクのためにAgentic Chatから直接アクセスできますが、セキュリティ分析エージェントはこれらのツールを状況に応じて適切に統制し、複雑な多段階ワークフローを自動化します。脆弱性管理ツールはGitLab Self-ManagedおよびGitLab.comインスタンスのAgentic Chatで利用でき、セキュリティ分析エージェントは18.5ではGitLab.comのみで利用できます。Self-ManagedおよびDedicated環境での提供は、次回のリリースで予定されています。 デモ動画をご覧ください：

GitLab Duo Planner：バックログの混沌を戦略的な明確さに変える

複雑なソフトウェアデリバリーを管理するには、複数の計画タスクを絶えず行き来する必要があります。GitLab Duo Plannerは、チームが日々直面する現実の計画課題に対応します。Duo Plannerは、イシュー、エピック、マージリクエストの管理方法を含むプロジェクトコンテキストを認識するチームメイトとして機能します。一般的なAIアシスタントとは異なり、GitLabの計画ワークフローの深い知識とアジャイルおよび優先順位付けフレームワークを組み合わせて構築されており、労力、リスク、戦略的整合性のバランスを取るのに役立ちます。

GitLab Duo Plannerは、漠然としたアイデアを構造化された計画階層に変換できます。さらに、古いバックログアイテムの特定や、経営陣向けの更新のドラフト作成も可能です。たとえば、数か月にわたって蓄積された何百ものイシューを含むバックログを整理する場合、「古いバックログアイテムを特定し、優先順位を提案する」とプロンプトするだけです。数秒で構造化された要約が表示され、その要約では、更新されていないイシュー、情報不足のアイテム、重複作業が明示され、ラベルとマイルストーンに基づく推奨優先順位と具体的なアクションが提案されます。

複雑なロードマップを管理するチームにとって、Plannerは何時間もの手動分析とタスクの行き来を排除し、プロダクトマネージャーとエンジニアリングリーダーがより迅速で情報に基づいた意思決定を行えるようサポートします。18.5の時点で、GitLab Duo Plannerは現在「読み取り専用」であり、分析、計画、提案はできますが、まだ何かを変更する直接的なアクションは実行できません。詳細については、ドキュメントを参照してください。

拡張可能なエージェントカタログ：人気のAIツールをネイティブGitLabエージェントとして利用可能に

GitLab 18.5では、主要なAIエージェントをAIカタログに直接導入し、Claude、OpenAI Codex、Google Gemini CLI、Amazon Q Developer、OpenCodeなどの外部ツールがネイティブGitLabエージェントとして利用できるようになりました。ユーザーは、GitLabの組み込みエージェントと同じカタログインターフェースから、これらのエージェントを検出、設定、デプロイでき、組織全体のカタログで主要エージェントが自動的に同期されます。

ポイントアンドクリックでカタログから直感的に操作できる一方、GitLabの認証・監査システムを通じてエンタープライズグレードのセキュリティも確保されています。これにより、面倒なエージェントの手動設定が不要になります。

GitLab Duo Enterpriseサブスクリプションでは、ClaudeとCodexが標準で利用可能になりました。個別のAPIキーや追加料金の設定は不要で、既存のサブスクリプションだけで使えます。

なお、他のエージェントについては統合の最終調整中のため、別途サブスクリプションや設定が必要になる場合があります。

セルフホスト対応GitLab Duo Agent Platform（ベータ版）：AI能力を犠牲にせずにデータ主権要件に対応

GitLab 18.5では、GitLab Duo Agent Platformのセルフホスト機能が実験的機能からベータ版に移行し、規制産業やデータ主権要件に不可欠な、組織が独自のインフラストラクチャ内でAIエージェントとフローを完全に実行できるようになりました。ベータ版リリースには、改善されたタイムアウト設定とAIゲートウェイ設定が含まれており、チームはコードレビュー、バグ修正、機能実装にAIエージェントを使用しながら、機密コードを企業レベルのセキュリティで保護できます。

よりスマートで高速なセキュリティ：実際のリスクを優先し、デベロッパーのワークフローを維持

GitLab 18.5では、新しいアプリケーションセキュリティ機能を導入しました。チームは悪用可能なリスクに焦点を絞り、ノイズを減らしながら、ソフトウェアサプライチェーンセキュリティを強化できます。

これらのアップデートは、セキュリティを開発プロセスに直接組み込むという当社の継続的な取り組みの一環です。デベロッパーの作業フローを妨げることなく、高い精度、迅速性、そして有益なインサイトを提供します。

静的到達可能性分析

今年は37,000を超える新しいCVEが発行され、セキュリティチームは膨大な数の脆弱性の中から、どれが本当に悪用可能かを見極めることに苦労しています。限定提供中の静的到達可能性分析は、脆弱なコードが依存関係に存在するだけでなく、アプリケーションで実際に呼び出されているかどうかを特定できます。これにより、ライブラリレベルで正確に脆弱性を評価できます。

最近リリースされたExploit Prediction Scoring System（EPSS）およびKnown Exploited Vulnerability（KEV）データと組み合わせることで、セキュリティチームは脆弱性のトリアージを効果的に加速できます。実際のリスクを優先して対応することで、全体的なサプライチェーンセキュリティの強化につながります。18.5では、既存のPython、JavaScript、TypeScriptのサポートに加えて、Javaのサポートを追加しています。

シークレット有効性チェック

静的到達可能性分析がチームがオープンソース依存関係から悪用可能な脆弱性を優先するのに役立つのと同様に、シークレット有効性チェックは露出したシークレットに同じインサイトをもたらします。現在、GitLab.comとGitLab Self-Managedでベータ版として利用可能です。GitLabが発行するセキュリティトークンの場合、漏洩した認証情報またはAPIキーが有効かどうかを手動で確認する代わりに、GitLabは脆弱性レポートで有効なシークレットと期限切れのシークレットを自動的に区別します。これにより、セキュリティチームと開発チームは、本当に対処すべきリスクに絞って修復作業を進められます。AWSおよびGCPが発行するシークレットのサポートは、今後のリリースで予定されています。

高度なSASTのカスタムルール

高度なSASTは、社内セキュリティリサーチチームの情報に基づくルールで実行され、すぐに使える精度を最大化するように設計されています。ただし、一部のチームは、特定の組織に合わせてSASTエンジンを調整するための追加の柔軟性を必要としていました。高度なSASTのカスタムルール機能を使えば、AppSecチームはGitLabの標準ルールに加えて、組織独自のセキュリティルールを設定できます。たとえば、社内で禁止されている関数の使用を検出するなど、組織特有のセキュリティ要件に対応したパターンベースの検出ルールを定義できます。カスタマイズは、他のSASTルールセット設定と同様に、シンプルなTOMLファイルを通じて管理されます。これらのルールは汚染分析をサポートしませんが、組織に正確なSAST結果を達成するための柔軟性を高めます。

高度なSASTでCおよびC++言語をサポート

高度なSASTの対応言語を拡大し、組み込みシステムソフトウェア開発で広く使用されているCおよびC++がサポートされるようになりました。スキャンを有効にするには、プロジェクトはコンパイラコマンドとビルド中に使用されるインクルードパスをキャプチャするコンパイルデータベースを生成する必要があります。これにより、スキャナーがソースファイルを正確に解析および分析し、開発プロセスで実際の脆弱性を特定するのに役立つ正確でコンテキストを認識した結果を提供できます。CおよびC++の実装要件には特定の設定が必要であり、ドキュメントに記載されています。高度なSASTにおけるCおよびC++サポートは現在ベータ版で利用可能です。

差分ベースのSASTスキャン

従来のSASTスキャンは、コミットごとにコードベース全体を再分析していました。その結果、パイプラインが遅くなり、デベロッパーのワークフローが中断されます。デベロッパーエクスペリエンスは、アプリケーションセキュリティテストの導入を左右する重要な要素です。

差分ベースのSASTスキャンは、この課題を解決します。マージリクエストで変更されたコードのみに焦点を当てることでスキャン時間を短縮します。同時に、冗長な分析を減らし、デベロッパーの作業に関連する結果だけを表示するようにします。実際のコード変更に合わせたスキャンにより、GitLabは強固なセキュリティカバレッジを保ちつつ、より高速で焦点を絞ったフィードバックを提供し、デベロッパーのワークフローを妨げません。

API設定の簡素化

API駆動型ワークフローは、強力で柔軟性がありますが、チームが日常的に繰り返すタスクには、かえって手間がかかることがあります。新しいMaven Virtual Registryインターフェースにより、これらのオペレーションにUIレイヤーが追加されます。

Maven Virtual Registryインターフェース

Maven Virtual Registryを管理するための新しいWebベースのインターフェースにより、複雑なAPI設定が視覚的にシンプルになり、パッケージ管理者とプラットフォームエンジニアにとってより直感的な体験が提供されます。

これまで、チームは仮想レジストリをAPIコールのみで設定および維持していたため、日常的なメンテナンスに時間がかかり、専門的なプラットフォーム知識が必要でした。新しいインターフェースにより、この障壁が取り除かれ、日常的なタスクをより高速かつ簡単にします。

このアップデートにより、次のことが可能になります：

• 依存関係の設定を簡素化するための仮想レジストリの作成
• パフォーマンスとコンプライアンスを向上させるためのアップストリームの作成と順序付け
• UI内での古いキャッシュエントリの直接参照とクリア

この視覚的な操作画面により、運用オーバーヘッドを削減できます。また、開発チームは依存関係の解決方法をより明確に把握でき、ビルドパフォーマンスとセキュリティポリシーに関して適切な判断を下せるようになります。

デモをご覧ください：

エンタープライズのお客様には、Maven Virtual Registryベータプログラムに参加し、最終リリースの形成にフィードバックを共有していただくことをお勧めします。

ワークフローに適応するAI

このリリースは、単なる新機能の追加ではありません。ユーザーに選択肢とコントロールを提供します。解説動画はこちら：

GitLab PremiumおよびUltimateユーザーは、GitLab.comとSelf-Managed環境で今日からこれらの機能を使用できます。GitLab Dedicatedのお客様への提供は来月を予定しています。

GitLab Duo Agent Platformは現在ベータ版です。ベータ版および実験的機能を有効にして、フルコンテキストAIがチームのソフトウェア構築方法をどのように変革できるかを体験してください。

GitLabは初めてですか？無料トライアルを開始して、AIを活用した安全な開発が、世界で最も包括的なDevSecOpsプラットフォームで実現できる理由をご覧ください。

*注意： ベータ版のプラットフォーム機能は、GitLabベータプログラムの一部として利用できます。ベータ期間中は無料で使用でき、一般提供時には、GitLab Duo Agent Platformの有料アドオンオプションとして利用できるようになります。*

GitLabの最新情報を入手

最新の機能、セキュリティアップデート、パフォーマンス改善を確実に入手するために、GitLabインスタンスを最新の状態に保つことをお勧めします。次のリソースは、アップグレードの計画と完了に役立ちます：

• Upgrade Path Tool — 現在のバージョンを入力すると、インスタンスの正確なアップグレード手順が表示されます
• Upgrade Documentation — サポートされている各バージョンの詳細ガイド（要件、ステップバイステップの手順、ベストプラクティスを含む）

定期的にアップグレードすることで、チームは最新のGitLab機能を活用でき、セキュリティとサポートも確保されます。

アップグレード作業を任せたい場合は、GitLabのManaged Maintenanceサービスをご検討ください。Managed Maintenanceを利用すると、GitLabのエキスパートがSelf-Managedインスタンスのアップグレード、セキュリティの確保、DevSecOps体制の準備を確実に行うため、チームは本来の開発業務に集中できます。詳細については、アカウントマネージャーにお問い合わせください。

このブログ投稿には、改正1933年証券法第27A条および1934年証券取引法第21E条の意味における「将来の見通しに関する記述」が含まれています。これらの記述に反映されている期待は合理的であると考えていますが、実際の結果または成果が大きく異なる原因となる可能性のある既知および未知のリスク、不確実性、仮定、その他の要因の影響を受けます。これらのリスクおよびその他の要因に関する詳細情報は、SECへの提出書類の「リスク要因」という見出しの下に含まれています。法律で義務付けられている場合を除き、このブログ投稿の日付以降、これらの記述を更新または修正する義務を負いません。