脆弱性の一元管理ビュー：スキャナーカバレッジからAIガバナンスまで

多くの企業は、複数の異なるセキュリティスキャナーを使用しており、それぞれのスキャナーはプロジェクトごとに個別に設定・適用されています。どのスキャナーがどこで動作しているかを一元的に把握する手段がなければ、ポリシーの形骸化、盲点の見落とし、そして重要なプロジェクトが気づかないうちに保護されない状況が生まれてしまいます。GitLab 19.1では、既存のセキュリティスキャナーを統合し、スキャナーカバレッジを一つのビューで把握できるようになりました。GitLabは、すべてのプロジェクトにわたってサードパーティスキャナーをスケールで適用し、検出された脆弱性を自動的に修正します。ガバナンスの面では、AIの監査イベントストリーミングのベータ版を提供開始します。これにより、エージェントが安全に動作しているかどうかを確認できます。

あらゆるプロジェクトにサードパーティスキャナーをスケールで適用する

多くのセキュリティチームにとって、アプリケーションセキュリティで最も難しい課題はスキャナーカバレッジです。スキャナーはプロジェクトごとに個別に設定されるため、スキャナーが実行されるかどうかは各チームの設定次第です。新しいプロジェクトが見落とされ、スキャンされていないことに気づくまでに数週間かかることもあります。カバレッジが暗黙知に依存している場合、コードがスキャンされないままリリースされ、脆弱性が本番環境に流入し、監査で問題が露呈します。

GitLabのすべてのプロジェクトにわたって、サードパーティスキャナーをスケールで適用できるようになりました。SARIF形式で出力するスキャナーであれば、ポリシーのもとで動作させることができ、検出された脆弱性はGitLabにネイティブに取り込まれます。すべての検出結果は、同じルールで管理された一つの脆弱性ビューに集約されるため、カバレッジは期待するものではなく、証明できるものになります。

さらに、サードパーティスキャナーの検出結果は、GitLabネイティブスキャナーの検出結果と同様に、GitLab Duo Agent Platformの自動修正ワークフローで処理されます。SAST誤検出検知が検出結果をトリアージして実際のリスクを持つものを優先し、エージェント型SASTの脆弱性解決が本番環境に流入する前に自動修正するマージリクエストを作成します。チームは、すべてのスキャナーにわたる一元的なビューで証明可能なカバレッジを手に入れ、サードパーティの検出結果についても自動修正が実現します。

シークレットをより早く検出し、誤検出への対応時間を削減する

シークレット検出はパイプラインで動作し、漏洩した認証情報を検出しますが、これまでチームは二つの課題に直面してきました。見落とされるシークレットと、ノイズの多い検出結果です。新しいブランチでは最新のコミットのみがスキャンされるため、それより前にコミットされたシークレットが気づかれないままリリースされることがあります。また、検出結果にはテスト用認証情報やプレースホルダーの値、サンプルトークンが混在するため、開発者は実際のリスクへの対応ではなくノイズのクリアに時間を費やしていました。

シークレット検出が新しいブランチ上のすべてのコミットをスキャンするようになりました（最新のコミットのみではありません）。また、一般提供となったシークレット誤検出検知が、脆弱性レポートに表示される各検出結果に信頼スコアと説明を追加します。チームは、シークレットが混入した箇所を問わず検出でき、誤検出ではなく実際のリスクの低減に時間を集中できます。

AIエージェントの権限を定義し、それを証明する

企業はコーディングにAIエージェントを採用しています。エージェントはマージリクエストを作成し、ツールを呼び出し、開発者と並行してコードをコミットします。しかし、エージェントがプロジェクトで承認されると、誰かが事前にアクションを確認しなくても、書き込み・削除・プッシュができてしまいます。企業は、エージェントが変更を加えた場合でも、開発者が加えた場合でも、コードベースの変更に対して責任を負います。企業はエージェントが実行前に何をしてよいかを決め、実行後に何をしたかを正確に示せなければなりません。

GitLab 19.1はそのガバナンスのギャップを埋めます。ベータ版として提供開始したAIの監査イベントストリーミングにより、エージェントが実行したすべてのアクションが監査イベントとして記録され、監査証跡の他のデータとともに、設定した監査ログの送信先にストリーミングされます。また、このリリースではプラットフォーム上でエージェントが実行できる操作をコントロールする機能も提供します。同じくベータ版のエージェントツール承認ガードレールにより、管理者は各エージェントツールを「自律実行」「人による承認待ち」「ブロック」のいずれかに設定できます。ファイルの書き込みやリソースの削除といった重要なアクションは、チームのレビュアーが承認するまで実行されません。すべての承認決定は監査イベントとして記録され、チームが事後確認できます。

その結果、ガバナンスの効いた自律性が実現します。エージェントは設定されたガードレールの範囲内でエンドツーエンドで動作し、リスクのあるアクションは担当者が承認しない限りコードベースには反映されません。後から監査担当者やインシデント対応者がエージェントの行動を問われたとき、その答えはすでに監査証跡の中にあります。

エージェントの高重大度の検出結果を人の承認なしに却下したことが警告としてフラグされた、エージェントアクティビティの監査証跡

エージェントにガバナンスの効いた自律性を

GitLab 19.1は、コードベース内のエージェントにガバナンスをもたらします。すべてのプロジェクトで完全なセキュリティスキャナーカバレッジを実現し、サードパーティスキャナーの自動修正も可能にします。エージェントが実行前に何をしてよいかを設定でき、すべてのアクションが監査証跡に記録されます。

エージェントが設定したガードレールの範囲内で何ができるかを確認し、実行内容を証明するには、GitLab Duo Agent Platformの無料トライアルをお申し込みください。