SaaSはAgentic AIの「主語」であるべき

GitLab は2026年2月10日、東京・六本木ヒルズクラブで「GitLab Transcend Japan」を開催しました。今回のイベントは、世界12都市で同日開催されたグローバルカンファレンスの一環で、GitLabを先進的に活用されている国内ユーザーの皆様の中から、グローバルで選定された方々を招待して実施しました。

オープニングセッションには、GitLab Head of Japan 小澤 正治が登壇。小澤は、AIが急速に普及し「手段」として定着しつつある現状を踏まえ、Tech SaaSのあり方を再定義する必要性について以下のように語りました。

「これからは、Agentic AI（自律型のAI）そのものを主語として考えるSaaSなのか、それともSaaSというプラットフォームを主語にして考えるAgentic AIなのか、この違いが問われる時代になります」

統合プラットフォームであるGitLabは、ソフトウェア開発における複雑なワークフローをコントロールし、すべてのトランザクションをデータとして蓄積しています。そして、この膨大かつ正確なデータ群のおかげで、人やAIはコンテキスト（文脈）としてその全容を理解できるようになるのです。つまり、AIが精度の高い回答を提供してくれるか否かは、こうしたデータがそろっているかどうかが大きなカギになるわけです。「これこそ、GitLabが提供できる根源的な価値になります」（小澤）。

小澤は、現在の日本企業を取り巻く環境について、3つの重要なトピックを挙げました。サイバーセキュリティと法規制、円安と輸出規制、および2025年の崖と人材不足です。

サイバーセキュリティと法規制では、サイバー攻撃によるインシデントが多発する中、NIST（米国国立標準技術研究所）のガイドラインなど、国内外の法規制への対応が必須となっています。もはやセキュリティは「努力目標」ではなく「経営課題」と言える状況です。円安と輸出規制では、円安が輸出企業にとって追い風になる一方、欧州のサイバーレジリエンス法（CRA）やGDPRなどの規制をクリアしなければグローバル市場で戦えません。これらがビジネスのハードルになるケースが増えてきています。最後の2025年の崖と人材不足では、レガシーシステムのモダナイゼーションを推進できるIT人材の確保が多くの企業にとって悩みの種になっています。

GitLabは、これらの課題に対しシングルプラットフォームという価値でこたえることができます。

小澤は、「ソフトウェア開発のすべてをGitLab上で行うことで、データは単一のデータストアに蓄積されます。分断されたツール群では成し得ないこのデータとコンテキストの一元化こそが、AI活用における最大の武器になります。また、コンプライアンスやガバナンスに強制力を効かせながら、効率を下げずにソフトウェア開発することで、安心・安全なデリバリーが可能になるのです」と語りました。

インテリジェント・オーケストレーションがソフトウェア開発の未来を切り拓く

続いて、会場のスクリーンで全世界に向けたビデオが放映されました。GitLab CEO Bill Staplesをはじめとする経営陣、そして先進的なユーザー企業が登場し、AI時代の新たなソフトウェア開発戦略の発表の場です。

Staplesは、「月曜の朝、コーヒーを片手にPCを開き、仕事をスタートさせます。しかし、実際にコードを書く時間はどれくらいあるでしょう？」と語りかけます。25万人の開発者を対象とした調査によると、開発者が実際にコードを書いている時間は、1日平均でわずか52分に過ぎません。残りの時間は、会議、承認待ち、障害対応、およびその他の雑務に奪われているのです。

これがAIのパラドックスです。AIコーディングツールは、生産性10倍とうたいますが、それは業務全体のわずか10〜20%に過ぎないコーディング時間を短縮しているだけ。前後のプロセスにあるボトルネックが解消されない限り、ビジネス全体のデリバリー速度は劇的には向上しないのです。

この課題を解消するために、Staplesは「インテリジェント・オーケストレーション」という方向性を提唱します。これまでの開発は、人間がバケツリレーのように工程を渡していく「ステージベース」でした。これからは、AIエージェントが自律的にタスクを拾い、プロセス間を繋ぐ形へとシフトします。

「人間はループの上に立ち、エージェントをオーケストレーション（指揮）する役割へと進化します」（Staples）と語ります。雑務から解放され、戦略や創造的な意思決定に集中する未来の姿がそこにあります。

続いて、このビジョンを実践している企業として、サウスウエスト航空社のManaging Director、Grant Morris氏が登場しました。同社は、個別最適化されたツール群を捨て、GitLabでソフトウェア開発の全プロセスを統合。セキュリティとコンプライアンスを担保しながら開発者がビジネス価値の創出に集中できる環境を整備しています。

AI活用についてGrant氏は、「セキュリティ修正や依存関係のアップデートなど、エンジニアが疲弊するルーティンワークをAIエージェントに任せています」と語ります。さらに将来は、「AIエージェントがバックグラウンドで常にコードを監視し、リファクタリング（ソフトウェアの内部コード構造を整理する作業）やアップグレードを自律的に提案してくれるようになるでしょう。つまり、技術的負債という概念自体が過去のものになります」と語りました。

続いて登場したGitLab CPMOのManav Khuranaは、インテリジェント・オーケストレーションを実現するための製品戦略について解説しました。

まずは、AIエージェントをGitLab内で機能させる基盤となるAgentic Coreの進化。リポジトリやイシューなどをAIがコンテキストとして理解できるように構造化する独自技術を提供します。汎用的なエージェントに加え、各社独自のノウハウを組み込んだCustom Agentsを作成・公開できるAI Catalogを用意し、JiraやSlackなど外部ツールからもコンテキストを取得するためにModel Context Protocol （MCP）にも対応します。

既存機能の強化では、複雑なYAMLを書かずにAIと対話しながらパイプラインを構築できるAIファーストのCI/CDビルダーや、あらゆる成果物をGitLab内で一元管理し、AIエージェントが機密性の高い状態でも安全にアクセスできる仕組みを構築します。

GitLabは、SaaSだけでなく、オンプレミス環境でも利用できます。AIもオンプレミスで利用できるよう、ガバナンスを効かせた状態でAIを活用できる環境も提供します。独自のAIモデルを持ち込むBYOM（Bring Your Own Model）や、インターネット遮断環境（エアギャップ）にも対応します。

ビデオの終盤には、Oracle Group VPであるVictor Restrepo氏が登場し、GitLabとの強力なパートナーシップについて語りました。Restrepo氏は、Oracle Cloud Infrastructure （OCI）のコストパフォーマンスとGitLabの効率性を組み合わせることでインフラコストを削減し、その分をイノベーション投資に回すクラウドエコノミクスの重要性を強調。「政府系クラウドや専用リージョンを持つOCI上でGitLabを稼働させれば、厳しい規制が課される業界でもセキュアにAIを活用できるようになります」とGitLabとの親和性についても語りました。

コンテキストを理解し、自律的に動くAIエージェント

ビデオで披露された最新機能について、次のセッションで実機デモを交えた解説が行われました。その際にも強調されたのは、コンテキストの重要性です。AIエージェントが的確な仕事をするためには、プロジェクトの全容を理解している必要があります。企画から監視までをシングルプラットフォームで管理しているGitLabだからこそ、AIは断片的な情報ではなく、プロジェクトの全履歴という文脈を理解した上で自律的に動くことができるのです。

デモでは、まずDuo Planner Agentを紹介。「こんな感じの機能をリリースしたい」という人間からの曖昧な指示に対し、AIはバックログや現状のコードベースを分析し、数分で具体的なタスクへと分解し、実行計画を立案してくれます。Duo CLIのデモでは、ターミナル上での作業をAIが支援してくれる様子が披露されました。対話内容はWeb UIと同期されるため、開発者はツール間を行き来することなく、シームレスに作業を継続できます。

Foundational Flowsのデモでは、CIパイプラインが失敗した際にワンクリックでAIがログを解析してくれました。原因の特定から修正コードの作成、そして修正用マージリクエストの作成まで、AIが自律的に支援してくれます。Security Analyst Agentも便利です。脆弱性が検出された際に、単に警告を出すだけではなく、AIエージェントが「なぜ危険なのか」を解説し、具体的な修正パッチを作成してくれます。

最後のセッションには、国内の先進事例として、株式会社SBI証券 執行役員 IT企画部長 武藤 恵慈氏をお招きし、小澤とのFireside Chatを実施しました。かつてはシステムや言語が乱立する課題を抱えていた同社は内製化へと大きく舵を切り、大規模かつ多数のプロジェクトを効率的に推進しています。詳細なセッション内容は、近日中に公開予定です。

この日のイベントでは、Staplesの以下の発言が印象に残りました。

「ソフトウェア開発は、コードを書くことから価値を創ることへと変化しています」

GitLabは単なるツールから、人間とAIエージェントが協調して働くための基盤である「インテリジェント・オーケストレーション・プラットフォーム」へと進化します。AIのパラドックスを乗り越え、開発者が真のイノベーションに注力できる未来へ。「Transcend（=超越）」というイベント名にふさわしい、新たな時代が幕を開けます。

コード生成が高速化する一方で、レビュー、テスト、セキュリティスキャン、デプロイといった下流工程に新たなボトルネックが生まれています。

これが、私たちが「AIパラドックス」と呼ぶ現象です。

今月のMonday Mergeでは、計画、開発、セキュリティ、デプロイにわたるSDLC全体でのインテリジェント・オーケストレーションがこの課題にどのように対応し、エンタープライズDevSecOpsをどのように再構築しているのかを探ります。

GitLab 18.9：エージェント型AIがプラットフォームのさらに深部へ

2月の締めくくりに、25以上の改善とエージェント型AI機能の大幅な進化を含むGitLab 18.9をリリースしました。

セルフマネージド環境向け GitLab Duo Agent Platform

GitLab Duo Agent Platformは、オンラインライセンスを持つセルフマネージドのお客様向けに提供開始となりました。自社インフラ内でエージェント型AI機能を必要とするエンタープライズチームにとって、これは大きな前進です。

エージェント型SAST脆弱性解決（ベータ）

SAST脆弱性のトリアージと修正は、アプリケーションセキュリティにおいて最も時間のかかる作業のひとつであることが多いです。GitLab 18.9では、GitLab Duoが次のことを実行できるようになりました。

• 脆弱性を分析する
• 周辺コードの文脈を推論する
• コンテキストを考慮した修正を生成する
• マージリクエストを自動作成する
• レビュアーの信頼度を示す品質スコアを提供する

単一の提案を出すのではなく、GitLab Duoはコードベース全体を推論し、十分に検討された修正提案を生成します。

GitLab 18.9のその他の改善点

新しい折りたたみ可能なファイルツリーによりリポジトリをナビゲートでき、ページ読み込み回数を減らしながら、より効率的にプロジェクト構造を閲覧できます。 GitLab.comではWebベースのコミット署名が利用可能になり、Web上のコミットがGitLabの署名キーで自動的に署名されます。

そして、本リリースに530件以上の貢献をしてくださったGitLabコミュニティの皆さまに心より感謝します。GitLabでは誰もが貢献できることを18.9は証明しています。

先日開催されたGitLab Transcendのバーチャルイベントでは、AIエージェントが計画、開発、テスト、セキュリティ、デプロイにわたって単一のプラットフォーム上でどのように連携し、エンタープライズのガードレールやガバナンス要件に沿って動作するのかをご紹介しました。

Southwest Airlines社からは、GitLab Duo Agent Platformがどのようにチームのミッションクリティカルなソフトウェアをより迅速に提供しながら、24時間365日の航空運航に必要なレジリエンスを維持しているかについてお話しいただきました。また、SDLC全体でエージェントが協働するライブデモも実施し、特定の工程だけでなく、デリバリーライフサイクル全体をどのようにモダナイズできるかを探りました。

イベントを見逃した方は、こちらからフル録画をご覧いただけます👇

GitLab Transcendを視聴する

技術デモ

📅 3月19日 – 開発現場でのGitLab Duo Agent Platform

本セッションでは、

• Duo Agent Platformを活用して、計画、Issueからのマージリクエスト（MR）作成、エージェント型コードレビューなど、複数ステップのワークフローを自動化する方法
• GitLabの基盤エージェント（PlannerやSecurity Analystなど）を活用してSDLCを効率化する方法
• GitLabの統合データモデルによる、コンテキストに応じたコード生成でコーディングを高速化する方法
• AI駆動のセキュリティワークフローで脆弱性を自動検出・修復する方法
• AIを活用した根本原因分析とガイド付きの修正により、パイプラインエラーを迅速に解決する方法

をご紹介します。

👉 こちらからご登録ください。

開発現場でのGitLab Duo Agent Platform

今月のおすすめ

今月は、インテリジェント・オーケストレーションの背景にあるより広い視点について、さらに深く掘り下げています。

CEOのBill Staplesは、AI時代におけるソフトウェアデリバリーについて語っています。

また、Chief Product and Marketing OfficerのManav Khuranaは、AIが単なる高速なコード生成を超え、品質、セキュリティ、そしてライフサイクル全体の最適化へと拡張されることで、真にイノベーションサイクルの加速が実現することを探っています。

さらに、セキュリティリーダーシップの観点からは、ソフトウェアライフサイクル全体におけるAI主導の変化に対応するため、エンタープライズがどのように組織構造モデルを進化させる必要があるのかという議論が続いています。

ポイントソリューションを超え、システム全体の変革を見据えている方にとって、これらの視点は一読の価値があります。

Intelligent Orchestration: Software Delivery for the AI Era, with CEO of GitLab

GitLab CEO on why AI isn’t helping enterprises ship code faster

From faster coding to accelerated innovation cycles: How intelligent orchestration unlocks AI's promise

The one structural shift CISOs must make before AI outpaces their security strategy

最後に、インテリジェント・オーケストレーションの本質を表す言葉をご紹介します。

「全体は部分の総和に勝る。」― アリストテレス

インテリジェント・オーケストレーションは、まさにこの考えを体現しています。

AIが孤立した場面で活用されるだけでは、その効果は限定的です。しかし、統一されたコンテキストとエンタープライズのガードレールのもとで、エージェントがソフトウェアライフサイクル全体にわたり協調すれば、その成果は実際に測定可能なソフトウェア開発速度として現れます。

お読みいただきありがとうございました。ウェブキャストやIssueでお会いできるのを楽しみにしています。そして、これからも対話を続けていきましょう。それでは、いつものようにHappy Merging!

Fatima Sarah Khalid｜Senior Developer Advocate, GitLab

このニュースレターが気に入ったら、ぜひチームに共有してください。 そして👉YouTubeチャンネルの登録もお忘れなく！

GitLab Duo Agent PlatformのMCPサポートにより、JiraをはじめMCPに対応したあらゆるツールを、AIを活用した開発環境に直接接続できるようになりました。課題の照会、チケットの更新、ワークフローの同期——すべて自然言語で、IDEを離れることなく実行できます。

この記事で学べること

このチュートリアルでは、以下の内容を解説します。

• Jira/Atlassian OAuthアプリケーションのセットアップ — セキュアな認証の設定
• GitLab Duo Agent PlatformのMCPクライアントとしての設定 — 接続の構成
• 3つの実践的なユースケース — 実際のワークフローのデモ

前提条件

開始する前に、以下の要件を満たしていることをご確認ください。

アーキテクチャの概要

GitLab Duo Agent PlatformはMCPクライアントとして機能し、Atlassian MCPサーバーに接続してJiraのプロジェクト管理データにアクセスします。Atlassian MCPサーバーは認証を処理し、自然言語のリクエストをAPI呼び出しに変換して、構造化されたデータをGitLab Duo Agent Platformに返します。このプロセス全体を通じて、セキュリティと監査管理が維持されます。

パート1：Jira OAuthアプリケーションの設定

GitLab Duo Agent PlatformをJiraインスタンスに安全に接続するには、Atlassian Developer ConsoleでOAuth 2.0アプリケーションを作成する必要があります。これにより、GitLabのMCPサーバーにJiraデータへの認可されたアクセス権が付与されます。

セットアップ手順

手動で設定する場合は、以下の手順に従ってください。

1. Atlassian Developer Consoleにアクセス
   • developer.atlassian.com/console/myappsにアクセスします。
   • Atlassianアカウントでサインインします。
2. 新しいOAuth 2.0アプリを作成
   • Create → OAuth 2.0 integration をクリックします。
   • アプリ名を入力します（例：「gitlab-dap-mcp」）。
   • 利用規約に同意し、Create をクリックします。
3. 権限の設定
   • 左サイドバーの Permissions に移動します。
   • Jira API を追加し、以下のスコープを設定します。
     • read:jira-work — 課題、プロジェクト、ボードの読み取り
     • write:jira-work — 課題の作成と更新
     • read:jira-user — ユーザー情報の読み取り
4. 認可の設定
   • 左サイドバーの Authorization に移動します。
   • お使いの環境のコールバックURLを追加します（https://gitlab.com/oauth/callback）。
   • 変更を保存します。
5. 認証情報の取得
   • Settings に移動します。
   • Client ID と Client Secret をコピーします。
   • これらの認証情報はMCP設定に必要なため、安全な場所に保管してください。

インタラクティブウォークスルー：Jira OAuthのセットアップ

以下の画像をクリックして開始してください。

パート2：GitLab Duo Agent PlatformのMCPクライアントの設定

OAuth認証情報の準備ができたら、GitLab Duo Agent PlatformをAtlassian MCPサーバーに接続するための設定を行います。

MCP設定ファイルの作成

GitLabプロジェクトの .gitlab/duo/mcp.json にMCP設定ファイルを作成します。

{
  "mcpServers": {
    "atlassian": {
      "type": "http",
      "url": "https://mcp.atlassian.com/v1/mcp",
      "auth": {
        "type": "oauth2",
        "clientId": "YOUR_CLIENT_ID",
        "clientSecret": "YOUR_CLIENT_SECRET",
        "authorizationUrl": "https://auth.atlassian.com/oauth/authorize",
        "tokenUrl": "https://auth.atlassian.com/oauth/token"
      },
      "approvedTools": true
    }
  }
}

YOUR_CLIENT_ID と YOUR_CLIENT_SECRET は、パート1で生成した認証情報に置き換えてください。

GitLabでMCPを有効化

1. グループ設定 → GitLab Duo → Configuration に移動します。
2. 「Allow external MCP tools」にチェックが入っていることを確認します。

接続の確認

VS CodeでプロジェクトをひらいてGitLab Duo Agent Platformのチャットで次のように入力してください。

What MCP tools do you have access to?

次に

Test the MCP JIRA configuration in this project

この時点で、IDEからAtlassian MCPウェブサイトにリダイレクトされ、アクセスの承認を求められます。

MCPダッシュボードによる確認

GitLabは、IDEに組み込みのMCPダッシュボードも提供しています。

VS CodeまたはVSCodiumで、コマンドパレット（macOSでは Cmd+Shift+P、Windows/Linuxでは Ctrl+Shift+P）をひらいて 「GitLab: Show MCP Dashboard」 を検索してください。ダッシュボードは新しいエディタータブで表示され、以下の情報を確認できます。

• 設定済みの各MCPサーバーの接続ステータス
• サーバーが公開している利用可能なツール（例：jira_get_issue、jira_create_issue）
• サーバーログ — リアルタイムで呼び出されているツールを確認可能

インタラクティブウォークスルー：MCPのテスト

パート3：実践的なユースケース

統合の設定が完了したら、JiraをGitLab Duo Agent Platformに接続することで実現できる3つの実践的なワークフローを見ていきましょう。

プランニングアシスタント

シナリオ： スプリントプランニングの準備として、バックログをすばやく評価し、優先事項を把握し、ブロッカーを特定する必要があります。

このデモでは以下の操作を紹介します。

• バックログの照会
• 未割り当ての高優先度課題の特定
• AIによるスプリント推奨の取得

プロンプト例

GitLab Duo Agent Platformのチャットで以下のプロンプトをお試しください。

List all the unassigned issues in JIRA for project GITLAB

Suggest the two top issues to prioritize and summarize them. Assign them to me.

インタラクティブウォークスルー：プロジェクトプランニング

コードからの課題トリアージと作成

シナリオ： コードレビュー中にバグを発見し、IDEを離れることなく、関連するコンテキストとともにJiraの課題を作成したい場合です。

このデモでは以下の手順を紹介します。

• コーディング中のバグの特定
• 自然言語を使ったJira課題の詳細な作成
• コードのコンテキストによる課題フィールドの自動入力
• 現在のブランチへの課題のリンク

プロンプト例

Search in JIRA for a bug related to: Null pointer exception in PaymentService.processRefund().
If it does not exist create it with all the context needed from the code. Find possible blockers that this bug may cause.

Create a new branch called issue-gitlab-18, checkout, and link it to the issue we just created. Assign the JIRA issue to me and mark it as in-progress.

インタラクティブウォークスルー：バグレビューとタスク自動化

クロスシステムのインシデント調査

シナリオ： 本番インシデントが発生し、Jira（インシデントチケット）、GitLabプロジェクト管理、コードベース、マージリクエストからの情報を照合して根本原因を特定する必要があります。

このデモでは以下を実演します。

• Jiraからのインシデント詳細の取得
• GitLabの最近のマージリクエストとの照合
• 関連する可能性のあるコード変更の特定
• インシデントタイムラインの生成
• 修正計画の設計とGitLabのワークアイテムとしての作成

プロンプト例

"We have a production incident INC-1 about checkout failures. Can you help me investigate with all available context?"

Create a timeline of events for incident INC-1 including related Jira issues and recent deployments

Propose a remediation plan

インタラクティブウォークスルー：クロスシステムのトラブルシューティングと修正

トラブルシューティング

よくあるセットアップの問題と解決策を以下にまとめます。

詳細なトラブルシューティングについては、GitLab MCPクライアントのドキュメントをご参照ください。

セキュリティに関する考慮事項

JiraをGitLab Duo Agent Platformと統合する際は、以下の点にご注意ください。

• OAuthトークン — 認証情報を安全に管理してください。
• 最小権限の原則 — Jiraスコープは必要最小限のみ付与してください。
• トークンのローテーション — セキュリティ管理の一環として、OAuth認証情報を定期的にローテーションしてください。

まとめ

MCPを通じてGitLab Duo Agent Platformをさまざまなツールに接続することで、開発ライフサイクルとのインタラクションが大きく変わります。この記事では、以下の方法を学びました。

• 自然言語による課題の照会 — バックログ、スプリント、インシデントについて自然言語で質問できます。
• DevSecOps環境全体での課題の作成と更新 — IDEを離れることなくバグを報告し、チケットを更新できます。
• システム間の情報照合 — JiraのデータをGitLabのプロジェクト管理、マージリクエスト、パイプラインと組み合わせることで、全体的な可視性が得られます。
• コンテキスト切り替えの削減 — プロジェクト管理とのつながりを維持しながら、コードに集中できます。

この統合は、MCPの可能性を体現するものです。AIを通じてツールへの標準化されたセキュアなアクセスを提供し、ガバナンスやセキュリティを損なうことなく、開発者がより効率的に作業できる環境を実現します。

関連リソース

• GitLab Duo Agent PlatformがModel Context Protocolのサポートを追加
• Model Context Protocolとは
• エージェント型AIのガイドとリソース
• GitLab MCPクライアントのドキュメント
• GitLab Duo Agent Platformを始める：完全ガイド

本ガイドでは、GitLab が提供するコンテナスキャンの種類、各機能の有効化方法、および初期設定に役立つ一般的な構成についてご説明します。

コンテナスキャンが重要な理由

コンテナイメージのセキュリティ脆弱性は、アプリケーションライフサイクル全体にわたってリスクをもたらします。ベースイメージ、OSパッケージ、アプリケーションの依存関係はいずれも、攻撃者が積極的に悪用する脆弱性を含んでいる可能性があります。コンテナスキャンはこれらのリスクを早期に、本番環境に到達する前に検出し、利用可能な場合は修正方法を提供します。

コンテナスキャンはソフトウェアコンポジション分析（SCA）の重要なコンポーネントであり、コンテナ化されたアプリケーションが依存する外部依存関係を把握し、保護するために役立ちます。

GitLab コンテナスキャンの5つの種類

GitLab は5つの異なるコンテナスキャンアプローチを提供しており、それぞれがセキュリティ戦略において固有の目的を果たします。

1. パイプラインベースのコンテナスキャン

• 機能：CI/CDパイプラインの実行中にコンテナイメージをスキャンし、デプロイ前に脆弱性を検出します。
• 最適な用途：シフトレフトセキュリティ、脆弱性のあるイメージが本番環境に到達するのを防止
• 利用可能なプラン：Free、Premium、Ultimate（Ultimateではより高度な機能を利用可能）
• ドキュメント

GitLab は Trivy セキュリティスキャナーを使用してコンテナイメージの既知の脆弱性を分析します。パイプラインの実行時にスキャナーがイメージを検査し、詳細なレポートを生成します。

パイプラインベースのコンテナスキャンを有効にする方法

オプション A：事前設定済みのマージリクエスト

• プロジェクトで Secure > セキュリティ設定 に移動します。
• 「コンテナスキャン」の行を見つけます。
• マージリクエストで設定 を選択します。
• 必要な設定を含むマージリクエストが自動的に作成されます。

オプション B：手動設定

• .gitlab-ci.yml に以下を追加します。

include:
  - template: Jobs/Container-Scanning.gitlab-ci.yml

一般的な設定

特定のイメージをスキャンする：

特定のイメージをスキャンするには、container_scanning ジョブの CS_IMAGE 変数を上書きします。

include:
  - template: Jobs/Container-Scanning.gitlab-ci.yml

container_scanning:
  variables:
    CS_IMAGE: myregistry.com/myapp:latest

重大度のしきい値でフィルタリングする：

特定の重大度基準を持つ脆弱性のみを検出するには、container_scanning ジョブの CS_SEVERITY_THRESHOLD 変数を上書きします。以下の例では、重大度が High 以上の脆弱性のみが表示されます。

include:
  - template: Jobs/Container-Scanning.gitlab-ci.yml

container_scanning:
  variables:
    CS_SEVERITY_THRESHOLD: "HIGH"

マージリクエストでの脆弱性の確認

マージリクエスト内でコンテナスキャンの脆弱性を直接確認することで、セキュリティレビューをシームレスかつ効率的に実施できます。CI/CDパイプラインにコンテナスキャンを設定すると、GitLab はマージリクエストのセキュリティウィジェットに検出された脆弱性を自動的に表示します。

• マージリクエストの「セキュリティスキャン」セクションまでスクロールすると、コンテナイメージで新たに検出された脆弱性と既存の脆弱性の概要が確認できます。
• 脆弱性 をクリックすると、重大度レベル、影響を受けるパッケージ、利用可能な修正ガイダンスなど、検出内容の詳細情報にアクセスできます。

この可視性により、開発者とセキュリティチームはコンテナの脆弱性が本番環境に到達する前に発見・対処できるようになり、セキュリティがコードレビュープロセスに統合されます。

脆弱性レポートでの脆弱性の確認

マージリクエストのレビューに加え、GitLab はプロジェクト内のすべてのコンテナスキャン結果を一元的に確認できる脆弱性レポートを提供しており、セキュリティチームに包括的な可視性をもたらします。

• プロジェクトのサイドバーで セキュリティとコンプライアンス > 脆弱性レポート に移動してレポートにアクセスします。
• ここでは、ブランチ全体で検出されたすべてのコンテナ脆弱性が集約されて表示され、重大度、ステータス、スキャナーの種類、特定のコンテナイメージでフィルタリングする強力なオプションが利用できます。
• 脆弱性をクリックすると、脆弱性ページにアクセスできます。

脆弱性の詳細では、影響を受けるコンテナイメージとレイヤーが正確に示されるため、脆弱性の発生源を容易に追跡できます。脆弱性をチームメンバーに割り当て、ステータスを変更（検出済み、確認済み、解決済み、却下済み）し、コラボレーションのためのコメントを追加し、修正作業の追跡のために関連するイシューをリンクすることができます。

このワークフローにより、脆弱性管理がスプレッドシートによる管理から開発プロセスの一部へと変わり、コンテナセキュリティの検出結果が体系的に追跡・優先順位付け・解決されるようになります。

依存関係リストの確認

GitLab の依存関係リストは、コンテナイメージ内のすべてのコンポーネントをカタログ化した包括的なソフトウェア部品表（SBOM）を提供し、ソフトウェアサプライチェーンの完全な透明性をもたらします。

• セキュリティとコンプライアンス > 依存関係リスト に移動すると、プロジェクト全体でコンテナスキャンが検出したすべてのパッケージ、ライブラリ、依存関係のインベントリにアクセスできます。
• このビューは、ベースOSパッケージからアプリケーションレベルの依存関係まで、コンテナ内で実際に稼働しているものを把握するために非常に役立ちます。

パッケージマネージャー、ライセンスの種類、または脆弱性のステータスでリストをフィルタリングすることで、セキュリティリスクやコンプライアンス上の問題をもたらすコンポーネントを素早く特定できます。各依存関係エントリには関連する脆弱性が表示されるため、単独の検出結果としてではなく、実際のソフトウェアコンポーネントのコンテキストでセキュリティの問題を把握できます。

2. レジストリ向けコンテナスキャン

• 機能：latest タグで GitLab コンテナレジストリにプッシュされたイメージを自動的にスキャンします。
• 最適な用途：手動のパイプラインを実行することなく、レジストリイメージの継続的なモニタリングを実施
• 利用可能なプラン：Ultimate のみ
• ドキュメント

latest タグが付いたコンテナイメージをプッシュすると、GitLab のセキュリティポリシーボットがデフォルトブランチに対してスキャンを自動的にトリガーします。パイプラインベースのスキャンとは異なり、このアプローチは継続的脆弱性スキャンと連携して、新たに公開されたアドバイザリーを監視します。

レジストリ向けコンテナスキャンを有効にする方法

1. Secure > セキュリティ設定 に移動します。
2. レジストリ向けコンテナスキャン セクションまでスクロールします。
3. 機能をオンに切り替えます。

前提条件

• プロジェクトのメンテナーロール以上
• プロジェクトが空でないこと（デフォルトブランチに少なくとも1つのコミットが必要）
• コンテナレジストリの通知が設定済みであること
• パッケージメタデータデータベースが設定済みであること（GitLab.com ではデフォルトで有効）

脆弱性は脆弱性レポートの コンテナレジストリの脆弱性 タブに表示されます。

3. マルチコンテナスキャン

• 機能：単一のパイプライン内で複数のコンテナイメージを並行してスキャンします。
• 最適な用途：マイクロサービスアーキテクチャや複数のコンテナイメージを持つプロジェクト
• 利用可能なプラン：Free、Premium、Ultimate（現在ベータ版）
• ドキュメント

マルチコンテナスキャンは動的な子パイプラインを使用してスキャンを並行実行するため、複数のイメージをスキャンする際のパイプライン全体の実行時間を大幅に短縮できます。

マルチコンテナスキャンを有効にする方法

1. リポジトリのルートに .gitlab-multi-image.yml ファイルを作成します。

scanTargets:
  - name: alpine
    tag: "3.19"
  - name: python
    tag: "3.9-slim"
  - name: nginx
    tag: "1.25"

2. .gitlab-ci.yml にテンプレートを追加します。

include:
  - template: Jobs/Multi-Container-Scanning.latest.gitlab-ci.yml

詳細設定

プライベートレジストリからイメージをスキャンする：

auths:
  registry.gitlab.com:
    username: ${CI_REGISTRY_USER}
    password: ${CI_REGISTRY_PASSWORD}

scanTargets:
  - name: registry.gitlab.com/private/image
    tag: latest

ライセンス情報を含める：

includeLicenses: true

scanTargets:
  - name: postgres
    tag: "15-alpine"

4. 継続的脆弱性スキャン

• 機能：パイプラインを実行することなく、新しいセキュリティアドバイザリーが公開された際に自動的に脆弱性を作成します。
• 最適な用途：デプロイ間のプロアクティブなセキュリティモニタリング
• 利用可能なプラン：Ultimate のみ
• ドキュメント

従来のスキャンは、スキャン実行時の脆弱性しか検出できません。しかし、昨日スキャンしたパッケージに対して、明日新しい CVE が公開された場合はどうなるでしょうか。継続的脆弱性スキャンは、GitLab アドバイザリーデータベースを監視し、新しいアドバイザリーがコンポーネントに影響を与える際に自動的に脆弱性レコードを作成することでこの課題を解決します。

仕組み

1. コンテナスキャンまたは依存関係スキャンジョブが CycloneDX SBOM を生成します。
2. GitLab はこの SBOM からプロジェクトのコンポーネントを登録します。
3. 新しいアドバイザリーが公開されると、GitLab はコンポーネントが影響を受けるかどうかを確認します。
4. 脆弱性レポートに脆弱性が自動的に作成されます。

重要な考慮事項

• スキャンは CI パイプラインではなく、バックグラウンドジョブ（Sidekiq）経由で実行されます。
• 新しいコンポーネント検出には、過去14日以内に公開されたアドバイザリーのみが対象となります。
• 脆弱性では「GitLab SBoM Vulnerability Scanner」がスキャナー名として使用されます。
• 脆弱性を解決済みとしてマークするには、引き続きパイプラインベースのスキャンを実行する必要があります。

5. 運用コンテナスキャン

• 機能：スケジュールされた間隔で Kubernetes クラスター内の稼働中のコンテナをスキャンします。
• 最適な用途：デプロイ後のセキュリティモニタリングとランタイム脆弱性の検出
• 利用可能なプラン：Ultimate のみ
• ドキュメント

運用コンテナスキャンは、ビルド時のセキュリティとランタイムセキュリティの間のギャップを埋めます。GitLab Agent for Kubernetes を使用して、クラスター内で実際に稼働しているコンテナをスキャンし、デプロイ後に発生する脆弱性を検出します。

運用コンテナスキャンを有効にする方法

GitLab Kubernetes Agent を使用している場合、エージェント設定ファイルに以下を追加できます。

container_scanning:
  cadence: '0 0 * * *'  # 毎日深夜0時
  vulnerability_report:
    namespaces:
      include:
        - production
        - staging

また、GitLab Kubernetes Agent によるスケジュールスキャンを強制するスキャン実行ポリシーを作成することもできます。

結果の確認

• 運用 > Kubernetes クラスター に移動します。
• エージェント タブを選択し、エージェントを選択します。
• セキュリティ タブを選択してクラスターの脆弱性を確認します。
• 結果は 脆弱性レポート の 運用上の脆弱性 タブにも表示されます。

GitLab セキュリティポリシーによるセキュリティ態勢の強化

GitLab セキュリティポリシーを使用すると、自動化されたポリシー駆動型のコントロールを通じて、コンテナワークフロー全体で一貫したセキュリティ標準を適用できます。これらのポリシーは、要件を開発パイプラインに直接組み込むことでセキュリティをシフトレフトし、コードが本番環境に到達する前に脆弱性を検出・対処できるようにします。

スキャン実行ポリシーとパイプラインポリシー

スキャン実行ポリシーは、プロジェクト全体でコンテナスキャンがいつ・どのように実行されるかを自動化します。すべてのマージリクエストでコンテナスキャンをトリガーし、メインブランチの定期的なスキャンをスケジュールするポリシーなどを定義できます。これらのポリシーにより、各プロジェクトの CI/CD パイプラインで手動でスキャンを設定することなく、包括的なカバレッジが確保されます。

使用するスキャナーのバージョンを指定し、スキャンパラメーターを一元的に設定することで、新しいコンテナセキュリティの脅威に対応しながら組織全体の一貫性を維持できます。

パイプライン実行ポリシーは、コンプライアンス要件に基づいてパイプラインにカスタムジョブを注入（または上書き）するための柔軟なコントロールを提供します。

これらのポリシーを使用して、コンテナスキャンジョブをパイプラインに自動的に注入したり、コンテナの脆弱性がリスク許容度を超えた場合にビルドを失敗させたり、特定のブランチやタグに対して追加のセキュリティチェックをトリガーしたり、本番環境向けコンテナイメージのコンプライアンス要件を適用したりすることができます。パイプライン実行ポリシーは自動化されたガードレールとして機能し、手動操作なしですべてのコンテナデプロイメントにセキュリティ標準が一貫して適用されるようにします。

マージリクエスト承認ポリシー

マージリクエスト承認ポリシーは、コンテナの脆弱性を含むマージリクエストを指定された承認者がレビューし、承認することを要求することでセキュリティゲートを適用します。

重大度の高い脆弱性が検出された場合にマージをブロックするポリシーや、新しいコンテナの検出結果を導入するマージリクエストにセキュリティチームの承認を要求するポリシーを設定できます。これらのポリシーにより、低リスクな変更の開発速度を維持しながら、脆弱性のあるコンテナイメージがパイプラインを通じて進むことを防ぎます。

適切なアプローチの選択

包括的なセキュリティのためには、複数のアプローチを組み合わせることをお勧めします。開発中の問題を検出するためのパイプラインベースのスキャン、継続的なモニタリングのためのレジストリ向けコンテナスキャン、そして本番環境の可視性のための運用スキャンを組み合わせてご活用ください。

今すぐ始める

コンテナセキュリティへの最短ルートは、パイプラインベースのスキャンを有効にすることです。

1. プロジェクトの Secure > セキュリティ設定 に移動します。
2. コンテナスキャンの マージリクエストで設定 をクリックします。
3. 作成されたマージリクエストをマージします。
4. 次のパイプラインに脆弱性スキャンが含まれるようになります。

その後、セキュリティ要件と GitLab のプランに応じて、追加のスキャンの種類を段階的に導入してください。

コンテナセキュリティは一度実施すれば完了するものではなく、継続的なプロセスです。 GitLab の包括的なコンテナスキャン機能を活用することで、ビルドからランタイムまでコンテナライフサイクルのあらゆる段階で脆弱性を検出できます。

GitLab がセキュリティ態勢の強化にどのように役立つかについての詳細は、GitLab セキュリティ & ガバナンス ソリューションページをご覧ください。

それは、コーディングがソフトウェア提供ライフサイクルの20%に過ぎず、残りの80%がボトルネックになっているからです。コードレビューの滞留、セキュリティスキャンの遅れ、ドキュメントの陳腐化、手動の調整作業の増加が、チームの速度を妨げています。

嬉しいことに、個人のコーディングを加速する同じAI機能を使って、チームレベルの遅延も解消できます。コーディングフェーズだけでなく、ソフトウェアライフサイクル全体にAIを適用することが重要です。

以下は、GitLab Duo Agent Platformプロンプトライブラリから厳選した、すぐに使える10のプロンプトです。個人の生産性が向上する一方でチームプロセスの改善が追いついていないときに生じる、よくある障害を乗り越えるために役立ちます。

コードレビューをボトルネックから加速装置へ

AIの支援により開発者はマージリクエストをより速く作成できるようになりましたが、コードレビューのサイクルが数時間から数日に伸びるにつれ、人間のレビュアーはすぐに手に負えなくなります。AIは定型的なレビュー作業を担うことで、レビュアーが基本的な論理エラーやAPI契約違反の発見に時間を取られることなく、アーキテクチャやビジネスロジックに集中できるようにします。

マージリクエストの論理エラーをレビューする

複雑さ: 初級

カテゴリ: コードレビュー

ライブラリのプロンプト:

このMRの論理エラー、エッジケース、潜在的なバグをレビューしてください: [MRのURLまたはコードを貼り付け]

効果: 自動リンターは構文エラーを検出しますが、論理エラーの発見にはコードの意図を理解する必要があります。このプロンプトは、人間のレビュアーがコードを確認する前にバグを検出し、複数回のレビューサイクルを多くの場合1回の承認で完結させます。

マージリクエストの破壊的変更を特定する

複雑さ: 初級

カテゴリ: コードレビュー

ライブラリのプロンプト:

このMRに破壊的変更はありますか？

Changes:
[code diffを貼り付け]

以下を確認してください：
1. APIシグネチャの変更
2. publicメソッドの削除またはリネーム
3. 戻り値の型の変更
4. データベーススキーマの変更
5. 設定の破壊的変更

効果: デプロイ中に破壊的変更が発見されると、ロールバックやインシデントにつながります。このプロンプトにより、その発見をマージリクエストの段階に前倒しできるため、修正がより迅速かつ低コストになります。

セキュリティをシフトレフトしながら速度を落とさないには？

セキュリティスキャンは数百件もの検出結果を生成します。開発者がデプロイの承認を待つ間、セキュリティチームはそれぞれを手動でトリアージしています。検出結果の多くはフォルスポジティブや低リスクの問題ですが、実際の脅威を特定するには専門知識と時間が必要です。AIは実際の悪用可能性に基づいて検出結果を優先順位付けし、一般的な脆弱性を自動修復することで、セキュリティチームが本当に重要な脅威に集中できるようにします。

セキュリティスキャン結果を分析する

複雑さ: 中級

カテゴリ: セキュリティ

エージェント: Duo Security Analyst

ライブラリのプロンプト:

@security_analyst このセキュリティスキャン結果を分析してください:

[スキャン結果を貼り付け]

各検出結果について:
1. 実際のリスクかフォルスポジティブかを評価する
2. 脆弱性を説明する
3. 修復方法を提案する
4. 深刻度で優先順位をつける

効果: セキュリティスキャンの検出結果の多くはフォルスポジティブや低リスクの問題です。このプロンプトはセキュリティチームが本当に重要な検出結果に集中できるようにし、修復にかかる時間を数週間から数日に短縮します。

コードのセキュリティ問題をレビューする

複雑さ: 中級

カテゴリ: セキュリティ

エージェント: Duo Security Analyst

ライブラリのプロンプト:

@security_analyst このコードのセキュリティ問題をレビューしてください：

[コードを貼り付け]

以下を確認してください：
1. インジェクション脆弱性
2. 認証・認可の欠陥
3. データ漏洩リスク
4. 安全でない依存関係
5. 暗号化の問題

効果: 従来のセキュリティレビューはコードが書かれた後に行われます。このプロンプトにより、開発者はマージリクエストを作成する前にセキュリティ問題を発見・修正でき、デプロイを遅らせる往復のやり取りを解消します。

コードの変更に合わせてドキュメントを最新に保つには？

コードはドキュメントよりも速く変化します。ドキュメントが古かったり不足していたりするため、新しい開発者のオンボーディングには数週間かかります。ドキュメントの重要性はチーム全員が理解していますが、締め切りが近づくと常に後回しになります。標準ワークフローの一部としてドキュメントの生成と更新を自動化することで、手動作業を増やすことなくドキュメントを最新の状態に保てます。

マージリクエストからリリースノートを生成する

複雑さ: 初級

カテゴリ: ドキュメント

ライブラリのプロンプト:

マージ済みのこれらのMRのリリースノートを生成してください：
[MRのURL一覧またはタイトルを貼り付け]

以下のカテゴリでグループ化してください:
1. 新機能
2. バグ修正
3. パフォーマンス改善
4. 破壊的変更
5. 非推奨事項

効果: リリースノートを手動でまとめるには数時間かかり、誤りや漏れが生じることもあります。自動生成により、リリースプロセスに負担をかけることなく、すべてのリリースに包括的なノートが揃います。

コード変更後にドキュメントを更新する

複雑さ: 初級

カテゴリ: ドキュメント

ライブラリのプロンプト:

このコードを変更しました:

[コード変更内容を貼り付け]

どのドキュメントを更新する必要がありますか？以下を確認してください:
1. READMEファイル
2. APIドキュメント
3. アーキテクチャ図
4. オンボーディングガイド

効果: ドキュメントの乖離は、コード変更後にどのドキュメントを更新すべきかをチームが忘れることで起きます。このプロンプトにより、ドキュメントのメンテナンスが後回しにされる別タスクではなく、開発ワークフローの一部になります。

計画の複雑さを分解するには？

大規模な機能は計画段階で行き詰まりがちです。チームは作業範囲の定義と依存関係の特定のために何週間も会議を重ねます。複雑さに圧倒され、どこから始めればよいかわからなくなります。AIは複雑な作業を具体的で実装可能なタスクに体系的に分解し、明確な依存関係と受け入れ基準を設定することで、何週間もの計画を集中した実装へと変えます。

エピックをイシューに分解する

複雑さ: 中級

カテゴリ: ドキュメント

エージェント: Duo Planner

ライブラリのプロンプト:

このエピックを実装可能なイシューに分解してください：

[エピックの説明]

以下を考慮してください：
1. 技術的な依存関係
2. 適切なイシューのサイズ
3. 明確な受け入れ基準
4. 論理的な実装順序

効果: このプロンプトにより、1週間分の計画会議が30分のAI支援による分解とチームレビューに変わります。チームはより明確な方向性を持って、より早く実装を開始できます。

工数を増やさずにテストカバレッジを拡大するには？

開発者はコードをより速く書けるようになりましたが、テストが追いつかないとカバレッジが低下してバグが見逃されます。包括的なテストを手動で書くには時間がかかり、締め切りのプレッシャーの下でエッジケースを見落とすことも多くあります。テストを自動生成することで、開発者はゼロから書く代わりにレビューと改善に集中でき、速度を犠牲にすることなく品質を維持できます。

ユニットテストを生成する

複雑さ: 初級

カテゴリ: テスト

ライブラリのプロンプト:

この関数のユニットテストを生成してください：

[関数を貼り付け]

以下のテストを含めてください：
1. 正常系
2. エッジケース
3. エラー条件
4. 境界値
5. 不正な入力

効果: テストを手動で書くには時間がかかり、エッジケースが見落とされることもあります。このプロンプトは数秒で網羅的なテストスイートを生成し、開発者はゼロから書く代わりにレビューと調整に集中できます。

テストカバレッジのギャップをレビューする

複雑さ: 初級

カテゴリ: テスト

ライブラリのプロンプト:

[モジュール/コンポーネント]のテストカバレッジを分析してください：

現在のカバレッジ：[パーセンテージ]

以下を特定してください：
1. テストされていない関数・メソッド
2. カバーされていないエッジケース
3. 不足しているエラーシナリオのテスト
4. テストのない統合ポイント
5. 次にテストすべき優先領域

効果: このプロンプトは、本番インシデントを引き起こす前にテストスイートのブラインドスポットを明らかにします。チームはより重要な箇所から体系的にカバレッジを改善できます。

デバッグ時の平均解決時間を短縮するには？

本番インシデントの診断には数時間かかります。顧客がダウンタイムを経験する中、開発者はログやスタックトレースを調べ続けます。デバッグの1分1分が、生産性と潜在的な収益の損失につながります。AIは複雑なエラーメッセージを解析して具体的な修正案を提示することで根本原因分析を加速し、診断時間を数時間から数分に短縮します。

失敗したパイプラインをデバッグする

複雑さ: 初級

カテゴリ: デバッグ

ライブラリのプロンプト:

このパイプラインが失敗しています：

ジョブ：[ジョブ名]
ステージ：[ステージ]
エラー：[エラーメッセージ/ログを貼り付け]

以下を助けてください:
1. 根本原因を特定する
2. 修正方法を提案する
3. なぜ失敗し始めたかを説明する
4. 同様の問題を防ぐ

効果: CI/CDの失敗はチーム全体をブロックします。このプロンプトは、開発者が通常15〜30分かけて調査する問題を数秒で診断し、デプロイの速度を維持します。

個人の成果からチームの加速へ

これらのプロンプトは、チームがソフトウェア提供にAIを活用する方法の転換を示しています。個人の開発者生産性だけに注目するのではなく、チームの速度を実際に制約している調整・品質・ナレッジ共有の課題に対処します。

完全なプロンプトライブラリには、計画、開発、セキュリティ、テスト、デプロイ、運用といったソフトウェアライフサイクルの全ステージにわたる100以上のプロンプトが収録されています。各プロンプトは複雑さのレベル（初級・中級・上級）でタグ付けされ、ユースケース別に分類されているため、チームに合ったスタート地点を簡単に見つけられます。

まずはチームの最も緊急な課題に対応する「初級」タグのプロンプトから始めましょう。チームが自信をつけるにつれ、より高度なワークフローを実現する中級・上級のプロンプトへと探求の幅を広げてください。目標は単に速いコーディングではなく、計画から本番まで、より速く、より安全で、より高品質なソフトウェア提供の実現です。

セキュリティがコードのスキャンのみを意味するなら、答えはイエスかもしれません。しかし、エンタープライズセキュリティは検出だけを目的としたものではありません。

組織が問うているのは、AIが脆弱性を発見できるかどうかではありません。はるかに難しい3つの問いがあります。

• リリースしようとしているものは安全か
• 環境が変化し、依存関係、サードパーティサービス、ツール、インフラが絶えず移り変わる中で、リスク体制は変化していないか
• AIやサードパーティのソースによって構成される割合が増え、依然として説明責任を負うコードベースをどのようにガバナンスするか

これらの問いにはプラットフォームとしての答えが必要です。検出はリスクを可視化しますが、何をすべきかを決めるのはガバナンスです。

GitLabは、ソフトウェアライフサイクルをエンドツーエンドでガバナンスするために構築されたオーケストレーションレイヤーです。AIを活用した開発スピードに対応するために必要な、ポリシー適用、可視性、監査証跡をチームに提供します。

AIを信頼するにはリスクのガバナンスが必要

AIシステムは脆弱性の特定と修正提案の能力を急速に向上させています。これは重要かつ歓迎すべき進歩ですが、分析は説明責任とは異なります。

AIは単独で会社のポリシーを適用したり、許容リスクを定義したりすることはできません。エージェントが運用される境界、ポリシー、ガードレールを設定するのは人間です。職務の分離を確立し、監査証跡を確保し、何千ものリポジトリとチームにわたって一貫したコントロールを維持するのも人間の役割です。エージェントへの信頼は自律性だけから生まれるのではなく、人間が設定した明確に定義されたガバナンスから生まれます。

ソフトウェアがエージェント型AIシステムによってますます記述・変更されるエージェント型AIの世界では、ガバナンスの重要性は低下するどころか、むしろ高まります。組織がAIに与える自律性が高まれば高まるほど、ガバナンスはより強固でなければなりません。

ガバナンスは摩擦ではありません。AIを活用した開発を大規模に信頼できるものにするための基盤です。

LLMはコードを見るが、プラットフォームはコンテキストを見る

大規模言語モデル（LLM）はコードを単体で評価します。一方、エンタープライズのアプリケーションセキュリティプラットフォームはコンテキストを理解します。リスクの判断はコンテキストに依存するため、この違いは重要です。

• 変更を加えたのは誰か
• そのアプリケーションはビジネスにとってどれほど重要か
• インフラや依存関係とどのように連携しているか
• その脆弱性は本番環境で実際に到達可能なコードに存在するのか、それとも一度も実行されない依存関係に埋もれているのか
• アプリケーションの実行方法、API、その周辺環境を踏まえると、本番環境で実際に悪用可能か

セキュリティの判断はこのコンテキストに基づきます。コンテキストがなければ、検出はノイズの多いアラートを生み出し、リスクを低減するどころか開発を遅延させます。コンテキストがあれば、組織はトリアージを迅速に行い、リスクを効果的に管理できます。ソフトウェアが変化し続ける中でコンテキストも絶えず変化するため、ガバナンスは一度きりの判断では済みません。

静的スキャンは動的リスクに追いつかない

ソフトウェアのリスクは動的です。依存関係は変わり、環境は変化し、システムはいかなる単一の分析でも完全には予測できない方法で相互作用します。ある時点でのクリーンなスキャンが、リリース時の安全性を保証するわけではありません。

エンタープライズセキュリティが依拠するのは継続的な保証です。ソフトウェアのビルド、テスト、デプロイの過程でリスクを評価する、開発ワークフローに直接組み込まれたコントロールが必要です。

検出は洞察を提供します。ガバナンスは信頼を提供します。そして、組織が大規模に安全にリリースできるようにするのが、継続的なガバナンスです。

エージェント型AIの未来をガバナンスする

AIはソフトウェアの作り方を根本から変えつつあります。もはや問いはチームがAIを活用するかどうかではなく、いかに安全にスケールさせるかです。

今日のソフトウェアは記述されるのと同じくらい組み立てられています。AIが生成したコード、オープンソースライブラリ、何千ものプロジェクトにまたがるサードパーティの依存関係から構成されているのです。それらすべてのソースにわたってリリースするものをガバナンスすることは、アプリケーションセキュリティの中で最も困難かつ重大な部分であり、いかなる開発者向けツールも対処するように設計されていない部分です。

インテリジェントなオーケストレーションプラットフォームとして、GitLabはこの問題に対処するために構築されています。GitLab Ultimateは、ソフトウェアの計画、ビルド、リリースが行われるワークフローに、ガバナンス、ポリシー適用、セキュリティスキャン、監査証跡を直接組み込んでいます。これにより、セキュリティチームはAIのスピードに合わせてガバナンスを実現できます。

AIは開発を劇的に加速させるでしょう。AIから最大の恩恵を受ける組織は、最も優秀なアシスタントを持つ組織ではなく、強固なガバナンスを通じて信頼を構築した組織です。

GitLabが組織によるAIが生成したコードのガバナンスと安全なリリースをどのように支援しているかについては、今すぐチームにお問い合わせください

関連記事

• DevOpsとAIを統合してセキュリティを強化する
• セキュリティリーダーのためのGitLab AIセキュリティフレームワーク
• コンポジットIDでGitLabのAIセキュリティを強化する

多くの組織は、最新のDevSecOpsプラットフォームが必要であることを認識しています。しかし、ビジネスが求めるスピードでソフトウェアを提供しながら、プラットフォームのデプロイ、管理、継続的な最適化を行うリソースが不足しているケースが少なくありません。これはMSPにとって大きなビジネスチャンスであり、GitLabはそれを支援する専用プログラムを用意しました。

このたび、GitLab MSPパートナープログラムを発表いたします。これは、認定を受けたMSPがGitLabをフルマネージドサービスとして顧客に提供できるようにする新しいグローバルプログラムです。

パートナーと顧客にとっての意義

GitLabとして初めて、MSP向けに正式に定義されたグローバルプログラムが誕生しました。明確な要件、体系的なイネーブルメント、専任のサポート、そして実質的な経済的メリットが用意されており、パートナーは安心してGitLabマネージドサービスプラクティスの構築に投資できます。

タイミングも最適です。多くの組織がDevSecOpsへの取り組みを加速させていますが、ソフトウェアの構築とリリースという本来の業務に加えて、複雑な移行、ツールチェーンの拡散、増大するセキュリティ要件への対応に追われているのが現状です。

GitLab MSPパートナーは、デプロイ、移行、管理、継続的なサポートなど、プラットフォーム運用を担当することで、開発チームが本来の業務に集中できる環境を提供します。

MSPパートナーが得られるメリット

経済的メリット：MSPパートナーは、すべての取引、新規ビジネス、更新において、GitLabパートナーマージンに加えてMSPプレミアムを獲得できます。さらに、デプロイ、移行、トレーニング、イネーブルメント、戦略コンサルティングに対して顧客に請求するサービス料の100%を保持できるため、単一のプラットフォームを中心に複数の継続的な収益源を構築できます。

イネーブルメントと教育：バージョンアップデート、新機能、ベストプラクティス、ロードマップの最新情報、ピアシェアリングを網羅した四半期ごとのテクニカルブートキャンプにアクセスできます。推奨されるクラウド認定資格（AWS Solutions Architect Associate、GCP Associate Cloud Engineer）が技術基盤を補完します。

Go-to-Marketサポート：MSPには、GitLab認定MSPパートナーバッジ、共同ブランド資産、顧客事例の共同作成への参加資格、Partner Locatorへの掲載、および認定されたデマンドジェネレーション活動向けのMarketing Development Funds（MDF）へのアクセスが提供されます。

顧客が期待できること

GitLab MSPパートナーと連携する顧客は、体系的なマネージドDevSecOpsエクスペリエンス、文書化された再現可能な実装方法論、定期的なビジネスレビュー、そして明確に定義された応答およびエスカレーションパスを備えたサポートを受けられます。

その結果、開発チームは優れたソフトウェアの構築に集中でき、MSPパートナーがプラットフォームの運用と最適化に注力するという理想的な体制が実現します。

AIを活用した新たなビジネスチャンス

ソフトウェア開発ワークフローにAIを安全に導入したいと考える組織が増えており、経験豊富なチームであっても、大規模な展開には体系的なアプローチが有効です。GitLab MSPパートナーは、より広範なマネージドサービスの一環として、GitLab Duo Agent Platformの導入を顧客に提案できる最適なポジションにあります。

GitLabのDevSecOpsプラットフォームとMSPが提供する運用の専門知識を組み合わせることで、顧客はガバナンスが確保された環境でAI支援ワークフローを試験的に導入し、データレジデンシーとコンプライアンス要件を満たしながら、社内リソースに過度な負担をかけることなくチーム全体でAI導入を拡大できます。

このプログラムはお客さまのビジネスに適していますか

GitLab MSPパートナープログラムは、以下に該当する場合に最適です。

• クラウド、インフラストラクチャ、またはアプリケーション運用のマネージドサービスを既に提供している
• 高付加価値のDevSecOpsをポートフォリオに追加したい
• 最新の開発プラットフォームに関心のある技術人材を擁している、または育成したい
• 単発の取引よりも長期的な顧客関係を重視している

既にGitLab SelectおよびProfessional Servicesパートナーである場合、MSPプログラムは既存の専門知識を再現可能なマネージドサービスに転換するための体系的な方法を提供します。

開始方法

本プログラムは、認定MSPパートナーの指定から開始されます。参加にあたり、最低ARRや顧客数の要件はありません。以下がプログラム参加までの流れです。

1. 適合性の確認 - ハンドブックページに記載されたビジネスおよび技術要件を満たしているか確認します。
2. GitLabパートナーポータルから申請 - ビジネスおよび技術に関するドキュメントを添えて申請を提出します。
3. 90日間のオンボーディングを完了 - 契約、技術イネーブルメント、セールストレーニング、最初の顧客エンゲージメントを網羅した体系的なオンボーディングプログラムです。
4. マネージドサービスの提供を開始 - サービスをパッケージ化し、SLAを設定して、顧客へのエンゲージメントを開始します。

提出された申請は、約3営業日以内に審査されます。

GitLabマネージドサービスプラクティスの構築にご興味がありますか？新規パートナーの方はGitLabパートナーへの申請からお申し込みいただけます。既存パートナーの方は、GitLab担当者にお問い合わせいただき、プログラムの詳細やMSPプラクティスを通じて現在顧客に提供しているソリューションについてお知らせください。

アカウントにパスキーを登録するには、プロフィール設定にアクセスし、アカウント > 認証管理を選択してください。

パスキーはWebAuthn技術と、秘密鍵と公開鍵で構成される公開鍵暗号化を使用しています。秘密鍵はデバイス上に安全に保存され、決して外部に送信されることはありません。一方、公開鍵はGitLabに保存されます。仮にGitLabが侵害されたとしても、攻撃者は保存された認証情報を使用してアカウントにアクセスすることはできません。パスキーは、デスクトップブラウザ（Chrome、Firefox、Safari、Edge）、モバイルデバイス（iOS 16以降、Android 9以降）、FIDO2ハードウェアセキュリティキーで動作し、複数のデバイスにパスキーを登録して便利にアクセスできます。

GitLabはCISA Secure by Design Pledgeに署名し、セキュリティ対策状況の改善とお客様がより迅速に安全なソフトウェアを開発できるよう支援することをコミットしています。この誓約の主要な目標の一つは、製造業者の製品全体で多要素認証（MFA）の使用を拡大することです。パスキーはこの目標の重要な要素であり、GitLabへのサインインをより安全で便利にするシームレスでフィッシング耐性のあるMFA方法を提供します。

ご質問がある場合、体験を共有したい場合、または潜在的な改善についてチームと直接やり取りしたい場合は、フィードバックイシューをご覧ください。

現在ベータ版として提供中の2つの新しいGitLab機能は、異なる角度からこの課題に取り組みつつ、同じ目標を共有しています。それは、サードパーティツールを追加することなく、CI/CDインフラストラクチャを直接制御できるようにすることです。1つはパイプラインの監視画面でジョブレベルのパフォーマンスデータを表示する機能、もう1つはビルトインキャッシュを活用して複数のレジストリからコンテナイメージをプルする作業を簡素化する機能です。

どちらの機能も現在フィードバックを受け付けています。皆さまのご意見が、今後のリリース内容を形作る重要な要素となります。

CI/CDジョブパフォーマンスメトリクス

• 対象プラン： GitLab Premium、GitLab Ultimate
• ステータス： GitLab.comでは限定公開ベータ版として提供中。GitLab Self-ManagedおよびGitLab Dedicatedでは、ClickHouseの設定後に利用可能

現状では、特定のジョブの実行時間が増加し始めたタイミングや、パイプラインの実行時間を密かに低下させているジョブを簡単に確認する方法がありません。多くのチームは、以下のような基本的な疑問に答えるために、カスタムダッシュボードを構築するか、ログを手動で調査しています。

• 最も遅いジョブはどれか
• 失敗率が上昇しているのはどこか
• 本当のボトルネックはどのステージか

CI/CDジョブパフォーマンスメトリクスは、プロジェクトレベルのCI/CD分析ページにジョブに特化した新しいパネルを追加することで、この課題を解決します。

パイプライン内の各ジョブについて、以下の情報を確認できます。

• 標準的な実行時間（P50、中央値）と最悪ケースの実行時間（P95）により、通常の実行と最も遅い実行を素早く比較可能
• 失敗率の表示により、不安定なジョブやフレーキーなジョブを特定可能
• ジョブ名とステージ（デフォルトで過去30日間のデータを表示）

テーブルはソート、ジョブ名での検索、ページネーションに対応しており、プラットフォームチームは、従来は別々のツールやカスタムレポートが必要だった疑問に対して、単一のビューで回答を得られます。

今すぐお試しください

• プロジェクトに移動し、分析 > CI/CD分析を選択してください。
• CI/CDジョブパフォーマンスメトリクスパネルを探し、実行時間や失敗率でソートして、最も遅いジョブや信頼性の低いジョブを見つけてください。

ドキュメント

• CI/CD分析 – CI/CDジョブパフォーマンスメトリクス

今後の予定

ステージレベルのグルーピング機能の開発を進めており、ビルド、テスト、デプロイの各ステージにわたる集計メトリクスを表示し、最適化に注力すべきポイントを素早く把握できるようになります。

フィードバックをお寄せください：

• CI/CDジョブパフォーマンスメトリクスのエピック

コンテナバーチャルレジストリ

対象プラン： GitLab Premium、GitLab Ultimate ステータス： ベータ版、18.9でAPI対応

CI/CDパイプラインにコンテナイメージをプルする多くの組織は、Docker Hub、Harbor、Quay、社内レジストリなど、複数のレジストリに依存しています。これらすべてにわたる認証、可用性、キャッシュの管理は、パイプラインの速度低下や脆弱性の原因となる運用上のオーバーヘッドです。

コンテナバーチャルレジストリを使用すると、ビルトインキャッシュを備えた単一のGitLabエンドポイントを作成し、複数のアップストリームコンテナソースからプルできるようになります。

パイプライン設定で各レジストリの認証情報や可用性を個別に構成する代わりに、以下のことが可能です。

• パイプラインを1つのGitLabバーチャルレジストリエンドポイントに向ける
• 複数のアップストリームレジストリ（Docker Hub、Harbor、Quay、および長期トークン認証を使用するその他のレジストリ）を設定する
• GitLabがイメージプルを自動的に解決し、プルスルーキャッシュにより帯域幅コストの削減と信頼性の向上を実現

GitLabをコンテナレジストリの代替として評価しているチームにとって、これは重要な機能ギャップを埋めるものです。すでにマルチレジストリのコンテナワークフローを管理しているチームにとっては、イメージ管理をGitLabに集約し、重複するプルを削減できます。

現在のベータ版でサポートされている機能

• 長期トークン認証を使用するアップストリームレジストリ：Docker Hub、Harbor、Quay、およびその他の互換性のあるレジストリ
• プルスルーキャッシュにより、よく使用されるイメージは初回プル後にGitLabから提供
• APIファーストの設定（UI管理は開発中）

IAM認証を必要とするクラウドプロバイダーのレジストリ（Amazon Elastic Container Registry、Google Artifact Registry、Azure Container Registryなど）は、今後のイテレーションでの対応を検討中です。

今すぐお試しください

• コンテナバーチャルレジストリは18.9でAPI対応済みです。
• SaaS（GitLab.com）：CSMにご連絡いただくか、以下のフィードバックイシューにコメントして、グループの機能フラグを有効にするようリクエストしてください。
• Self-Managed：機能フラグを有効にし、APIを使用してバーチャルレジストリを設定してください。

ドキュメント

• コンテナバーチャルレジストリAPI
• バーチャルレジストリからコンテナイメージをプルする

コンテナバーチャルレジストリベータ版のウォークスルーをご覧ください：

フィードバックをお寄せください：

• コンテナバーチャルレジストリのフィードバックイシュー

重要な機能の開発にご協力ください

GitLabコミュニティの全員がコントリビューターです。これらのベータ版は、コミュニティからのリクエストに基づいて開発されました。

• CI/CDジョブパフォーマンスメトリクスは、ビルド時間が悪化し始めたタイミングや、パイプラインの信頼性を損なっているジョブを簡単に確認する方法がなかったチームからの要望に基づいています。
• コンテナバーチャルレジストリは、複数のレジストリを管理し、ツールの乱立や帯域幅コストを削減しながら、GitLabを中央レジストリとして評価しているエンタープライズのお客様からの要望に基づいています。

皆さまのフィードバックが、次に開発する機能を形作ります。これらのベータ版の一方または両方をお試しいただき、リンク先のフィードバックイシューでご体験を共有してください。

これは、今年を通じてハイライトしていく予定のCore DevOpsベータ版シリーズの第1弾です。今後もさらに多くの機能が登場する予定ですので、皆さまのご協力により、できる限り有用なものにしていきたいと考えています。

現在メタデータの署名に使用されているキーのフィンガープリントはF640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3Fで、2026年2月27日に期限切れとなる予定でしたが、2028年2月6日まで延長されました。

なぜ有効期限を延長するのですか

リポジトリメタデータ署名キーの有効期限は、GitLabのセキュリティポリシーに準拠し、キーが侵害された場合の影響を制限するために定期的に延長されています。新しいキーへのローテーションではなく有効期限の延長を行うのは、ユーザーへの影響を最小限に抑えるためです。ローテーションを行った場合、すべてのユーザーが信頼済みキーを置き換える必要があります。

何をすればいいですか

2026年2月17日より前にお使いのマシンでGitLabリポジトリを既に設定している場合は、新しいキーの取得と追加方法に関する公式ドキュメントをご確認ください。

新規ユーザーの方は、GitLabインストールページまたはgitlab-runnerインストールドキュメントに従っていただく以外に、特別な対応は必要ありません。

リポジトリメタデータ署名の検証に関する詳細情報は、Omnibusドキュメントでご確認いただけます。公開キーのコピーを更新する必要がある場合は、support@gitlab.comで検索するか、キーID F640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3Fを使用して、任意のGPGキーサーバーで見つけることができます。

または、次のURLを使用してpackages.gitlab.comから直接ダウンロードすることも可能です：https://packages.gitlab.com/gpg.key

さらにサポートが必要な方は

omnibus-gitlabイシュートラッカーでイシューを作成してください。

将来に対応した企業の支援

お客様は、数年ごとに大規模な再エンジニアリングを強いることなく、長期間使用できるよう構築されたDevSecOpsプラットフォームを求めています。GitLabの統合データモデルは、ソフトウェアライフサイクル全体を単一のコンテキストソースに接続し、企業がパイプライン、制御、メトリクスを大規模に標準化できるようにします。GitLabのAI主導機能における継続的なイノベーションは、企業がエージェント型ワークフローを採用して価値実現までの時間を短縮する中で、その長期的な関連性を強化します。

GitLabとTCS社は、マルチエージェントオーケストレーション、動的プランニング、信頼度スコア付き意思決定、継続的学習サイクルを同期させて、コーディング、レビュー、テスト、セキュリティ、CI/CDワークフローを自動化します。

GitLab Duo Agent Platformは、コンテキスト認識型の自律的アクション、マルチステップ推論、コードモダナイゼーション、セキュリティスキャン、フロー自動化を通じて、ソフトウェアライフサイクル全体でインテリジェントオーケストレーションを提供し、ソフトウェア開発を合理化・加速します。これは、IT運用のためのTCS社の構造化されたエージェント階層と自然に整合し、動的推論、プランニング、ドメインエージェントがMCP主導の統合と豊富なプロジェクトコンテキストフローを通じてGitLab Duo Platformの専門エージェント（プランナー、セキュリティアナリスト、コードレビューなど）を呼び出すことを可能にし、GitLabのAIネイティブDevSecOps制御によって管理されます。

プラットフォームエンジニアリングによるDevSecOpsのスケール

プラットフォームエンジニアリングは、個々のパイプラインとツールチェーンの管理から、組織全体でソフトウェアの構築、保護、テスト、デプロイ方法を標準化する内部開発者プラットフォーム（IDP）の構築へと焦点を移します。

企業は、プラットフォームエンジニアリングを通じて開発者エクスペリエンスを製品化し、セルフサービスのゴールデンパスでIDPを運用することでスケールします。セキュリティ、コンプライアンス、ガバナンスは、policy-as-codeを通じてデフォルトで組み込まれ、Day 2運用を標準化します。GitLabはIDPコントロールプレーンとなり、TCS社はコントロールプレーン上のラッパーとしてセルフサービスの設計と展開を産業化し、強力な開発者エクスペリエンスを提供します。ソリューションアーキテクトとして、TCS社はセルフサービスパスを構築し、GitLab Duo Agent PlatformはSDLC全体で開発を自動化するエージェント型AIを追加します。

DevSecOpsからインテリジェントオーケストレーションへ

統合DevSecOpsプラットフォームは企業に基盤を提供しますが、AIエージェントがソフトウェアライフサイクルの積極的な参加者になるにつれて、プラットフォームはコードとパイプラインの管理以上のことを行う必要があります。人間とAIエージェントの作業を、完全なライフサイクルコンテキストとフローに組み込まれたガードレールとともにオーケストレーションする必要があります。これが、GitLab Duo Agent Platformが可能にするDevSecOpsからインテリジェントオーケストレーションへの移行であり、時間の経過とともにソフトウェアデリバリーの品質を向上させます。

GitLab Duo Agent Platform

GitLab Duo Agent Platformは、開発者と協力者として連携するAIエージェントをソフトウェア開発ライフサイクルに導入します。複数のAIエージェントが、コード生成やテストからCI/CD修正まで、タスクを並行して処理し、ボトルネックを削減してリリースを高速化します。開発者は定義されたルールを使用してこれらのエージェントを操縦・誘導し、反復的な作業をオフロードしながら制御を維持します。このエージェントオーケストレーションは、複雑なワークフロー（壊れたパイプラインの自動修正など）に取り組み、チームがより価値の高い作業に集中できるようにします。

AIエージェントはGitLabの統合データモデル内で動作し、マージリクエストを作成し、コードを改善し、コンプライアンスをサポートすることで、生産性と速度を向上させます。すべてのエージェントアクションには完全なプロジェクトコンテキストがあり、監査可能で、ポリシーに準拠しているため、企業は数千人のエンジニアにわたってAIを自信を持ってスケールし、すべての自動化されたワークフローでセキュリティと規制コンプライアンスを維持できます。これにより、アプリケーションエンジニア、DevSecOpsエンジニア、スクラムマスター、プロダクトマネージャーの負担が軽減されます。

リファレンスアーキテクチャの理解

GitLab + TCS：強力な組み合わせ

GitLabは、ソフトウェアチームとAIエージェントが開発ライフサイクル全体で連携するDevSecOpsのインテリジェントオーケストレーションプラットフォームを提供します。TCS社は、産業化された導入エンジン、実証済みのリファレンスアーキテクチャ、大規模移行ファクトリー、エンタープライズグレードのセキュリティベースライン、エンタープライズAI機能、AI Trust & Riskマネジメントツールとフレームワーク、プラットフォーム運用のプロダクトマインドセットを提供します。

この組み合わせを真に差別化するのは、業界、地域、規制環境を超えて数十年にわたってお客様と協力してきたTCS社の文脈的知識です。この経験により、TCS社はレガシー資産、コンプライアンス要件、運用モデル、スケールの課題などの企業制約に対処するためにGitLab機能を文脈化することができます。これは、ツールを単独で実装するのではなく、企業の制約を考慮したアプローチです。GitLabとTCS社は共に、組み込まれたコンプライアンスを備えたクラウド全体での迅速で確実なエンタープライズスケールデリバリーを可能にします。

GitLab + TCSの詳細については、ecosystem@gitlab.comまでお問い合わせください。

セルフホスト型AIモデルを搭載したGitLab 18.9をリリース

このたび、GitLab 18.9のリリースをお知らせします。今回のリリースでは、クラウドライセンス向けにGitLab Duo Agent Platformのセルフホストモデルが一般提供を開始しました。そのほか、GitLab Duo Agent Platformによる脆弱性の修正、折りたたみ可能なファイルツリーによるリポジトリナビゲーション、ファイルからのCI/CDインプットのインクルードなど、多数の機能が追加されています。

GitLab Duoを初めてお使いの方へ：GitLab Duo Agent Platformが利用できるUltimateの無料トライアルが、GitLab.comおよびGitLab Self-Managedの両方でご利用いただけるようになりました。

今回ご紹介した機能は、GitLab 18.9における25件以上の改善点のほんの一部です。以下で、すべての新機能と改善点をご確認ください。

GitLabコミュニティの皆さま、GitLab 18.9に530件以上のコントリビュートをお寄せいただき、誠にありがとうございます。「誰もがコントリビュートできる」—これがGitLabの理念です。皆さまのご貢献があってこそのリリースです。

GitLab 18.9には、GitLabコミュニティのユーザーから530件ものコントリビュートがありました。ありがとうございました！GitLabは誰もがコントリビュートできるプラットフォームであり、今回のリリースはユーザーのみなさまの協力なしには実現しませんでした。

来月のリリースで予定されている内容を先取りするには、What’s newページをご覧ください。

今月の注目コントリビューターは、Pooja Ghanghasさんです。

Poojaさんは、GitLabにおけるレガシーのドロップダウンコンポーネントをモダンなアーキテクチャへ移行する取り組みに継続的に貢献されています。この移行作業は、旧来と新しいコンポーネントシステムの双方を深く理解した上で、細部にまで注意を払う必要があります。差分ファイルヘッダー、コードブロックのバブルメニュー、オンコールスケジュールのローテーション担当者コンポーネント、新しいリソースドロップダウンなど、複数の移行にわたって一貫して高品質な成果物を届けてくれました。

Peter Hegma（GitLab Tenant Scale::Organizationsのスタッフフロントエンドエンジニア）は、Poojaさんをこの表彰に推薦し、「これらの移行はかなり難しい作業です。それを数多くこなしてくれました。コントリビュートに心から感謝します」と述べています。

移行作業に加え、Poojaさんはマイルストーンやイテレーションへのステータス追加という機能開発にも取り組み、マージに向けて多大な努力を重ねました。Marc Saleiko（GitLab Plan:Project Managementのスタッフフルスタックエンジニア）は「これは価値あるコントリビュートであり、この機能の提供をすばらしい形でやり遂げてくれました」と評価しています。Poojaさん自身も「仕上がりを誇りに思っており、大きな学びになりました」と振り返っています。

さらに、コードベース全体にわたる多数のバグ修正やメンテナンス改善にも貢献しています。これらの取り組みはGitLabのユーザーインターフェースの保守性と一貫性を高め、コントリビューターとチームメンバーの双方が機能を構築・維持しやすい環境づくりに直結しています。GitLabフロントエンドアーキテクチャを着実に前進させてくれているPoojaさんに、心より感謝申し上げます。

Poojaさんのコントリビュートの詳細については、GitLabプロフィールをご覧ください。

GitLab 18.9の主要な改善点

GitLab Duo Agent Platformのセルフホストモデル、クラウドライセンス向けに一般提供開始

Self-Managed: Premium、Ultimate

GitLab Duo Agent Platformが、クラウドライセンスをお持ちのGitLab Self-Managedのお客様向けに一般提供開始（GA）となりました。課金は使用量ベースです。

管理者は、GitLab Duo Agent Platformで使用する互換モデルを設定できます。AWS BedrockまたはAzure OpenAIをご利用の場合は、Anthropic ClaudeまたはOpenAI GPTモデルの設定も可能です。

まだUltimateをご利用でない方は、Duo Agent Platformが利用できる無料トライアルをお試しください。

ドキュメント
エピック

GitLab Duo Agent Platformによる脆弱性の修正（ベータ版）

GitLab.com: Ultimate
Self-Managed: Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

アプリケーションセキュリティにおいて、SASTの脆弱性のトリアージと修正は特に時間を要する作業の一つです。脆弱性を特定した後、開発者は検出内容を理解し、影響箇所を特定して適切な修正を実装しなければなりません。いずれのステップにも、時間と専門知識が必要です。

GitLab 18.9では、エージェント型のSAST脆弱性修正機能を導入します。修正をトリガーすると、GitLab Duoは自律的に検出内容を分析し、周辺のコードコンテキストを推論して、コンテキストに即した修正を生成します。マージリクエストの作成まで、手動の介入は不要です。

主な機能：

• エージェント型マルチステップ修正：単一のコード提案ではなく、GitLab Duo Agent Platformが脆弱性を推論してコードベースを評価し、根拠のある修正を生成します。
• マージリクエストの自動作成：重大度が「Critical」および「High」のSAST脆弱性に対して、提案されたコード修正を含むレビュー可能なマージリクエストを自動生成します。
• 品質スコアリング：生成された修正には品質評価が付与され、レビュアーが提案の信頼度を素早く判断できます。

本機能は、脆弱性レポートおよび個別の脆弱性詳細ページから利用できます。詳細ページから直接修正をトリガーすることも可能です。

Ultimateのお客様向けに無料ベータ版として提供しています。イシュー585626よりフィードバックをお寄せください。

ドキュメント
エピック

折りたたみ可能なファイルツリーによるリポジトリのナビゲーション

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

折りたたみ可能なファイルツリーで、リポジトリのファイルを効率よく閲覧できるようになりました。プロジェクト構造を俯瞰しながら、ディレクトリをインラインで展開・折りたたんだり、リポジトリ内の離れた場所にあるファイルへ素早く移動したりすることができます。作業中のコンテキストを保ちながらナビゲーションできる点も特長です。

ファイルツリーは、リポジトリのファイルやディレクトリを表示する際にサイドバーとして表示されます。幅は自由に調整可能で、キーボードショートカットで表示・非表示を切り替えたり、名前や拡張子でファイルを絞り込んだりすることもできます。ファイルツリーは常に現在の場所と同期しており、メインエリアでファイルを選択すると、そのファイルが表示されるようにツリーが更新されます。

既存のリポジトリ構造やファイル構成に変更はありません。ファイル間の移動に必要なページ読み込み回数が減るため、小規模プロジェクトから数千のファイルを持つ大規模コードベースまで快適に利用できます。

ドキュメント
エピック

ファイルからのCI/CDインプットのインクルード

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

これまで、パイプラインのCI/CDインプットはパイプラインのspecセクション内に直接定義する必要がありました。この制約により、インプット設定を複数のプロジェクトで再利用することが難しい状況でした。

今回のリリースから、使い慣れたincludeキーワードを使って外部ファイルからインプット定義を読み込めるようになりました。インプットの定義を一箇所にまとめて管理できるため、多数のプロジェクトやパイプラインをまたいだ運用が格段に楽になります。インプット設定の一元管理はもちろん、外部ソースからインプット値を動的に制御することも可能です。

ドキュメント
イシュー

GitLab.comにおけるWebベースのコミット署名

GitLab.com: Free、Premium、Ultimate

コードの整合性を保ち、コンプライアンス要件を満たすためには、コミットへの暗号化署名が欠かせません。これまでWebベースのコミット署名はGitLab Self-Managedでのみ利用可能でしたが、今回GitLab.comでもサポートされるようになりました。

グループまたはプロジェクトで有効にすると、GitLabのWebインターフェース経由で作成されたコミットにGitLabの署名キーが自動的に付与され、検証済みバッジが表示されます。リポジトリの真正性を暗号学的に証明できます。

主な詳細：

• グループまたはプロジェクトの設定から、要件に合わせて有効化できます。
• 有効にすると、Web IDEでの編集、マージ、API操作などすべてのWebベースのコミットが自動的に署名されます。
• GitLab.comのセキュリティ機能がGitLab Self-Managedと同等になり、組織全体への包括的なコミット署名ポリシー適用の基盤が整います。

ドキュメント
エピック

コンテナ仮想レジストリが利用可能に（ベータ版）

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate

モダンなコンテナ開発では、Docker Hub、Harbor、Quayといった複数のレジストリやプライベートレジストリからイメージを取得する必要があります。コンテナ仮想レジストリがない場合、プラットフォームエンジニアはプロジェクトとCI/CDパイプラインごとに個別の認証設定を行わなければならず、設定の複雑化やプル速度の低下、セキュリティポリシーの不統一といった課題が生じます。

コンテナ仮想レジストリは、複数の上流レジストリを単一のエンドポイントに集約することで、これらの課題を解消します。Docker Hub、Harbor、Quayなどを1つのURLで管理でき、長期間有効なトークン認証も一元的に設定できます。インテリジェントなキャッシングによりプルのパフォーマンスが向上し、GitLabの認証システムとの統合によってアクセス制御と監査ログも一元化されます。

コンテナ仮想レジストリAPIは現在、GitLab PremiumおよびUltimateのお客様向けにベータ版として提供されています。ベータ版では、GitLab APIを使ったコンテナ仮想レジストリの作成、共有可能な設定での複数上流ソースの追加、仮想レジストリ経由でのコンテナイメージの取得が可能です。なお、IAM認証が必要なレジストリは現時点では未対応です。クラウドプロバイダーのIAM認証対応については、こちらのエピックで進捗を追跡しています。

GitLab.comでは、この機能はフィーチャーフラグで管理されています。アクセスのリクエストやフィードバックは、フィードバックイシューへのコメントでお寄せください。

ドキュメント
エピック

GitLab 18.9のその他の改善点

Rapid Diffsによるコミット変更のパフォーマンス改善

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

変更ファイルが多かったり変更量が大きかったりするコミットのレビューは、これまで時間がかかることがありました。Rapid Diffs技術がコミットページ（/-/commits/<SHA>）にも適用され、ページの読み込み速度の向上、スムーズなスクロール、よりレスポンシブな操作感を実現しています。

Rapid Diffsでは、以下の点が改善されています。

• ページネーションが不要になり、連続してレビューできます。
• 初期読み込みが高速化され、すぐにコードの確認を始められます。
• 新しいファイルブラウザを搭載したインターフェースで、ファイル間のナビゲーションが快適になりました。
• 変更ファイルが多い場合でも、レスポンシブな操作感を維持します。

既存の機能はすべて引き続き利用できます。Rapid DiffsがGitLabのほかのエリアにも順次展開されるにつれ、同様のパフォーマンス向上がもたらされる予定です。

ドキュメント
エピック

インポートAPIでのBitbucket Cloud APIトークンのサポート

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

GitLabのインポートAPIがBitbucket Cloud APIトークンに対応しました。Bitbucket Cloudからのリポジトリインポートを、より安全な方法で行えるようになります。

AtlassianはアプリパスワードをAPIトークンに移行する方針を打ち出しており、GitLabでも19.0にてアプリパスワードのサポートを終了する予定です。

なお、GitLab UIからBitbucket Cloudへのインポートは、この変更の影響を受けません。

ドキュメント
イシュー

CI/CDカタログのコンポーネント分析

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

これまで、CI/CDカタログのコンポーネントプロジェクトが組織内でどのように利用されているかを把握する手段がありませんでした。利用数や導入状況をハイレベルで確認できるようになり、どのコンポーネントプロジェクトが最も価値をもたらしているかを把握し、カタログへの投資を最適化するための判断材料として活用できます。

ドキュメント
イシュー

マージリクエストで子パイプラインのセキュリティレポートを表示

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

マージリクエストのウィジェットから、子パイプラインのセキュリティ・コンプライアンスレポートを直接確認できるようになりました。これまでは複数のパイプラインを手動で確認する必要があり、モノレポや複雑なテスト構成では非効率でした。

今回の改善により、マージリクエストウィジェットに子パイプラインのレポートが親パイプラインの結果と並んで表示されます。各子パイプラインのレポートは個別に表示され、アーティファクトのダウンロードも可能です。すべてのセキュリティチェックを一元的に確認できるため、問題の調査にかかる時間が大幅に短縮され、親子パイプラインを使った開発でのマージリクエストレビューをスムーズに進められます。

ドキュメント
エピック

SBOMを使用した依存関係スキャンで Python requirements.txt マニフェストファイルに対応

GitLab.com: Ultimate
Self-Managed: Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

SBOMを使用したGitLabの依存関係スキャンが、Pythonのrequirements.txtマニフェストファイルのスキャンに対応しました。これまでPythonプロジェクトの依存関係スキャンにはロックファイルが必要でしたが、ロックファイルが存在しない場合、アナライザーが自動的にrequirements.txtファイルへのフォールバックを行い、直接依存関係のみを抽出して脆弱性分析の対象とするようになりました。ロックファイルなしでも依存関係スキャンを有効化しやすくなります。

マニフェストへのフォールバックを有効にするには、CI/CD変数DS_ENABLE_MANIFEST_FALLBACKを"true"に設定してください。

ドキュメント
イシュー

セキュリティ属性

GitLab.com: Ultimate
Self-Managed: Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

GitLab 18.6でベータ版として導入されたセキュリティ属性が、一般提供開始（GA）となりました。

セキュリティ属性を使うと、セキュリティチームはプロジェクトにビジネスコンテキストを付与できます。対象となる属性は、ビジネスへの影響度、アプリケーション、ビジネスユニット、インターネット公開状況、所在地などです。また、組織独自の分類体系に合わせたカスタム属性カテゴリの作成も可能です。これらの属性を活用することで、リスクポジションや組織コンテキストに基づいてセキュリティインベントリ内の項目をフィルタリング・優先順位付けできます。

ドキュメント
エピック

GitLab Duo Agent PlatformがUltimateトライアルで利用可能に

GitLab.com: Ultimate
Self-Managed: Ultimate

GitLabを評価中のチームが、複雑な開発ワークフローの自動化や手動タスクの削減を実現するエージェント型AI機能を試せるようになりました。GitLab Ultimateのトライアルに申し込むと、ユーザーあたり24評価クレジット付きでDuo Agent Platformにアクセスでき、30日間の評価期間中に自律的なタスク実行やマルチステップのワークフローオーケストレーションを実際に体験できます。評価クレジットはプロビジョニング日から30日間有効です。開始前にチームの準備状況をご確認ください。

こちらから無料トライアルを開始できます。現在の有料カスタマーは、担当アカウントチームを通じて評価クレジットを取得できます。詳細はセールスチームにお問い合わせください。

ドキュメント
エピック

グループとそのコンテンツのアーカイブ

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

完了したイニシアチブや放棄されたプロジェクトの管理が楽になりました。サブグループとプロジェクトを含むグループ全体を、ひとつの操作でアーカイブできるようになりました。プロジェクトを一つひとつ手動でアーカイブする必要はなくなります。

グループをアーカイブすると、以下の動作が行われます。

• 配下のサブグループとプロジェクトがすべて自動的にアーカイブされます。
• アーカイブされたコンテンツは「非アクティブ」タブに移動し、ステータスバッジで明示されます。
• グループのデータは参照または復元のために読み取り専用で引き続きアクセス可能です。
• アーカイブされたグループとそのコンテンツ全体で書き込み権限が無効になります。

設定ページからだけでなく、一覧ビューのアクションメニューからも直接グループやプロジェクトをアーカイブできます。複数の画面を移動する手間はありません。アクティブな作業と非アクティブな作業を明確に分離しながら管理オーバーヘッドを大幅に削減する、多くのユーザーから要望されていた機能です。エピック18616でフィードバックをお寄せください。

ドキュメント
エピック

JetBrains IDEでSelf-ManagedおよびDedicatedへのOAuth認証に対応

Self-Managed: Premium、Ultimate、Duo Core、Duo Pro、Duo Enterprise
GitLab Dedicated: Ultimate、Duo Core、Duo Pro、Duo Enterprise
GitLab Dedicated for Government: Ultimate、Duo Core、Duo Pro、Duo Enterprise

JetBrains IDE向けGitLab DuoプラグインがGitLab Self-ManagedおよびGitLab DedicatedへのOAuth認証に対応しました。すべてのJetBrainsユーザーが、より速く安全なサインイン体験を利用できるようになります。個人アクセストークンは不要です。

ドキュメント
イシュー
マージリクエスト

HelmチャートデプロイメントでZero Downtime Upgradesに対応

Self-Managed: Free、Premium、Ultimate

GitLab HelmチャートデプロイメントでのZero Downtime Upgradesが正式にサポートされました。

エンタープライズのお客様にとって、DevSecOpsプラットフォームの常時稼働は欠かせない要件であり、アップグレード時のダウンタイムは重大な運用上の懸念事項です。これまでZero Downtime UpgradesはLinuxパッケージベースの高可用性デプロイメントのみ対応しており、クラウドネイティブなKubernetesデプロイメントの方がインフラ戦略に適している場合でも、多くのお客様がVM型アーキテクチャを選択せざるを得ない状況でした。

GitLabでは、自社のCloud Native HybridのSaaSインスタンスに対して、ダウンタイムなしでのアップグレードを長年実施してきました。今回のリリースで、Kubernetes上でGitLabを運用するSelf-Managedのお客様にも同様の運用体験を提供できるようになります。

アップグレード手順は包括的なテストを経て、完全にドキュメント化されています。バージョンアップグレード中も稼働を維持できるという安心感とともにお使いいただけます。

ドキュメント
エピック

エンタープライズユーザーの個人スニペット作成を制限

GitLab.com: Premium、Ultimate

GitLab.comを利用する組織が、エンタープライズユーザーによる個人スニペットへの機密コードの誤った公開を防げるようになりました。これまで、ユーザーが個人ネームスペースにスニペットを作成することを制限する手段がなく、スニペットが意図せずパブリックに設定されるとセキュリティリスクになる可能性がありました。

グループオーナーがエンタープライズユーザーの個人スニペット作成を制限できるようになり、コードの共有先に対するより厳密な管理が可能になります。制限が有効な場合、エンタープライズユーザーは個人ネームスペースにスニペットを作成できません。

ドキュメント
エピック

CIジョブログへのタイムスタンプ追加

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

CIジョブログの各行にタイムスタンプが表示されるようになりました。パフォーマンスのボトルネックの特定や、長時間実行されているジョブのデバッグに役立ちます。タイムスタンプはUTC形式で表示されます。パフォーマンス問題のトラブルシューティング、ボトルネックの特定、特定のビルドステップの所要時間計測などにご活用ください。GitLab Self-ManagedではGitLab Runner 18.7以降が必要です。

ドキュメント
イシュー

プロジェクトのCI/CDジョブメトリクスを表示（限定提供）

GitLab.com: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate

GitLab CI/CD analyticsでCI/CDパイプラインとCI/CDジョブのパフォーマンストレンドが統合されました。非効率または問題のあるCI/CDジョブを開発者が素早く特定できるようになります。これらの機能はGitLab UIに直接組み込まれており、開発チームの速度と全体的な生産性に大きく影響するCI/CDのパフォーマンス問題を、文脈を保ちながら特定・修正できます。プラットフォーム管理者にとっては、このビューのCI/CDジョブデータにより、エンタープライズ規模のGitLab運用時に外部またはカスタムのCI/CD監視ソリューションへの依存を減らすことができます。

ドキュメント
エピック

SBOMを使用した依存関係スキャンでJava pom.xml マニフェストファイルに対応

GitLab.com: Ultimate
Self-Managed: Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

SBOMを使用したGitLabの依存関係スキャンが、JavaのMavenプロジェクト向けにpom.xmlマニフェストファイルのスキャンに対応しました。これまでMavenを使用するJavaプロジェクトの依存関係スキャンにはグラフファイルが必要でしたが、グラフファイルが存在しない場合、アナライザーが自動的にpom.xmlファイルへのフォールバックを行い、直接依存関係のみを抽出して脆弱性分析の対象とするようになりました。グラフファイルなしでも依存関係スキャンを有効化しやすくなります。

マニフェストへのフォールバックを有効にするには、CI/CD変数DS_ENABLE_MANIFEST_FALLBACKを"true"に設定してください。

ドキュメント
イシュー

セキュリティガバナンスと設定の一元化

GitLab.com: Ultimate
Self-Managed: Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

組織全体のセキュリティスキャナーのカバレッジを管理・可視化できるようになりました。今回のリリースでは、シークレット検出プロファイルを皮切りに、セキュリティ設定プロファイルが導入されます。セキュリティチームが組織全体を大規模にセキュアにするための、より強力なコマンドセンターが提供されます。

プロファイルベースのセキュリティ設定

各プロジェクトのYAMLファイルを手動で編集する代わりに、事前設定済みのセキュリティ設定プロファイルを活用できます。主なメリットは以下のとおりです。

• 標準化されたガバナンス：事前設定済みのプロファイルが、業務を妨げることなく適切な境界を設けます。カスタムロール設定を必要とせず、セキュリティのベストプラクティスを標準化して適用できます。
• スケーラブルな管理：ひとつの操作で、数百から数千のプロジェクトに同じプロファイルを適用できます。

シークレット検出プロファイルは、最初に提供されるセキュリティ設定プロファイルです。以下のメリットがあります。

• リポジトリへのシークレットのコミットを積極的に検知し、ブロックします。
• 開発ワークフロー全体にわたるシークレット検出を、1つのプロファイルで管理できます。トリガータイプごとに個別の設定を管理する必要はありません。

強化されたセキュリティインベントリ

セキュリティインベントリが、各グループのセキュリティポスチャを評価するための主要なダッシュボードとして強化されました。

• グループとプロジェクトの階層表示：明確なアイコンでサブグループとプロジェクトを区別して表示できます。
• 一括アクション：新しい一括アクションメニューにより、選択したすべてのプロジェクトとサブグループに対してセキュリティスキャナープロファイルの適用や無効化を一括で行えます。
• カバレッジステータスの可視化：色分けされたステータスバー（有効、無効、失敗）とツールチップで、カバレッジのギャップをすぐに把握できます。
• プロファイルステータスのインジケーター：プロファイルの詳細で利用可能なトリガータイプを確認できます。

ドキュメント
エピック

セキュリティダッシュボード：「時間経過による脆弱性の推移」チャートの改善

GitLab.com: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Dedicated: Ultimate
GitLab Dedicated for Government: Ultimate

「時間経過による脆弱性の推移」チャートが更新され、脆弱性インベントリのより正確な状況を把握できるようになりました。

以前のチャートには検出されなくなった脆弱性も含まれており、アクティブな脆弱性の実態を正確に反映していない数値が表示されることがありました。

一部のケースで件数にわずかな変動が生じる可能性がある2件の追加問題も把握しています。最新情報はイシュー590022および590018をご確認ください。

ドキュメント
エピック

Minimal Accessユーザーの課金対象外化

Self-Managed: Premium

以前は、GitLab Self-Managed PremiumでIDプロバイダーを使ってユーザーのプロビジョニングを自動化している組織で、問題が発生する可能性がありました。ライセンスのシート上限を超えてユーザーを追加しようとすると、管理者はアクティブなアクセスを必要としないユーザーのために追加シートを購入するか、手動で対処してエラーを防ぐかを選択しなければなりませんでした。

GitLab Self-Managed PremiumサブスクリプションでMinimal Accessロールのユーザーが課金対象のシートとしてカウントされなくなりました。GitLab.com Premium、GitLab.com Ultimate、GitLab Self-Managed UltimateにおけるMinimal Accessの扱いに統一されます。この変更により制限アクセス機能が有効になります。この機能は、IDプロバイダーの同期時にシート上限を超えるユーザーに自動的にMinimal Accessロールを割り当てます。予期しない追加課金や手動対応なしに、同期がスムーズに継続されるようになります。

ドキュメント
イシュー

プライマリサイトのGeoデータ管理ビュー

Self-Managed: Premium、Ultimate
GitLab Dedicated: Ultimate

新しいデータ管理ビューにより、詳細な検証ステータス情報がプライマリGeoサイトで確認できるようになりました。プライマリサイトから直接、データの整合性のトラブルシューティングと検証が可能になり、基本的な検証やトラブルシューティング作業のためにセカンダリサイトにアクセスする必要がなくなります。

以前は、この検証ステータスはセカンダリサイトのUIからのみ確認できました。プライマリサイトのデータ管理ビューでは、以下のことができます。

• プライマリサイトから、すべてのレプリカブルデータタイプの詳細な検証ステータスを確認できます。
• プライマリUIから直接、データのサニタイズとトラブルシューティング作業を実行できます。
• セカンダリサイトを追加する前に、プライマリサイトでGeoの設定を確認・検証できます。

この機能強化は、UIによるセルフサービス型トラブルシューティングの実現に向けた第一歩です。定期的なメンテナンスや問題解決のために複数サイトにアクセスする必要が減っていきます。

ドキュメント
エピック

RedisのオプションとしてValkey（ベータ版）

Self-Managed: Free、Premium、Ultimate

GitLab 18.9から、LinuxパッケージにRedisのオプション置き換えとしてValkeyがバンドルされます。RedisはAGPLv3にライセンスを変更しましたが、オープンソース利用者には適していません。GitLab Self-Managedのお客様のセキュリティと保守性を確保するため、GitLabはBSDライセンスを維持するコミュニティ主導のフォーク版であるValkeyへの移行を進めています。

移行スケジュール：

• GitLab 18.9（今回のリリース）：ValkeyはオプトインのRedis代替として（ベータ版）バンドルされます。お客様の都合の良いタイミングでRedisからValkeyに切り替えられます。Valkey Sentinelのサポートも含まれます。
• GitLab 19.0（2026年5月）：Valkeyがデフォルトになり、LinuxパッケージからRedisのバイナリが削除されます。既存のRedis設定は引き続き機能し、後方互換性のために適用されます。

この移行は、Linuxパッケージにバンドルされているモデルにのみ影響します。外部Redisデプロイメントを使用しているスケールアーキテクチャのお客様は、引き続きRedisをご利用いただけます。RedisとValkeyの機能差異については今後も注視し、エコシステムの進化に合わせてガイダンスを提供していきます。

ドキュメント
エピック

バグ修正、パフォーマンス改善、UIの改善

GitLabでは、ユーザーの皆さまに最高の体験をお届けするため、すべてのリリースでバグの修正、パフォーマンスの改善、UIの向上に取り組んでいます。GitLab.comの100万人を超えるユーザーも、その他のプラットフォームをご利用のユーザーも、快適にお使いいただけるよう努めています。

18.9でお届けしたバグ修正、パフォーマンス改善、UI改善の詳細は、以下のリンクからご確認ください。

• バグ修正
• パフォーマンス改善
• UIの改善

非推奨

新規の非推奨事項と現在非推奨となっているすべての機能の一覧は、GitLabのドキュメントをご覧ください。今後の破壊的な変更の通知を受け取るには、破壊的な変更のRSSフィードにサブスクライブしてください。

削除された機能と破壊的な変更

削除されたすべての機能の一覧は、GitLabドキュメントをご覧ください。今後の破壊的な変更の通知を受け取るには、破壊的な変更のRSSフィードにサブスクライブしてください。

• Ubuntu 20.04向けLinuxパッケージ

GitLab 18.9へのアップグレードに関する重要事項

GitLabはRuby 3.3を使用するようにアップグレードされました。このアップグレードには、ヒープフラグメンテーションの削減やメジャーガベージコレクションの所要時間短縮など、RubyのGCに関する改善が含まれています。

ソースからコンパイルしてインストールしている場合、GitLab 18.9以降へのアップグレード時に管理者はRuby 3.3.x以降を用意しておく必要があります。Ruby 3.2は2026年3月31日にサポートが終了し、以降は公式のアップデートとサポートが提供されなくなるため、この変更が必要です。

変更履歴

変更内容をすべて表示するには、次のページから変更履歴を確認してください。

• GitLab
• GitLab Runner
• GitLab Workflow for VS Code
• GitLab CLI

インストール

GitLabを新規にインストールする場合は、GitLabのダウンロードページをご覧ください。

更新事項

更新ページをご覧ください。

ご不明な点がある場合

ご質問やご意見をお聞かせください。本リリースについてご不明な点がある場合は、GitLabフォーラムにアクセスして質問を投稿してください。

GitLabサブスクリプションプラン

• Free ユーザー向けの永久無料機能を提供
• Premium チームの生産性と調整を強化
• Ultimate 組織全体のセキュリティ、コンプライアンス、プランニングに対応 GitLabのすべての機能を無料でお試しいただけます。

--------------------

監修：ソリス ジェレズ / Jerez Solis @jerezs （GitLab合同会社 ソリューションアーキテクト本部 ソリューションアーキテクト）

過去の日本語リリース情報

• GitLab 18.8
• GitLab 18.7
• GitLab 18.6
• GitLab 18.5
• GitLab 18.4
• GitLab 18.3
• GitLab 18.2
• GitLab 18.1
• GitLab 18.0
• GitLab 17.11
• GitLab 17.10
• GitLab 17.9
• GitLab 17.8
• GitLab 17.7
• GitLab 17.6
• GitLab 17.5
• GitLab 17.4
• GitLab 17.3
• GitLab 17.2
• GitLab 17.1
• GitLab 16.11

GitLab 18.9では、こうしたエンタープライズのお客様が直面する重要な戦略的ギャップを埋める2つの機能を提供します。GitLab Duo Agent Platformを、最も厳格な規制環境でも本番運用できる、ガバナンス対応のAIコントロールプレーンへと進化させる機能です。

オンライン クラウドライセンス向けGitLab Duo Agent Platformセルフホスト版

GitLab Duo Agent Platformを活用すると、エンジニアリングチームはAI駆動のフローを構築し、サービスのリファクタリングやCI/CDパイプラインの強化、脆弱性のトリアージといった一連のタスクを自動化できます。しかしこれまで、セルフホストモデルを使った本番環境での利用は、主にオフラインまたはアドオンライセンスを前提とした構成に限られており、厳格な規制下で事業を行うオンライン クラウド ライセンスのお客様には対応していませんでした。

このたび一般提供を開始したオンライン クラウドライセンス向けセルフホスト版は、GitLabクレジットを基盤とした従量課金モデルを採用。エンタープライズが内部チャージバックや信頼性確保に求める、透明性の高い予測可能なメタリングを実現します。

• データレジデンシーと制御：オンライン クラウドライセンスのまま、自社インフラまたは承認済みクラウド環境上のモデルを使って本番稼働が可能です。モデルの実行場所や推論トラフィックのルーティングを、承認済み環境の範囲内で管理できます。
• コストの透明性とチャージバック：GitLabクレジットとリクエスト単位のメタリングにより、詳細なコスト把握が可能になります。正確な内部チャージバックや規制対応のレポーティングに不可欠な仕組みです。
• 導入加速：金融サービス、政府機関、重要インフラなど、外部AIベンダーへのデータ送信が認められないセクターにおける、エージェント型AI導入の大きな障壁を取り除きます。 GitLab 18.9から、Duo Agent Platformがオンライン クラウドライセンスの正式対応機能となります。

Bring Your Own Model（BYOM）/自分のモデルを持ち込む

オーケストレーションレイヤーのセルフホスト化は、あくまでも出発点です。規制対応を求められるお客様の多くは、すでに自社モデルに相当な投資をしています。ドメイン特化型のLLM、データ主権のためのリージョン内またはエアギャップ環境へのデプロイ、自社のリスク方針に基づいて開発されたクローズドソースの社内モデルなど、その形は様々です。

Bring Your Own Model（BYOM）は、GitLab Duo Agent Platformの柔軟性をさらに拡げる機能です。管理者はGitLab AIゲートウェイを通じて、自社で開発、調達、承認したモデルをそのままGitLab Duo Agent Platformに接続して活用できます。外部ベンダーのモデルに依存することなく、モデルの選択と管理権限は完全にお客様の手に委ねられます。

• 統合とガバナンス：BYOMモデル（お客様が持ち込んだモデル）は、GitLabのAIコントロールプレーン上でGitLab管理モデルと同等のエンタープライズ対応オプションとして扱われます。自社承認済みのモデルを、GitLab環境にシームレスに組み込むことができます。
• 詳細なマッピング：AIゲートウェイへの登録後、各モデルを特定のDuo Agent Platformフローや機能に紐づけることができます。どのエージェントやフローがどのモデルを使うか、きめ細かな制御が可能です。 なお、モデルの検証、パフォーマンス評価、リスク管理の責任は管理者が担います。互換性、性能、リスク評価は、導入するモデルを選んだ側の責任となります。

これら2つの機能を組み合わせることで、エンタープライズのエンジニアリングリーダーはエージェント型AIを包括的に制御できるようになります。乱立するポイントソリューションや、管理不在のいわば野放しのAIツールを置き換え、エージェント型AIを一元管理する単一のガバナンス対応コントロールプレーンが手に入ります。自社で開発、調達、承認したモデルをそのまま持ち込みながら、強固なガバナンスも確保できる、すでに信頼しているDevSecOpsプラットフォームの中でそれを実現できる、これが規制対応組織の求めていた答えです。

GitLab Duo Agent Platformにご興味のある方は、お問い合わせいただくか、今すぐ無料トライアルにお申し込みください。

本ブログには、1933年証券法第27A条（改正版）および1934年証券取引所法第21E条に定める「将来の見通しに関する記述」が含まれています。これらの記述に反映されている期待は合理的と考えていますが、実際の結果や成果が大きく異なる可能性のある既知/未知のリスク、不確実性、前提条件、その他の要因が存在します。これらのリスクおよびその他の要因の詳細は、SECへの提出書類における「リスク要因」の項目をご参照ください。法律で義務付けられている場合を除き、本ブログ投稿の公開日以降にこれらの記述を更新または修正する義務を負いません。

重要なのはお客様の信頼

高速なペースで進む昨今のソフトウェアデリバリーでは、チームが一日中、コードのプッシュ、マージリクエストの作成、課題の継続的な追跡に明け暮れています。分散したさまざまなチームで実行されるpush、pull、cloneのGitオペレーションの回数は、1時間あたり何千回にも上ります。このため、これらのコア機能がいずれかでも利用できなくなれば、ソフトウェアデリバリーのワークフロー全体が停止してしまいます。

99.9%可用性のサービスレベルアグリーメント（SLA）は、加速する開発ペースがインフラの壁に阻まれることがないよう保証します。サービスクレジットはGitLabのアカウンタビリティの証であり、プラットフォームの信頼性はGitLabの成功につながります。つまり、お客様にとってのメリットはGitLabにとってもメリットとなります。GitLabは、可用性の目標達成にとどまらず、お客様のビジネス成果に対しても責任を担っています。

GitLabのSLAコミットメントは、DevSecOpsワークフローに不可欠なコアプラットフォームサービスをカバーしています。

ローンチ時点で対象となるエクスペリエンスは以下のとおりです。

* イシューおよびマージリクエスト
* Gitオペレーション（HTTPSおよびSSH経由のpush、pull、clone）
* コンテナレジストリのオペレーション
* パッケージレジストリのオペレーション
* APIリクエスト（上記に限定）

対象となるエクスペリエンスおよび対象外のエクスペリエンスの最新情報は、GitLabハンドブックでご確認いただけます。

サービスの可用性は、複数のジオロケーションにおける自動モニタリングを使用して計測され、お客様が実際に経験するサービス可用性を正確に反映します。可用性が99.9%を下回った場合、お客様は不足による影響の深刻度に応じたクレジットを申請できます。

ダウンタイム分（Downtime Minute）について

特定の1分間において、対象エクスペリエンスに対するお客様の有効なリクエストの5%以上に、サーバーエラーにつながる可用性の低下が発生した場合、これをダウンタイム分と呼びます。サーバーエラーは、GitLabの内部および外部モニタリングシステムがHTTP 5xxステータスコード、または30秒を超える接続タイムアウトと判断したエラーと定義されています。

SLAはサーバー側の障害を計測しますが、5xxエラーをトリガーしない問題もあります。たとえば、機能を使用不能にするアプリケーションバグ、Sidekiqジョブ処理の停止、リクエストが完全に失敗していないにもかかわらずパフォーマンスを低下させるインフラの問題などが該当します。

サービスクレジットを申請する手順は以下のとおりです。

1. 影響を受けた月の末日から30日以内に、support.gitlab.comまでサポートリクエストを送信し、ダウンタイムクレジットを申請してください。
2. GitLabチームが申請内容を確認し、ダウンタイムを検証したうえで、該当する場合はクレジット付与の手続きを行います。
3. サービスクレジットは、次回発行される請求書に反映されます。

月間アップタイム可用性の計算方法、適用されるサービスクレジット、およびクレジット申請手順の詳細については、ハンドブックをご覧ください。

当社のモニタリングはサービス障害の大部分を把握できるよう設計されていますが、報告された可用性とお客様の実際の体験に齟齬がある場合は、サービスクレジットの申請をお勧めします。GitLabは、自動モニタリングに反映されない可能性のある問題の調査を含め、申請内容を総合的に審査します。

安心の信頼性

サービスクレジット付与つきの99.9%可用性SLAは、ソフトウェアデリバリーワークフローの信頼できる基盤であり続けるためのGitLabのコミットメントの証です。チームがGitLabを利用してリリースを続けられる限り、GitLabは皆様を全力でサポートします。

SLAについてご不明な点がある場合は、GitLabのアカウントチームにお問い合わせいただくか、GitLabサポートからリクエストをご送信ください。

ピクシブ株式会社は、「創作活動を、もっと楽しくする。」というミッションを掲げる企業です。2007年にリリースされたイラスト、マンガ、小説作品の投稿プラットフォーム「pixiv」を中核に、創作ドメインに特化した事業を多角的に展開。登録ユーザー数は1億を超え、海外ユーザー比率も高いグローバルなプラットフォームへと成長しました。

ピクシブの挑戦

創業以来、内製による開発を継続する同社に数年前、開発サイクルにおける手戻りや待ち時間などのオーバーヘッドを可視化する機会が訪れました。社内で2番目に大きなプロジェクトのバリューストリームを分析したところ、開発時間全体の約19%がオーバーヘッドに占められていることが判明したのです。

GitLabの活用方法

ソリューション：GitLab Ultimate、GitLab Duo Enterprise

面白いのは、この数字を単なる損失やネガティブな問題とは捉えず、「改善すれば成果が約束されている」、「19%の伸びしろがある」とポジティブに解釈したこと。オーバーヘッドを抑制しながら、組織規模の拡大に伴う開発効率の鈍化や、高まるセキュリティ脅威、ナレッジの散逸といった課題に対し、「デリバリー能力そのものの向上」を目指す取り組みが始まりました。ソースコード管理だけでなく、設計情報やセキュリティ機能も一元化できる「GitLab Ultimate」を核とした、シフトレフトへの移行です。

開発ライフサイクル全体の基盤整備に向け、「3本の柱」が掲げられました。まずは、「健康診断のお医者さん」になること。チームの健康状態＝バリューストリームを定期的に診断し、改善への処方箋を出す役割です。次に、「ガードレール整備の職人」であること。セキュリティスキャンやインスペクション設定を最適化し、安全な開発環境を整える役割を担います。最後に、「コンテキストを集める推進リーダー」の務めを果たすこと。最新の支援ツールが正しく機能するよう、情報を整備します。 導入戦略では「点・線・面」のアプローチを採用しました。まずは特定のプロジェクト＝点で成功事例を作り、それを複数の事例＝線へと展開し、最終的に全社的な標準＝面とする段階的な展開です。

これまでの大きな成果のひとつは、「部分最適の罠」を理解できたことです。検証の過程で、「特定工程の速度を2倍にしても、次の工程の負荷が倍増してボトルネックが発生し、全体のスループットは上がらない」という事実が浮き彫りになりました。これにより、単なるツールの導入ではなく、バリューストリーム全体を俯瞰した最適化が不可欠であるという認識が広がりました。

開発支援機能を最適に使用するための基盤作りも進んでいます。従来、社内のWikiツールでやり取りしていた情報を、GitLab上のイシューやプロジェクト管理に集約。開発の背景やコンテキストを含めて一元的に把握できるようにすることで、支援ツールによる補助の精度や信頼性が向上しました。

今後は、現在「線」になりつつある取り組みを、具体的なカバレッジ目標を持った「面」へと展開します。19%というオーバーヘッドをわずかでも削減することが狙いです。中でも、支援ツール活用のための環境整備に注力します。今後の開発に高度な自動化支援は不可欠で、「渋滞を起こさないようなバリューストリーム」の構築を実現したい考えです。

▶️事例PDFを無料でダウンロードする

そこで、GitLabはOracle Cloud Infrastructure（OCI）および信頼できるOracleマネージドサービスプロバイダーであるData Intensity社とタッグを組み、GitLab Self-Managedの制御性とフルマネージドサービスの運用性の両方を実現する新しいマネージドサービスオプション「DevSecOps-as-a-Service」を実現しました。

GitLab Self-Managedを選ぶ理由

GitLab Self-Managedでは、DevSecOpsプラットフォームを完全に管理できます。データの保存場所やインスタンスの構成方法を制御できるほか、固有のコンプライアンス、セキュリティ、または運用要件を満たすようカスタマイズできます。厳格な規制要件、データレジデンシーのニーズ、固有の統合要件を持つ組織にとっては、このレベルの制御が不可欠です。

一部のお客様にとって、サーバーの管理、アップグレードの処理、高可用性の確保、ディザスタリカバリの実装といったGitLab Self-Managedの運用が大きな課題となります。これらはすべて、専門的な知識と専任のリソースを必要とします。

GitLab Self-Managedへのマネージドパス

Data Intensity社がOCI上で実現するDevSecOps-as-a-Serviceは、制御性の高いGitLab Self-Managedのメリットはそのままに、これらの運用負荷を軽減します。インフラストラクチャを自社で構築・維持する代わりに、Data Intensity社の専門家チームが管理し、OCIの高性能クラウドインフラストラクチャ上で動作する専用のGitLabインスタンスを利用できます。

サービスの内容：

• OCIインフラストラクチャ上で稼動する専用GitLabインスタンス
• 24時間365日の監視、アラート、サポート
• お客様が選択したメンテナンス期間内に実施される四半期ごとのパッチ適用
• 自動バックアップとディザスタリカバリ保護

組織の成長に合わせたスケーリング

Data Intensity社のマネージドサービスは、チームの成長に合わせて設計されており、お客様固有のユーザー数要件とリカバリ要件に合わせた階層型アーキテクチャを提供します。

詳細については、Data Intensity社のウェブサイトでDevSecOps-as-a-Serviceの詳細をご覧ください。

GitLabがOCIを選ぶ理由

Oracle Cloud Infrastructure（OCI）は、GitLab Self-Managedを実行するための堅牢な基盤となり、他のハイパースケーラーよりも大幅に低いコストで、安全で高性能な環境を実現します。OCIにワークロードを移行する組織は、一般的にインフラストラクチャコストを40〜50%削減できるため、デプロイメントの資金調達と拡張が容易になります。

OCIは、パブリッククラウドリージョンから、GovernmentやEU Sovereign Cloudsなどの特殊な環境、さらにはファイアウォールの背後にデプロイされる専用インフラストラクチャまで、幅広いデプロイメントモデルをサポートしています。これらのオプションはいずれも、一貫した価格設定、ツール、運用エクスペリエンスで利用でき、チームは規制対象、ハイブリッド、グローバルの環境全体でGitLabデプロイメントを標準化できます。

GitLabの包括的なDevSecOpsプラットフォーム、OCIの高性能インフラストラクチャ、Data Intensity社のマネージドサービスの専門知識の組み合わせにより、チームが最も重要なこと、つまり優れたソフトウェアの構築に集中できるターンキーソリューションを提供します。

このサービスを選ぶべき組織とは？

以下の点に当てはまる場合は、Data Intensity社のDevSecOps-as-a-Serviceをご検討ください。

• GitLab Self-Managedを導入したいが、運用上の負荷は最小限に抑えたい
• 固有のコンプライアンス、セキュリティ、またはデータレジデンシー要件がある
• SLA保証とプロフェッショナルなディザスタリカバリ機能が必要だ
• 社内でインフラストラクチャの専門家を育成するよりも、予測可能なコストとエキスパートによる管理が望ましい
• すでにOCIをクラウドインフラストラクチャに使用しているか、使用を計画している
• 柔軟性と制御性が最優先である
• 管理は外部に任せたいが、セルフマネージド環境の制御性は実現できる専用インスタンスがほしい

導入するには

Data Intensity社のDevSecOps-as-a-Serviceを使用してOCI上でGitLab Self-Managedを実行したいとお考えなら、Data Intensity社のウェブサイトからData Intensity社にご連絡ください。具体的な要件についてお話しして、デプロイメント計画を開始できます。

複雑な作業を行わなくても、DevSecOpsのモダナイズは実現できます。Data Intensity社は、OCIへのスムーズな移行を確実にするため、オプションでコードリポジトリとカスタマイズの移行を提供しています。

GitLabがパートナーエコシステムを拡大し続ける中、こうしたソリューションは、SaaS、セルフマネージド、または信頼できるパートナーを通じたマネージドサービスなど、組織がGitLabをデプロイおよび管理するさまざまな選択肢を用意するという、当社のコミットメントの一環です。

今月は、ソフトウェア開発のあり方が大きく変わる節目の月です。そしてその中心にいるのがGitLab。GitLab Duo Agent Platformの一般提供開始という大きなマイルストーンを祝いつつ、GitLab 18.8の新機能、さらに業界全体からの示唆に富んだ読み物をご紹介します。

さあ、いきましょう！⚡

GitLab Duo Agent Platformが一般提供開始

これはGitLabにとって、そして世界中のソフトウェアチームにとっても非常に大きな出来事です。

GitLab Duo Agent Platformの一般提供開始により、私たちは「コードを書くのを手助けするAI」を超え、ソフトウェア開発ライフサイクル全体で機能するエージェント型AIの時代へと踏み出しました。 企画、実装、テスト、セキュリティ、デプロイまで、すべてを1つの場所、1つのプラットフォームでオーケストレーションします。

なぜこれが重要なのでしょうか？AIによってコーディングは高速化した一方で、多くのチームはいまだに「AIパラドックス」を感じています。つまり、キーボード上では生産性が上がっているのに、他の工程でボトルネックが発生してしまう状況です。

GitLab Duo Agent Platform GAの主なポイント

• コーディング単体ではなく、ライフサイクル全体にわたるエージェント型ワークフロー
• 手作業の引き継ぎややり直しを減らす、専門エージェントと自動化フロー
• GitLabのイシュー、マージリクエスト、パイプライン内での人とAIの統合された体験
• 安心してAIを導入できるエンタープライズレベルのガバナンスと可視性
• 個人のスピードをチーム全体の推進力へ変える、大規模なAIオーケストレーション

GitLab Duo Agent Platformは、常に「対応に追われる状態」からチームを解放し、フロー状態へと導きます。高速なコーディングを、高速かつ安全なデリバリーへ。しかも、コントロールを犠牲にすることなく実現します。

さらに詳しく知りたい方へ👇GitLab CEOのBill Staplesが、なぜこのGAがAI時代における重要な転換点なのかを解説しています。

https://about.gitlab.com/ja-jp/blog/gitlab-duo-agent-platform-is-generally-available/　

GitLab 18.8：より高い可視性と、より強固なコントロール

GitLab 18.8は、この流れをさらに加速させるリリースです。

エージェント型AIを大規模に導入するための可視性・ガバナンス・セキュリティワークフローが強化され、チームが「速く、かつ責任を持って」前進できるようになります。

主な新機能

• AI導入を段階的、または全社規模で進められるグループベースのアクセス制御
• 重複やノイズを減らした、高速なアプリケーションセキュリティスキャン
• 低リスクな検知を自動で整理できる、スマートな脆弱性管理
• 本当に重要なことに集中できる、パイプライン効率の改善

GitLab Duo Agent Platform GAとGitLab 18.8によって、AIを「試す段階」から「実運用する段階」へと明確に移行しました。

詳しくはGitLab 18.8リリースノートをご覧ください👇

https://about.gitlab.com/ja-jp/blog/gitlab-18-08-release/　

📚 今月のおすすめ記事

今月は、以下のようなテーマの記事を読んでいます。

• 2026年に向けて、企業はAIの成果をどうスケールさせるのか
  https://thenewstack.io/3-ways-enterprises-can-scale-ai-gains-in-2026/
• アジア圏でのエージェント型AIの主要トレンド
  https://cio.economictimes.indiatimes.com/news/artificial-intelligence/ais-impact-on-asia-pacific-2026-trends-revealed/126301455
• GitLab流AIエージェントとDevOpsワークフロー自動化へとつなげ方
  https://devops.com/gitlab-delivers-on-ai-agents-promise-to-automate-devops-workflows/

最後に、、

最後に少し個人的なお話を。私はMarie Forleoの、前向きさと実践的な思考のバランスをずっと尊敬しています。彼女は「完璧な計画」ではなく、「行動し、学び、軌道修正すること」こそが前進につながると語り続けてきました。

　　「行動を伴わない洞察には価値がありません。

変化への唯一の道は、行動することです。」

― Marie Forleo

この言葉は、今まさにタイムリーだと感じます。AIで何ができるかについての洞察は、すでに十分にあります。しかし本当の進歩は、それを実際に使うことから生まれます。GitLabが目指しているのも、まさにそこ。実験から実行へ、洞察をインパクトへと変える、実用的でスケーラブルなAIを提供することです。

以上、2月号でした！読んでいただきありがとうございます。Happy Merging! また来月お会いしましょう💜

Fatima Sarah Khalid｜Developer Advocate, GitLab

このニュースレターが気に入ったら、ぜひチームに共有してください。 そして👉YouTubeチャンネルの登録もお忘れなく！

東レ株式会社は、繊維や機能化成品、炭素繊維などを提供する素材メーカー。2026年に創業100周年を迎え、売上高2兆5000億円、グローバルの従業員数約5万人を誇ります。UNIQLOの「ヒートテック」やボーイング「787」の機体材料など、私たちの身近な製品にも、その素材が利用されています。

東レの挑戦

同社は、情報システムに課題を抱えていました。50年前から稼働するホストコンピュータや、導入から20年以上経過したERP、そしてJavaをベースとした自社製の独自フレームワークで構築された200を超える業務システムが複雑に入り組んでいたのです。この状況ではDXの推進が困難で、運用保守に忙殺される技術者のモチベーション低下も大きな問題でした。そこで同社は競争優位性の源泉となる領域において、アプリケーションのモダナイズを決断しました。

GitLabの活用方法

ソリューション：GitLab Ultimate、GitLab Duo Enterprise

基幹刷新プロジェクトと共に始動したアプリケーションモダナイズの取り組みでは、「セキュリティの向上」、「自動化（CI/CD）」、「モノリスからの脱却」、「常に新しい技術の採用」という4つの柱を掲げました。開発サイクルの高速化とセキュリティ確保を両立するDevSecOpsを実現するために、開発の初期段階からセキュリティチェックを組み込むシフトレフトのアプローチは不可欠。それを実現するためにGitLabを開発プラットフォームとし、セキュリティチェックとCI/CDサイクルを確立することで、開発スピード、品質、セキュリティのすべてを強化する体制を整えました。

GitLabと生成AIエディタ「Cursor」を組み合わせたAI駆動開発にも挑戦しました。開発者はMarkdown形式のAPI仕様書を作成し、Cursorに入力することでソースコードやテストコードを自動生成します。導入当初は生成されるコードの品質にばらつきがありましたが、プロンプトの内容やアーキテクチャのルールを整備し、実装後にチェックするプロセスを導入することで、開発者間で均質なコードが生成されるよう改善しました。

生成されたコードのレビューにはGitLab Duoを活用しています。AIをレビュアーとして指定することで、冗長なコードの指摘やエラーハンドリングの不足などを自動で検出し、属人化の解消とレビュー工数の削減を実現しています。

これらの取り組みにより、かつては手動で行っていた単体テストやデプロイ作業が自動化され、セキュリティテストもパイプラインの中で頻繁かつ定期的に実施できるようになりました。旧システムのクラウドリフトは約1年半で完了し、2025年からは本格的なモダナイズフェーズへと移行しています。わずか3か月で試行的なモダンアプリ開発を成功させるなど、着実に内製化への知見を蓄積しています。開発環境においても、VDIやNexusサーバを導入してセキュアな構成を保ちつつ、開発者が最新技術に触れられる「ワクワクする」環境づくりが進められています。

今後は、人材採用活動をさらに積極化するとともに、生成AIとGitLab Duoによる開発・運用工数の削減を目指します。すでに脆弱性対応を自動化する仕組みの構築に着手。脆弱性診断結果を分析し、GitLab Duoを中心として修正コードの提案からマージリクエストの作成までを自動化する構想です。レビュアーはAIが提案した変更内容を確認して承認するだけというフローを確立し、人間がより創造的な業務に集中できる環境を目指します。

▶️事例PDFを無料でダウンロードする

2025年11月に開催した年次イベント「GitLab Epic Tour Japan 2025」の模様をお伝えします。

【期間限定！動画で見る】GitLab Epic Tour Japan 2025 オンデマンド配信はこちら

GitLabは2025年11月28日、都内で年次イベントで「GitLab Epic Tour Japan 2025 〜AI駆動ソフトウェア開発の攻めと守り〜」を開催しました。生成AIの登場により、ソフトウェア開発の現場は大きな変化にさらされることになりました。コード生成AIを活用して生産性向上を狙う「攻め」については、すでに多くの開発者が取り組んでいます。一方、AIが生成したコードの脆弱性をどうすべきかという「守り」の重要性が、かつてないほど高まっています。この日のイベントでは、AI時代の開発プラットフォームのあり方、そして日本企業が直面する課題への具体的な処方箋を示しました。本稿では、主要セッションの内容を中心に、イベントの全容をレポートします。

「DevSecOps認知度30%」の数年後に、AI Native時代がやってきた

オープニングセッションでは、GitLab Japan Country manager小澤 正治がご挨拶させていただきました。小澤は2年半前の入社当時を振り返り、次のように語ります。

「当時、経済産業省のレポートを読むと、国内のDevSecOpsの認知度はわずか30%でした。正直、どうしようかと震えていたのですが、状況は大きく変わりました。この変化にワクワクしています」

この2年半で、GitLab自身も大きく進化しました。当時は単に「DevSecOps Platform」でしたが、AI要素を付加した「AI Powered」が枕詞になりました。そして現在は、「AI Native DevSecOps Platform」です。つまり、GitLabそのものがAIを中核に据えたプラットフォームへと成長したと言えます。

続いて登壇したStaff Regional Marketing Manager 川口 修平は、AI導入により開発者1人あたり年間120万円相当の工数を削減でき、その結果として日本の経済効果が約1兆6000億円に上るという試算を紹介。ただし、AI活用に立ちはだかる困難を、「3つの壁」として提示しました。

まずは、技術的負債の壁。レガシーコードやドキュメント不足が、AIのコンテキスト理解を妨げています。続いて、セキュリティリスクの壁。 AI生成コードの約45%に脆弱性が含まれるというデータがあり、インシデントを防ぐ防災に加えて、被害を最小限にする減災の考え方も不可欠になります。最後に、人材の壁。エンジニアの役割はコードを書くことから、AIの成果物が正しいかどうかを評価することへシフトします。

これらの課題を解決するカギになるのが、GitLab Duo Agent Platform（以下、DAP）です。開発サイクル上のすべての情報を単一データストアへと集約することで、AIがコンテキストを深く理解し、精度が高く、かつ自律的な支援が可能になります。

「Prompt to Production」の危険性と、自律型AIエージェントの未来

続いて登壇したGitLab CTO Asia Pacific & Japan Andrew Haschka氏は、アジア太平洋地域のリーダーたちとの対話から得た知見をに基づき、AI活用の次のステージについて語りました。

Haschkaは、「AIを正しく機能させるためには、開発の全工程を網羅した“信頼できる唯一の情報源”が不可欠です」と強調します。現在、多くの企業は開発現場にAIを導入していますが、その用途は「AIコーディング」に偏りすぎています。しかしながら、計画、テスト、セキュリティといった周辺プロセスにも、AIによる最適化の余地があるのです。

「私は、ガバナンスがない状態で、バラバラのAIツールを使うことをPrompt to Productionと呼び、危険視しています。テストやセキュリティチェックをスキップし、プロンプトの結果をいきなり本番環境へ反映してしまうリスクがあるためです」（Haschka）

この問題を解決するのが、DAPとAgentic Flows。人間がAIに質問して答えを得るチャットボット形式とは一線を画す概念で、1人の人間が多数のAIエージェントを指揮します。すると、エージェント同士が連携し、計画から実装、テストまでを自律的な流れとして実行することになります。

Haschkaは、「GitLabのAIエージェントは、組織のポリシーというガードレールの下で動きます。だからこそ、リスクを最小限に抑えながらイノベーションを加速できるのです」と話します。「AIは、開発者のためにコードを書いてくれるだけでなく、チームメンバーとして一緒に働いてくれる存在になります」。

AIツールをバラバラに使う段階は終わりました。すでに、統合プラットフォーム上でAIを“良き同僚”として迎え入れる環境は整っています。

3つの壁を突破する具体的アプローチ

続いて、ソリューションアーキテクト 本部長 藤田 周が登壇しました。藤田は、オープニングで提示された3つの壁に対する、より実践的で技術的な解決策を深掘りしました。

技術的負債の壁は、リアーキテクチャで乗り越えます。古いシステムを単にクラウドに乗せ換える「リホスト」や、すべてを作り直す「リビルド」は、コストの面でも効果の面で現実的にならないケースが目につきます。そこで藤田は、生成AIを活用した「リアーキテクチャ」を提唱します。

具体的には、まずレガシーコードをAIに読み込ませ、人間にとってもAIにとっても理解しやすい「マークダウン形式の設計書」を出力。ブラックボックス化した仕様を可視化した上で、モダンなコードとテストケースをAIに生成させるというアプローチを取ります。これにより、手のつけられなかった旧来のシステムが、最新のアーキテクチャ上で以前と同様の機能を提供してくれるようになります。

セキュリティリスクの壁は、スピードがカギを握ることになります。巷間、「脆弱性が公開されてから攻撃が始まるまで、わずか15分」という数字が語られていますが、これは現実です。攻撃を受けてから人間が会議を開き、パッチ適用の計画を立てている間に、攻撃者はすでに侵入を開始しているのです。

藤田はデモを通じて、GitLabのSecurity Analyst Agentがこのスピードに対抗できることを示しました。AIエージェントが膨大な脆弱性情報の中から誤検知を取り除き、自動で対応すべき優先順位を付け、さらに修正コードまで作成してくれます。人間はAIの提案を確認してマージボタンを押すだけです。藤田は、「精神論や手動チェックではもう守りきれないのです」と語りました。

人材の壁をクリアする第一歩は、伴走支援のエコシステムを構成することです。エンジニアに求められるスキルセットが変化する中、何らかのツールを導入したり、担当者のスキルアップを図るだけでは、解決策になりません。藤田氏は、専門性の高いパートナー企業による伴走支援の重要性について話し、GitLabをプラットフォームとして開発プロセスを最適化すると同時に、優れたパートナー企業をプロセスに取り込み、さらに組織変革をセットで進めます。その際に、パートナー企業が組織変革についてもサポートしてくれれば理想でしょう。

藤田は講演の中で、DAPによる開発の自律化についても紹介しました。AIが先回りして動いてくれる一例が「Issue to MR」です。AIがイシューを読み、計画を立て、コードを書き、マージリクエストまで作成します。また、人間がレビューする前にAIがセキュリティや規約チェックを行う機能により、人間の負荷を劇的に下げることができます。これら一連の仕組みは、プロジェクト全体のコンテキストをAIが理解することで支えられています。

4社の最新事例発表も実施

この日のイベントでは、ピクシブ株式会社様、東レ株式会社様、日立グループ様（株式会社日立プラントサービス様、株式会社日立システムズ様）、株式会社みんなの銀行様（登壇順）の4社のユーザー企業様がご登壇され、それぞれの挑戦についてご共有いただきました。各社の取り組みについては、以下のリンクよりご覧ください。

・株式会社みんなの銀行様

・東レ株式会社様　NEW！

・ピクシブ株式会社様 NEW!

・日立グループ様（株式会社日立プラントサービス様、株式会社日立システムズ様）（近日公開予定）

次は1年後。きっと大きな変化が起きているはず

クロージングセッションに再登壇した小澤は、部分最適の罠について強調しました。AIを活用することで特定の作業やプロセスが高速化したとしても、それが故に別の場所にボトルネックが生まれることになっては意味がありません。全体最適を目指すことが大切で、そのためにGitLabが持つシングルデータストアという基盤が効いてくることになります。

さらに、GitLabが講演した内容と発表された事例を総括し、「かつてDevOpsはSecurityを加えてDevSecOpsになりました。それがいまや完全にDevSecOpsとして一体のものとして認識されています。その上で、AI活用が進んでいるのです」と話します。GitLabのAI Native DevSecOpsも、テクノロジーの通過点であり、さらに最適化された未来が待っているのでしょう。

2026年の秋にもまた、GitLabは「Epic Tour Japan」を実施します。

小澤は、「1年先は近いようで遠いです。いまはまだ読めない変化が起きているはずです。しかし、GitLabも世の中のニーズに合わせて柔軟に進化していきます。来年のこのイベントで、これから生まれる新しい事例を皆様にお伝えできることにワクワクしています」と結び、今年のEpic Tourは盛況のうちに幕を閉じました。

株式会社みんなの銀行は、スマホ完結型の日本初のデジタルバンクを運営する企業。このB2C銀行に加え、APIを通じて金融機能を外部に提供するBaaS（Banking as a Service）事業やシステム外販事業を展開しています。40代未満のユーザーが7割を占め、Google Cloud上で勘定系システムをフルスクラッチ開発している点が大きな特徴です。

開発内製化への挑戦

同社は徹底した内製化を目指しています。その理由は、プロダクトを“自分ごと”として捉え、改善のナレッジを社内に蓄積するためです。外部委託ではノウハウが流出し、コストも最適化しにくい一方、自分たちで開発・運用を行うことで、投資を効率化し、開発と運用の好循環を生み出すことを重視しています。内製化には「挑戦できる環境」と「心理的安全性」のある文化が不可欠であり、GitLabはこの土台として機能しています。銀行システム特有の厳格なセキュリティや運用ルールによる窮屈さを、技術と自動化によって最小化する役割を担っています。

GitLabの活用方法

ソリューション：GitLab Ultimate

GitLab導入の背景には、ゼロからのシステム構築にあたり、セキュリティとガバナンスを両立したDevOps環境が必要だったことがあります。選定にあたっては、ソフトウェア開発ライフサイクル全体を単一ツールでカバーでき、学習コストを抑えながら厳格な要件を満たせる点が決め手となりました。現在は、福岡と東京での分散開発を支える基盤として活用し、CI/CDパイプラインに単体テストやセキュリティスキャン（SAST、依存関係チェック、機密情報検知）を組み込むことで、アジリティとセキュリティの両立を実現しています。

中でも注力しているのがGitOpsです。これはGitリポジトリの状態を正とし、本番環境と自動同期させる仕組みです。同行では独自の「コンプライアンス・パイプライン」を構築しました。開発者がマージリクエストを出すと、承認者は変更内容やリスクを確認して承認するという流れです。マージ後はKubernetes環境へのデプロイを自動化するArgoCDが検知し、自動で本番環境へと反映します。運用／開発分離という観点から、最終的な「承認」のみを人が行い、リリース作業自体は徹底して自動化しています。これにより、人為的なオペレーションミスを防ぐとともに、開発者が自身のコードと本番環境に対する責任を持つ「Code Owners」としての意識醸成につなげています。

AI活用にも積極的です。不正口座検知や顧客FAQに加え、社内用の生成AI環境を整備しています。開発業務においては、コード生成や補完の導入を加速させるべく「AIスクラム」を組成しました。すべての言語での活用を推進し、要件定義からリリースまでの全工程へのAI組み込みを目指しています。

今後は、仕様を固めてからAIに生成させる「スペック駆動開発」の推進や、クライアントサイドでのレビューAI活用など、GitLabとAIの連携をさらに深めていく方針です。セキュリティと品質を高めつつ、エンジニアが創造性を発揮できる開発環境を追求し、日本の技術力向上にも貢献していきたいと考えています。

▶️事例PDFを無料でダウンロードする