TheNote
RSS GitLab ノート
GooglePlay AppStore

RSS GitLab

GitLab ブログは、ソフトウェア開発と DevOps の実践に関するニュース、洞察、視点を共有するプラットフォームです。GitLab チームのメンバー、顧客、業界の専門家が、CI/CD、GitOps、クラウドネイティブ開発など、多くのトピックに関する記事を執筆しています。このブログは、ソフトウェア開発の最新のトレンドとベストプラクティスを学びたい開発者、運用プロフェッショナル、テクノロジーリーダーにとって、貴重なリソースです。イノベーション、コラボレーション、コミュニティーの焦点を当てた GitLab ブログは、読者間での知識の共有と議論を促進します。GitLab の新規ユーザーか経験者かにかかわらず、このブログは、ソフトウェア開発のワークフローを改善するための有益な情報と洞察を提供します。技術的な深い掘り下げから、リーダーシップの記事まで、GitLab ブログは、ソフトウェア開発の未来に関心のある誰かにも何かを提供します。最新のニュース、トレンド、ベストプラクティスを維持するために、GitLab ブログを購読してください。
RSS about.gitlab.com
GitLab about.gitlab.com
RSS Hunter RSS Hunter 2024年8月23日

ノートのスレッド

ガバナンスとオペレーションのためのAIカタログアップデート

エンタープライズAIの導入は、どのAIツールが実行されており、誰がそれらをデプロイしたのかについての可視性の欠如によって妨げられることがよくあります。GitLab 19.1は、Duo Flowsのイベント駆動型トリガーを導入し、継続的かつ自動化されたAIワークフローを可能にします。以前は、すべてのトリガーは手動の人間の操作を必要としており、プログラムによる統合とスケジュール実行を制限していました。これらの新しいトリガーにより、マージリクエストの競合検出やレビュー準備完了のマーク付けなど、定義された条件が満たされたときにフローが自動的に実行されるようになります。追加のトリガーには、マージリクエストの承認とワークアイテムの作成が含まれ、コンプライアンスチェックやインシデント作成などのプロセスを合理化します。パイプラインイベントは、失敗や成功などの特定の状態でフィルタリングできるようになり、不要なアラートを防ぎます。2つの新しい設定により、管理者はカスタムエージェントを無効にし、AIカタログをグループ階層に制限して、不正なAIコンテンツを防ぐことができます。フローの誤設定は、フローが保存される前にDuo Workflow Serviceに対する検証によって、アップストリームで検出されるようになりました。パブリックベータ機能により、管理者は承認されたAIモデルの許可リストを作成できるようになり、AIの使用に対するより大きな制御が可能になります。これらのアップデートにより、AIフローは、強化されたガバナンスと開発者フィードバックメカニズムを備え、継続的かつ確実に運用できるようになります。
AI Catalog updates for governance and operations about.gitlab.com
RSS Hunter RSS Hunter 6月18日

脆弱性ビュー:スキャナーカバレッジからAIガバナンスまで

エンタープライズは、プロジェクト間でセキュリティスキャナーのカバレッジが一貫せず、検出されない盲点が生じることにしばしば苦労しています。GitLab 19.1 は、既存のサードパーティ製セキュリティスキャナーを大規模に統合および強制できるようにすることで、この問題に対処します。この新しい機能は、スキャナーカバレッジの統一されたビューを提供し、すべてのプロジェクトが定義されたポリシーに従ってスキャンされることを保証します。これらの統合スキャナーによって検出された脆弱性は、一貫した管理のために GitLab の中央脆弱性ビューに直接流れ込みます。さらに、これらのサードパーティの検出結果は、GitLab Duo Agent Platform ワークフローを使用して自動的に修正できるようになりました。このリリースでは、新しいブランチ上のすべてのコミットをスキャンすることでシークレット検出も強化され、以前にコミットされたシークレットが見逃されるのを防ぎます。シークレットの誤検知検出が一般提供され、信頼スコアと説明を提供して開発者のノイズを削減します。AI ガバナンスの面では、現在ベータ版の AI 監査イベントストリーミングは、AI エージェントによって実行されたすべての操作を記録します。これにより、組織はエージェントの動作を監視および証明できます。現在ベータ版のエージェントツール承認ガードレールは、管理者がエージェントのアクションを定義できるようにし、機密性の高い操作には人間の承認を必要とします。包括的なスキャナーカバレッジ、自動化された修正、および堅牢な AI エージェントガバナンスのこの組み合わせは、セキュリティとアカウンタビリティの向上を提供します。
One vulnerability view: From scanner coverage to AI governance about.gitlab.com
RSS Hunter RSS Hunter 6月18日

GitLabとキャップジェミニ、DevSecOpsへの変革を加速

GitLabとCapgeminiは、グローバルアライアンスパートナーシップを確立しました。CapgeminiはGitLab Select Partnerとして、GitLabの包括的なプラットフォームを活用します。これには、ソフトウェア開発ライフサイクル全体にわたるAIオーケストレーションのためのGitLab Duo Agent Platformが含まれます。また、世界中のお客様に専門的な実装サービスを提供します。この協力は、ツール、プロセス、および方法論に関する専門家のガイダンスを提供
GitLab and Capgemini accelerate DevSecOps transformation about.gitlab.com
RSS Hunter RSS Hunter 6月17日

GitLab、2026 Gartner® Magic Quadrant™ for DevSecOps Platformsでリーダーに選出

ガートナーは、4年連続でGitLabをDevSecOpsプラットフォームのマジッククアドラントのリーダーとして認めています。同社は、ソフトウェア開発が単なるコーディングを超えて進化していることを強調し、速度と効率のために基盤プラットフォームの重要性を強調しています。AIコーディングアシスタントがコードの作成を加速させた一方で、これはパイプライン、セキュリティ、デプロイメントにおいてダウンストリームのボトルネックを生み出しています。GitLabは、真の課題は「速度と制御」を通じてエージェント生成のコードを信頼性の高いソフトウェアに変換することであると考えています。現在の企業の苦労は、特にAIエージェントが堅牢な管理ポリシーなしに増えているため、ガバナンスとともに迅速なデリバリーをバランスさせることです。GitLabは、計画、構築、セキュリティ、出荷のための統合プラットフォームとして自己を位置付け、エージェント時代のための制御レイヤーとして機能します。プロダクションに到達する前に、変更を既存のコードとポリシーに対してストレステストします。エリクソンやサウスウエストのような既存の企業は、スケーラブルで信頼性の高いソフトウェアデリバリーのためにGitLabに頼っています。GitLabは、SaaSとセルフマネージドのデプロイメントの両方で、エアギャップ環境でさえも制御を損なうことなく、一貫したプラットフォーム機能を提供します。ガートナーは、このパリティと包括的なAI機能を強みとして強調しています。プラットフォームはまた、統一されたガバナンス境界を維持しながら既存のツールとの統合を可能にするため、拡張可能です。GitLabのエンタープライズグレードのアップタイムへの取り組みは、アルティメット顧客向けの99.9%の月間可用性保証を含む強化されたSLAによって裏付けられています。最近の革新は、マシンスケールのソースコード管理、AIモデル性能を向上させるコンテキストグラフであるGitLab Orbit、セキュリティとガバナンスのためのエージェントに焦点を当てています。新しいエージェントトリガーはタスクの調整を自動化し、柔軟な契約はカスタマイズされた支出を可能にします。最終的に、GitLabは、人間とエージェントの両方による共同ソフトウェア開発のための単一のプラットフォーム、コンテキストグラフ、ガバナンス境界を提供します。
GitLab named a Leader in the 2026 Gartner® Magic Quadrant™ for DevSecOps Platforms about.gitlab.com
RSS Hunter RSS Hunter 6月17日

2026 EMEA GitLab Partner Award 受賞者のご紹介

GitLab パートナープログラムは、顧客のソフトウェア開発のモダナイゼーションを支援するために、積極的に DevSecOps エコシステムを育成しています。最近、GitLab は EMEA のパートナーの専門知識と顧客の成功へのコミットメントを称えました。このイベント中、GitLab は EMEA 地域における 2026 GitLab パートナーアワードの受賞者を発表しました。cc cloud GmbH は中央ヨーロッパのリージョナルパートナー・オブ・ザ・イヤー、Eficode は北ヨーロッパ、Kiratech は南ヨーロッパに選ばれました。Bynet は新興市場、特に東ヨーロッパとイスラエルで表彰されました。Capgemini | Sogeti は革新的な取り組みでベスト・テクニカル・ソリューション/プロジェクト賞を受賞しました。Devoteam は、最も多くの認定プロフェッショナルを擁する、最も認定され、有効化されたパートナーとして表彰されました。ITDOTCOM は、初期段階での顕著な貢献によりルーキー・オブ・ザ・イヤー賞を受賞しました。Linux Polska は、新規ビジネス獲得の成功によりファースト・オーダー・マスターとして称賛されました。最後に、Conoa a PROACT Company は、卓越した共同マーケティング活動によりコ・マーケティング・パートナー・オブ・ザ・イヤー賞を受賞しました。
Introducing the 2026 EMEA GitLab Partner Award winners about.gitlab.com
RSS Hunter RSS Hunter 6月17日

Google Cloud 上の GitLab: フルマネージド、準拠、AI対応

GitLab が、Beyond や Digital Future のような認定 MSP によって提供される、Google Cloud 上の完全に管理されたプラットフォームとして利用可能になりました。この連携により、Gemini や Gemma を含む最新の Google AI モデルが GitLab プラットフォームに直接統合されます。チームは、スケーラブルで信頼性の高い DevSecOps アーキテクチャを活用しながら、コード、パイプライン、セキュリティデータに対する完全な制御を維持できます。この提供は、GitLab Duo Agent Platform が Google モデルを利用し、既存の Google Cloud コミットメントに対する利用を適用することを可能にした以前の連携に基づいています。このマネージドサービスは、強力な AI モデルへのアクセスが必要であることと、機密データを管理する必要があることの間の緊張関係に対処し、最新の AI 機能と堅牢なガバナンスの両方を提供します。組織は、データレジデンシーと規制要件への準拠を確保しながら、Google Cloud 上で GitLab を完全に管理して実行できます。MSP パートナーは、高いサービスレベルアグリーメントを提供することで運用上の負担を処理し、組み込みの監査およびポリシーコントロールは、コンプライアンスチームの可視性を維持します。Gemini 3.5 Flash を含む最新の Gemini モデルは、現在 GitLab Duo Agent Platform で利用可能であり、新しいモデルは継続的に統合されています。セルフホスト型および規制対象のチーム向けに、Gemma 4 は GitLab Duo Self-Hosted のためのオープンウェイトオプションを提供し、環境内の AI Gateway とデータに対する完全な制御を可能にします。Google Cloud Marketplace を通じて GitLab および Duo Agent Platform を購入すると、既存の Google Cloud コミットメントに対する利用が可能になり、予算編成と請求が合理化されます。この統合アプローチは、プラットフォーム、推論、インフラストラクチャの支出を単一の Google Cloud 請求書に統合します。GitLab はまた、利用状況ダッシュボードによるコスト管理、モデル利用のためのポリシー管理、および予測可能な消費のためのクレジットモデルを提供します。強力な AI モデルと GitLab Duo Agent Platform のソフトウェアデリバリーコンテキストの統合は、分散したツール間の断片化を防ぎ、整合性の取れたデプロイメント、モデル選択、ガバナンス、および支出を保証します。Google Cloud とのこの連携は、監査可能なガバナンスを備えた管理されたインフラストラクチャ上で DevSecOps を大規模に実行するための適切なデプロイメントオプション、モデル、およびコスト管理を提供します。無料トライアルと簡単なサインアップオプションは、新規および既存の GitLab ユーザーが Duo Agent Platform の利用を開始するために利用可能です。
GitLab on Google Cloud: Fully managed, compliant, and AI-ready about.gitlab.com
RSS Hunter RSS Hunter 6月10日

GitLab Orbitのご紹介:コードとライフサイクルのコンテキストを、1つのクエリで

AIエージェントは、コードを取り巻くシステムを理解することに苦労しており、無駄な労力とタスクの失敗につながっています。このギャップは、エージェントが分析対象の直接的なコード以外のコンテキストを欠いていることが多いために生じます。GitLab Orbitは、ソフトウェア開発ライフサイクル全体のデータをライブでクエリ可能なグラフを作成することで、このギャップを埋めることを目指しています。このグラフは、コード、マージリクエスト、パイプライン、デプロイメント、脆弱性、および所有権を接続します。このファーストパーティデータを使用することで、エージェントはより情報に基づいた意思決定を行い、より正確な結果を提供できます。GitLab Orbitは、RAGのような従来のメソッドと比較して、AIコードレビューの精度において大幅な改善を示しています。これにより、コーディングエージェントは最大11倍高速になり、トークン使用量を大幅に削減できます。さらに、Orbitは、パイプラインの失敗の根本原因の追跡や、脆弱性の影響範囲のマッピングなど、これまで不可能だったクエリを可能にします。これにより、インシデント対応の迅速化と、移行などのタスクの計画の効率化が促進されます。このシステムは、さまざまなソースからのデータを摂取および解析し、関係の最新のグラフを維持することによって機能します。クエリトラフィックは、メインのGitLabインスタンスから分離されており、承認は既存のGitLabの権限をミラーリングしています。Orbitは、GitLabが既にキャプチャしているデータに基づいて構築されており、新しいインストルメンテーションの必要がありません。エンジニアは、Data Explorerを通じてこのグラフに直接クエリを実行して、手動で調査することもできます。GitLab Orbitは現在、PremiumおよびUltimateのお客様向けにパブリックベータ版で提供されています。
Introducing GitLab Orbit: Full code and lifecycle context, in one query about.gitlab.com
RSS Hunter RSS Hunter 6月10日

GitLab Flex: 一度コミットすれば、シートとAIの支出を再構築

エージェンティック時代は、特にシート数、AI消費量、および望ましい機能に関して、ソフトウェアのニーズを予測不可能にしました。しかし、従来の契約ではこれらの要素すべてを事前に固定するため、ニーズが変化した場合に過払いまたは進捗の停滞につながります。GitLab Flexは、再調達なしにシート数、AI使用量、および新機能にわたって毎月再形成できる単一の年間コミットメントを提供することで、これを解決します。これにより、固定契約で高すぎたり低すぎたりする推測の落とし穴を回避できます。Flexを使用すると、年間予算は毎月適応します。顧客はシート予約を調整し、チームの変更に合わせて再割り当てしたり、AI使用量に向けたりすることができます。AI消費量は、公開されているレートで年間コミットメントから引き出され、予測可能にスケールし、コミットメントを超える使用量はオンデマンドで請求されます。署名後にリリースされた新しい対象機能は、既存のコミットメントから引き出して、新しい調達なしで追加できます。ほとんどの消費モデルとは異なり、Flexは同じコミットメント内でシートと使用量の間の予算移動を可能にします。単一のFlex契約は、プラットフォームシート(PremiumおよびUltimate)、AIおよびその他の機能のためのGitLabクレジット、および任意のデプロイメントタイプ(GitLab.com、Self-Managed、Dedicated、air-gapped)を組み合わせることができます。この柔軟性により、組織は期間中にミックスをシフトさせることができます。より大きな年間コミットメントは、より良い単価をアンロックし、予約容量は計画外の使用よりもコストがかかりません。サブスクリプションレベルおよびユーザーあたりのキャップなどの支出管理機能は、予算の管理に役立ちます。予約されていないシートは、効果的に事前交渉された価格で引き出され、完全なFlexコミットメントを超える使用量はオンデマンドレートで請求されます。クラウド接続された顧客は自動的に請求され、air-gapped顧客は年に2回請求されます。既存の顧客は更新を通じて現在のプランを維持できますが、Flexは新規契約に推奨されます。PremiumおよびUltimateのティア機能は、Flexで変更されません。GitLab Flexは、エージェンティック時代の動的なニーズに適応し、プラットフォームとAIの両方の支出を管理するための運用モデルを提供します。顧客は今すぐGitLab Flexで注文をリクエストできます。
GitLab Flex: Commit once, reshape your seats and AI spend about.gitlab.com
RSS Hunter RSS Hunter 6月10日

GitLab:エージェンティック・エンジニアリング時代のために構築

GitLab Transcendは、エージェント型ソフトウェア開発を推進する主要なイノベーションを発表しました。次世代ソースコード管理(SCM)は、エージェント規模の同時実行に最適化されたGitエンジンであり、現在プライベートベータ版です。GitLab Orbitは、ソフトウェアライフサイクル全体を網羅する包括的なコンテキストグラフであり、現在パブリックベータ版で、エージェントの効率と精度を大幅に向上させます。エージェント向けのセキュリティおよびガバナンスエージェントは、エージェントアクションのID、ポリシー、および監査証跡に焦点を当てており、現在プライベートベータ版です。GitLab Duo Agent Platformは、一般提供されているオーケストレーションシステムであり、開発ライフサイクル全体にわたるエージェントワークフローを促進します。GitLab Flexは、シート、AI使用量、および機能に年間コミットメントを柔軟に割り当てることができる新しい購入モデルです。調査によると、組織の91%が2つ以上のAIコーディングツールを使用していますが、管理されていないスピードは混乱を生み出します。ソフトウェアライフサイクルの断片化は、現在のAIコーディングツールにおける非効率性とリスクにつながります。GitLabは、実行のためのモーターシステム、コンテキストのための神経系、ガバナンスのための免疫システム、およびオーケストレーションシステムを含むエージェントインフラストラクチャでこれらの課題に対処します。次世代SCMは、「クローン税」とエージェント負荷下での同時実行の崩壊を排除することを目指しており、有望な社内結果を示しています。GitLab Orbitは、エージェントに重要なコンテキストを提供し、幻覚を減らし、応答時間を改善します。セキュリティおよびガバナンスのための新しいエージェントは、すべてのアクションのコンプライアンスとトレーサビリティを保証します。Duo Agent Platformは、すでに週アクティブユーザー数が10倍に増加しており、コンテキストスイッチングを減らすことで開発を合理化しています。GitLab Flexは、ソフトウェア調達における前例のない柔軟性を提供します。これらのイノベーションは、エージェント型コーディングを制御された効率的なソフトウェア配信に変革することを目指しています。
GitLab: Built for the agentic engineering era about.gitlab.com
RSS Hunter RSS Hunter 6月10日

Shai-Hulud の模倣キャンペーンが PyPI のタイポスクワッティングを通じて Python 開発者を標的にする

GitLab の脆弱性リサーチチームは、Shai-Hulud マルウェアの亜種を利用した PyPI に対する協調的なサプライチェーン攻撃を発見しました。5 つの悪意のあるパッケージが見つかりました。そのうち 4 つは Flask、Requests、NumPy のような人気ライブラリのタイポスクワットであり、5 つ目は mflux-streamlit という正規プロジェクトを悪用したものでした。これらのパッケージは、インポートを必要とせずにインストール時にコードを実行し、自己増殖型の認証情報窃盗犯を利用しています。このマルウェアは、主要なクラウドプロバイダー全体で CI/CD 環境を標的とし、GitHub、AWS、Azure、GCP などからの認証情報を盗もうとします。また、データベース、Vault、さらには CI ランナーでの権限昇格も試みます。この攻撃は、Python の .pth ファイルメカニズムを利用して初期実行を行い、Bun JavaScript ランタイムをダウンロードして実行し、難読化されたペイロードを実行します。このペイロードには、機密情報を収集できる Shai-Hulud ワームが含まれています。このワームは自己増殖機能も備えており、リポジトリに悪意のあるファイルをコミットし、追加の汚染されたパッケージを公開します。GitLab は自社のシステムが影響を受けていないことを確認し、より広範なセキュリティコミュニティを支援するために調査結果を共有しています。すべての悪意のあるパッケージは、以前は正規のプロジェクトを公開していた単一の PyPI アカウント、elitexp から提供されていました。ユーザーは、影響を受けたパッケージを削除し、認証情報をローテーションし、不審なアクティビティがないかシステムを監査することが推奨されます。GitLab Ultimate ユーザーは、Dependency Scanning を利用してこれらの脆弱性を検出できます。
Shai-Hulud copycat campaign targets Python developers through PyPI typosquatting about.gitlab.com
RSS Hunter RSS Hunter 6月9日

Mythos-class Claude Fable 5がGitLab Duo Agent Platformに登場

Anthropicの新しいMythosクラスモデルであるClaude Fable 5が、GitLab Duo Agent Platformに統合されました。これは、以前のAIが苦労していた複雑で多段階のタスクを完了できるようになり、イテレーションサイクルを短縮する重要なアップグレードです。Claude Fable 5は、その改善された機能により、Duo Agentic Chatや基盤となるエージェントなどの機能を強化します。AI Gatewayを介して、すべてのGitLabティアおよびデプロイメントモデルでアクセス可能です。主な利点は、複雑な問題に対する初回ショット精度の測定可能な向上であり、開発時間を大幅に短縮します。Claude Fable 5は、技術的な画像やスクリーンショットの優れた解釈能力も示しています。このモデルは、長期間にわたる生産的な出力を維持し、数百万トークンに及ぶ長距離自律性を提供します。これにより、Claude Fable 5は自己修正し、並列サブエージェントを管理できるため、エージェントワークフローは手動介入なしで完了まで実行できます。エンジニアリングリーダーは、人間の監督コストの削減と、より困難な問題の割り当て能力を評価するでしょう。バグ検出とインシデント解決も、より深いコード推論とより実用的なレビューコメントにより改善されています。ユーザーは、最も困難な未解決の問題にClaude Fable 5を活用することが推奨されます。Claude Fable 5は、2026年6月9日からGitLab Duo Agent Platformで利用可能になります。
Mythos-class Claude Fable 5 arrives on GitLab Duo Agent Platform about.gitlab.com
RSS Hunter RSS Hunter 6月9日

エージェンティックコーディングは、そのコンテキストと同じくらい優れているだけです。

デモでは、コーディングエージェントがプルリクエストを迅速に生成する様子がよく紹介されますが、CI/CDの失敗のようなコミット後の問題には対処していません。これらの失敗は、プラットフォームのコンテキストの欠如に起因することが多く、デリバリーを加速するのではなく、手戻りにつながります。GitLabのようなプラットフォームとコーディングエージェントを統合することで、イシュー、パイプライン、セキュリティポリシーのコンテキストを提供し、失敗を回避するのに役立ちます。GitLabのチュートリアルでは、エージェントのコンテキストを増やすことがコード品質、セキュリティ、レビューサイクルを向上させることを示しています。エージェントは、リポジトリ、イシュー、マージリクエストのコンテキストを利用して、チームの標準に合わせ、計画を立てることができます。エージェントがマージリクエスト内で作業すると、レビューサイクルが短縮され、マージまでの時間が改善されます。プラットフォームチームがエージェントのアクセスと検証プロセスを定義するため、安全なコードデリバリーの鍵はエージェントではなくプラットフォームになります。エージェントがより多くのコードを生成するにつれて、セキュリティはより重要になり、ボトルネックは脆弱性の発見から修正の承認へと移行します。コンテキストを持つエージェントは、実際の露出度に基づいて脆弱性を優先することができます。AGENTS.mdファイル内のカスタムインストラクションは、プロジェクトの構造と期待値を標準化することで、エージェントの出力品質を向上させます。GitLabのようなプラットフォームによって提供される構造化された関連性の高いコンテキストは、コンテキストウィンドウの制限のため、生のデータダンプよりも優れています。エージェントは、既存のコントロールを維持しながら、マージリクエストでレビューフィードバックに対応することで、リビジョンを加速します。エージェントによるコーディングを開始するには、実際のエラーを修正し、AGENTS.mdで文書化し、効率的なコンテキスト配信に焦点を当ててください。
Agentic coding is only as good as its context about.gitlab.com
RSS Hunter RSS Hunter 5月28日

GitLab上のClaude Opus 4.8:複雑なエージェント作業、より少ない混乱

Anthropicの最新モデルであるClaude Opus 4.8がGitLab Duo Agent Platformに統合され、複雑なタスクにおけるエージェントのパフォーマンス向上を目指します。このモデルは、長期間にわたって複雑で多段階のエージェントシーケンスを自律的に実行することに優れています。Opus 4.8は、優れた推論および計画能力を提供し、介入を減らしてよりクリーンな結果をもたらします。指示の解釈を強化し、確立されたエージェントワークフローにおいて、より効率的で正確な結果をもたらします。コーディング以外にも、このモデルはドキュメント作成、データ分析、構造化された知識タスクにも優れています。主な機能として、会話中のシステムプロンプトのサポートがあり、動的な指示更新を可能にします。これにより、プロンプトキャッシュを再起動する必要がなくなり、変化する状況に対して効率的であることが証明されています。Opus 4.8は現在GitLab Duo Agent Platform内で利用可能であり、GitLab Creditsを使用します。ユーザーは無料トライアルを開始するか、GitLabのティアを通じてサブスクライブすることでエージェントプラットフォームにアクセスできます。既存のプレミアムまたはアルティメットサブスクライバーは、含まれるGitLab Creditsを使用できます。
Claude Opus 4.8 on GitLab: Complex agentic work, less disruption about.gitlab.com
RSS Hunter RSS Hunter 5月28日

数分でコードベース全体をセキュリティスキャン

CI/CD プラットフォームは、組織の成長に伴い、コードパイプラインを大規模に保護する上でスケーラビリティの問題に直面しています。AI によって推進されるコードの速度向上により、プロジェクト全体でスキャナーを手動で構成することは管理不能になります。GitLab 19.0 は、この課題に対処するためにセキュリティ構成プロファイルを導入します。これらのプロファイルは、セキュリティスキャナーがどのように、いつ実行されるかを定義する中央集権的な設定です。これにより、各プロジェクトのファイルにスキャナーを設定する必要がなくなり、セキュリティが簡素化されます。これらのプロファイルにより、初日からプロジェクト全体で SAST、依存関係スキャン、シークレット検出が可能になります。これらのプロファイルは、SAST および依存関係スキャンのマージリクエストおよびブランチパイプラインでスキャンを自動化します。シークレット検出には、リアルタイムでシークレットを検出するためのプッシュ保護も含まれます。メリットには、標準化されたカバレッジ、リリース前の脆弱性の検出、および侵害された依存関係の防止が含まれます。セキュリティ構成プロファイルは、GitLab のセキュリティインベントリを通じて簡単に実装できます。これらは GitLab Ultimate を必要とし、個々のプロジェクトまたはグループ全体に適用できます。移行中は、プロファイルベースの設定と従来の構成の両方を共存させることができます。
Full security scanner coverage of your codebase in minutes about.gitlab.com
RSS Hunter RSS Hunter 5月26日

SBOMベースの依存関係スキャンでサプライチェーンリスクを軽減する

サードパーティコードへの依存は、AI生成コードの脆弱性によって増幅される重大なセキュリティリスクをもたらします。従来の依存関係スキャナーは、現代のアプリケーションセキュリティのニーズには不十分です。GitLab 19.0は、これらの課題に効果的に対処するためにSBOMベースの依存関係スキャンを導入します。この機能は、プロジェクトの依存関係を棚卸しし、アプリケーションが実際に使用している脆弱なパッケージを特定します。スキャンプロセスは、推移的な依存関係をその起源まで追跡し、重要なコンテキストを提供します。また、コードの到達可能性に基づいて脆弱性を優先し、焦点を改善します。システムは新しい脆弱性を継続的にスキャンし、継続的な保護を保証します。GitLabのSBOMスキャナーは、多数のパッケージエコシステムをサポートしています。新しい言語やファイル形式の追加が容易になりました。セキュリティ設定プロファイルは、プロジェクト全体でのデプロイと強制を合理化します。チームは依存関係スキャンを一度設定すれば、ポリシーを使用して広く適用できます。新しい依存関係スキャン機能は、GitLab Ultimateユーザー向けに提供されており、移行ガイドも用意されています。詳細な手順とドキュメントにより、簡単なセットアップと使用が可能です。
Reduce supply chain risk with SBOM-based dependency scanning about.gitlab.com
RSS Hunter RSS Hunter 5月26日

GitLab Secrets Manager で CI/CD の認証情報を管理する

認証情報の漏洩は、開発者が秘密情報を即席で保存することから始まることが多く、脆弱性につながります。現在パブリックベータ版であるGitLab Secrets Managerは、安全で統合されたソリューションを提供することで、これを解決することを目指しています。このマネージャーは、秘密情報をGitLabプラットフォーム内に保持し、それを必要とするジョブからアクセスできるようにします。開発者は、secrets: キーワードを使用して、.gitlab-ci.yml で秘密情報を定義できます。アクセス制御は、確立されたグループとプロジェクトの構造を使用します。このアプローチにより、個別のシステムが不要になり、アクセス管理が簡素化されます。秘密情報のスコープは、ジョブ属性を使用して定義でき、侵害の影響を最小限に抑えます。GitLab内の監査ログは、秘密情報の使用状況を追跡し、効率的な調査を可能にします。この機能は、GitLab.comおよびセルフマネージドデプロイメントのPremiumおよびUltimateユーザー向けにパブリックベータ版で提供されています。これは、秘密情報の管理を合理化し、侵害された認証情報に関連するリスクを軽減するように設計されています。Secrets Managerは、ベータ版以降は有料機能となります。フィードバックは、最終的な形式を形成するのに役立つように奨励されています。
Manage CI/CD credentials with GitLab Secrets Manager about.gitlab.com
RSS Hunter RSS Hunter 5月21日

GitLab Duo Agent Platform Self-Hosted向けAIモデルの追加

GitLab 19.0 は、Duo Agent Platform のセルフホスト型オープンソースモデルのサポートを拡張し、規制対象環境や隔離された環境における AI 機能のギャップを埋めることを目指しています。このアップデートは、データの所在地、ネットワークの隔離、コンプライアンスの課題に直面している顧客に対応します。これらの制約は、データセキュリティ上の懸念から、高度な AI モデルへのアクセスを制限することがよくあります。この新機能により、チームは隔離されたネットワークまたはエアギャップネットワーク内で、適切なモデルをデプロイできるようになります。これは、独自の GPU 上でも可能です。GitLab のオープンソースモデルの選択は、これらの課題に対応し、ローカル推論とデータプライバシーを可能にします。サポートされているオープンソースモデルには、Mistral Devstral 2 123B、GLM-5.1、Kimi-K2.6、MiniMax-M2.7 が含まれます。顧客は、vLLM または GPU 対応仮想マシンを備えたオンプレミスハードウェアを使用して、セルフマネージド推論を利用できます。エアギャップ環境では、オンプレミスオープンソースモデルが主なソリューションとなります。ハイブリッドデプロイメントもサポートされており、セルフホスト型モデルと GitLab 管理モデルの組み合わせが可能です。デプロイメントの選択は、ネットワークアクセス制限などの特定の環境ニーズによって異なります。このアップデートは、オフラインおよびオンラインのライセンス所有者の両方が利用でき、セルフホスト型モデルと GitLab 管理モデルを組み合わせるオプションがあります。特定のデプロイメントニーズや詳細については、GitLab の営業担当者にお問い合わせください。この強化は、GitLab が多様な環境で AI 機能を提供するというコミットメントを強調するものです。
More AI models for GitLab Duo Agent Platform Self-Hosted about.gitlab.com
RSS Hunter RSS Hunter 5月21日

GitLab 19.0: マニュアルタスクから自動化ワークフローへのMR変換

AIはコード生成を加速させましたが、マージリクエストを取り巻く手作業プロセスは依然として残り、ボトルネックとなっていました。GitLab 19.0では、マージリクエストのライフサイクル全体を自動化するために設計されたAIエージェントであるDeveloper Flowを導入します。このエージェントは、フィードバックへの対応、コンフリクトの解決、コードベースのリサーチ、大規模なマージリクエストの分割などのタスクを処理します。Developer Flowにより、開発者はタスクを委任し、レビューとプロセスの指示に集中できるようになります。エージェントのパフォーマンスを向上させるために、ドキュメントを含むプロジェクト構成を読み取るように構築されています。新バージョンには、マージの最終段階を合理化するためのワンクリックリベースとマージも含まれています。GitLab 19.0では、Duoの支援を受けてマージコンフリクトを解決する機能も導入され、時間のかかる手作業タスクを削減します。エージェントのアクションは文書化され、透明性のための監査証跡が維持されます。これらの機能はすべて、マージリクエストの作成からマージまでの手作業の労力を削減することを目的としています。これには、判断を要する作業とメカニクスに対する自動化が含まれます。PremiumおよびUltimateのGitLabのお客様は、新しい機能を試すことができます。
GitLab 19.0: Transform MRs from manual tasks to an automated workflow about.gitlab.com
RSS Hunter RSS Hunter 5月21日

組織全体でCIコンポーネントの使用状況を追跡する

GitLabのCI/CDカタログは、チームが再利用可能なパイプラインコンポーネントを公開・共有できるようにします。これらのコンポーネントがデプロイされると、使用状況とバージョニングを追跡することが困難になります。GitLab 19.0では、この可視性の欠如を解消するために、CI/CDカタログ内にコンポーネント分析を導入します。この機能は、すべてのCI/CDコンポーネントの採用データと使用回数を提供します。高レベルビュー(Freeを含むすべてのティアで利用可能)は、最新バージョンと各コンポーネントを使用しているプロジェクト数を示します。GitLab Ultimateユーザーは、特定のコンポーネントバージョンを使用しているプロジェクトを明らかにするドリルダウンビューにアクセスできます。これにより、古いコンポーネントや潜在的なセキュリティリスクを特定するのに役立ちます。コンポーネント分析は、使用中のコンポーネントとそのバージョンを明確に理解できるようにします。これにより、チームはメンテナンスの優先順位付け、廃止の計画、セキュリティ対応時間の短縮を行うことができます。コンポーネント分析によって提供されるネイティブな可視性は、GitHub Actions、CircleCI、Jenkinsなどの他のプラットフォームの機能を凌駕します。これにより、CI標準が実行され、プラットフォームへの投資が収益を生み出すことが保証されます。AIがより多くのパイプラインを生成するにつれて、CI/CDカタログとコンポーネント分析は連携して自動化されたワークフローをスケーリングします。セルフマネージドおよび専用のお客様は、コンポーネントミラーリング機能からも恩恵を受けます。
Track CI component usage across your organization about.gitlab.com
RSS Hunter RSS Hunter 5月21日

BYOKを超えて:なぜガバナンスがAIエージェントにとって重要なのか

GitHub Copilot CLIは、ユーザーが独自のAIモデルを持ち込んだり、モデルをローカルで実行したりできるようになりました。しかし、ガバナンスが重要なエンタープライズレベルの自動化においては、モデル選択のみに依存することは不十分です。Duo Agent Platformを基盤とするGitLab Duo CLIは、ソフトウェア配信パイプライン全体にわたるエンタープライズグレードの制御に焦点を当てた、異なるアプローチを提供します。Duo CLIは、CI/CDパイプラインにおけるインタラクティブな開発と自動化されたワークフローの両方を、ヘッドレスモードを含めてサポートします。このプラットフォームレベルの制御は、Copilotの個々の開発者ごとの構成とは異なり、一貫したガバナンス、監査、およびセキュリティを保証します。Duo CLIは、プロンプトインジェクション検出、複合IDスコープ、およびカスタム命令ファイル(AGENTS.mdおよびSKILL.md)を提供し、エージェントの権限を管理します。これにより、チームはパイプラインをデバッグし、複雑な開発タスクを安全に自動化できます。プラットフォーム向けのAIツールの検討においては、人間の監視がない状況下でのエンタープライズレベルの制御と堅牢なセキュリティの必要性が重要になります。GitLab Duoは、セルフホスト型およびGitLabホスト型モデルをサポートすることでモデルの柔軟性を促進し、データ主権を可能にします。チームは無料トライアルを開始したり、既存のGitLabサブスクリプションでサインアップしたりして、GitLab Duo CLIのメリットを体験できます。
Beyond BYOK: Why governance matters for AI agents about.gitlab.com
RSS Hunter RSS Hunter 5月18日

GitLab Dedicated for Government、GovRAMP認定取得

GitLab Dedicated for GovernmentはGovRAMP認証を取得し、州および地方自治体がセキュアなDevSecOpsを導入するプロセスを簡素化しました。厳格なコンプライアンス要件を満たすために、データレジデンシー、分離、プライベートネットワーキングを強化したシングルテナントソリューションを提供します。このプラットフォームはツールを統合し、ツールチェーンの統合と予算の制約に対応し、開発プロセスを単一のプラットフォームに統合します。GitLab Dedicated for Governmentは、GovRAMP認証済みインフラストラクチャ上に構築され、データ暗号化を備え、マネージドホスティングを提供することで、自治体のインフラストラクチャ管理を簡素化します。このプラットフォームは、セキュリティスキャンやポリシー施行を含む包括的なネイティブセキュリティおよびコンプライアンス機能を提供します。GitLab Duoが利用可能になり、コンプライアンス境界内でAI支援機能を導入し、将来的に高度なAI機能も計画されています。このセキュアなSaaSプラットフォームは、政府の近代化の取り組みを支援し、データ主権のニーズを満たし、より迅速なソフトウェア配信への道を提供します。自治体は、サイクルタイムの短縮、セキュリティの強化、開発者の生産性の向上、コンプライアンスの合理化から恩恵を受けることができます。GitLabは、自治体が開始を支援するために、移行支援を含む包括的なサポートを提供します。
GitLab Dedicated for Government now GovRAMP-authorized about.gitlab.com
RSS Hunter RSS Hunter 5月18日

CodexとGitLab:コード修正から本番環境へ

このチュートリアルでは、コーディングエージェントであるCodexをGitLabと組み合わせてソフトウェア開発を行う方法を探ります。まず、Codexを使用してローカルでWebSocketのバグを修正し、次にGitLab MCPを統合して課題の要件を取り込みます。CodexはWebSocketのバグを修正し、ロジックを更新し、テストを追加し、ブランチを作成するために使用されます。その後、GitLabのCI/CDパイプラインとコードレビューを活用します。2番目のユースケースでは、CodexがGitLab MCPを活用し、コード変更の前に課題の詳細を直接統合します。これにより、MCP経由でマージリクエストを作成し、関連する課題をクローズすることが可能になりました。次に、REST APIの検証バグの修正に焦点を移し、外部エージェントとしてのCodexが、マージリクエスト内でレビューフィードバックに対応します。Codexはドキュメント、テストを追加し、修正をコミットしますが、これらすべてはマージリクエストのコンテキスト内で行われます。これにより、コードレビューと改訂の更新における効率が向上します。「AGENTS.md」という名前のファイルなど、CodexとGitLabを効果的に連携させるための具体的なヒントが提供されます。
Codex and GitLab: From code fix to production about.gitlab.com
RSS Hunter RSS Hunter 5月18日

AI支援コーディング時代に向けてパイプラインの境界を強化する

AI支援開発はコード作成を加速させ、見過ごされがちなセキュリティ脆弱性を生み出します。従来のセキュリティツールは開発ワークフローから分離して動作することが多く、実施が困難です。GitLab Ultimateはセキュリティをプラットフォームに直接統合し、開発者は同じツール内で脆弱性を確認、実施、修正できます。「確認」の側面は、ダッシュボードやセキュリティインベントリを含むプロジェクト全体を包括的に表示し、隠れたリスクを明らかにします。認証情報管理は、トークンインベントリと監査イベントストリーミングによるリアルタイム監視によって改善されます。「実施」は、プラットフォーム内の自動化されたポリシーを利用して、すべてのパイプラインとマージリクエストを管理し、セキュリティコンプライアンスを確保します。スキャンおよびパイプライン実行ポリシーは、すべてのプロジェクトに適用されるセキュリティチェックのためのガードレールを作成します。このアプローチは、セキュリティプロトコルにしばしば伴う手作業の負担を劇的に軽減します。「修正」は、問題を優先順位付けし、開発者にワークフロー内で明確なコンテキストを提供することで、脆弱性のループを閉じます。GitLabの機能により、開発者はAI駆動ツールを使用してマージリクエストで直接トリアージと修正案の提案を行い、脆弱性に効率的に対処できます。プラットフォームには、誤検知を特定するためのAI駆動分析も含まれており、チームが実際の脅威に集中できるよう支援します。GitLabの最終的な目標は、ペースの速いAI駆動環境で安全な開発プラクティスを可能にすることです。
Harden your pipeline perimeter for the era of AI-assisted coding about.gitlab.com
RSS Hunter RSS Hunter 5月13日

ポリシーで誤解を招く脆弱性の深刻度を修正する5つの方法

GitLab の脆弱性レポートは、多くの場合、環境の特定を反映しない一般的な CVSS スコアを持つ多数の検出結果を提示します。これにより、初期の重大度が実際のリスクを示さないため、非効率的な手動トリアージが発生します。GitLab は、定義された基準に基づいて重大度を自動調整するための重大度オーバーライドポリシーを導入します。これらのポリシーは、ルールを使用して、CVE、ファイルパス、CWE などの要因に基づいて重大度レベル(設定、増加、または減少)を変更します。例としては、内部サービスでの脆弱性のダウングレードや、本番コードでのインジェクション脆弱性のアップグレードが含まれます。その他のユースケースとしては、スキャナー全体での重大度の正規化や、CISA の KEV のような脅威インテリジェンスとの連携があります。これらのポリシーは、グループレベルで適用して、多くのプロジェクト全体で一貫したリスクモデルを維持できます。これらのポリシーを適用することで、脆弱性レポートがより正確な環境リスクを反映するようになります。手動オーバーライドは常にポリシーアクションに優先し、すべての変更は監査目的で記録されます。ユーザーは、これらのポリシーを実装して、脆弱性管理プロセスを改善することが推奨されます。
5 ways to fix misleading vulnerability severities with policy about.gitlab.com
RSS Hunter RSS Hunter 5月13日

GitLab Act 2

GitLabは、チームへの書簡で説明されている再構築プロセスを開始し、大きな変化を迎えています。この再構築には、透明性と自発的な離職期間に焦点を当てた人員削減が含まれます。グローバルな事業展開の見直し、組織のフラット化、R&Dの再編成、および社内プロセスへのAIエージェントの導入を行っています。同社は財務ガイダンスを再確認しています。戦略は、AIエージェントが重要な役割を果たすソフトウェア開発の「エージェンティック時代」に焦点を当てています。GitLabは、機械規模のインフラストラクチャ、オーケストレーション、コンテキスト、およびガバナンスにアーキテクチャ上の賭けをしています。柔軟なビジネスモデルと卓越性の文化を通じて、これらの進歩を提供することを目指しています。顧客にとっては、既存のサポートとコミットメントは変更されず、イノベーションは加速すると予想されます。この戦略的シフトは、GitLabをAI時代のソフトウェア作成における主要なプラットフォームとして位置づけることを目的としています。同社は、再構築による節約分を成長加速のために再投資する計画です。透明性と従業員の変革への関与にコミットしています。
GitLab Act 2 about.gitlab.com
RSS Hunter RSS Hunter 5月11日

きめ細かな個人アクセストークンで認証情報の漏洩を制限する

GitLab のパーソナルアクセストークン (PAT) は、多くの場合「api」や「read_api」のような広範な権限で自動化を認証します。これらの広範な権限は、トークンが侵害された場合に複数のプロジェクトをセキュリティリスクにさらす可能性があります。現在ベータ版であるきめ細かな PAT は、ユーザーが特定のタスクやリソースへのトークンアクセスを制限できるようにします。このアプローチは、権限をより狭くスコープすることで、潜在的な侵害の「爆発半径」を制限します。ユーザーは、リーチ(個人プロジェクト、全プロジェクト、または選択したプロジェクト)と許可されるアクション(作成、読み取り、更新、削除)に基づいてこれらのトークンを定義できます。以前は、単一のトークンですべてのリソースへのアクセスが付与されていましたが、きめ細かな PAT は、正確な権限を持つジョブごとにトークンを発行します。トークンテーブルは、スコープと権限を表示するように更新され、監査可能性を向上させ、過剰な権限を持つトークンを特定します。現在、きめ細かな PAT は REST API エンドポイントの約 75% をカバーしており、カバレッジを拡大する計画があります。ユーザーは、ベータ期間中に従来の PAT ときめ細かな PAT の両方を作成できます。これらのトークンを作成するには、ユーザーは設定に移動し、「Fine-grained token」を選択します。この機能を洗練し、最小権限のセキュリティプラクティスを促進するために、フィードバックが奨励されています。
Limit credential exposure with fine-grained personal access tokens about.gitlab.com
RSS Hunter RSS Hunter 5月7日

GitLab Duo Agent Platform のカスタムエージェントを使用してデプロイメントプロセスを自動化する

GitOpsにおける手動でのマイクロサービスオンボーディングは、複雑で時間がかかり、エラーが発生しやすい。GitLab Duo Agent Platformは、カスタムAIエージェントでこれを解決する。このチュートリアルでは、TanukiBankマイクロサービスのオンボーディングを行うエージェントの構築方法をデモンストレーションする。このプロセスには、アプリケーションのGitOpsワークフローの定義が含まれる。まず、既存のセットアップを理解するために、GitLab Duoを使用してシステムプロンプトが生成される。次に、システムプロンプトとツールを組み込んだカスタムエージェントがGitLab内で作成される。Developer flowを使用して新しいマイクロサービスが構築される。その後、カスタムエージェントに新しいサービスのオンボーディングを指示する。エージェントはマニフェストとパイプラインを更新し、承認付きのマージリクエストを作成する。デプロイメントが検証され、マイクロサービスが稼働していることが確認される。メリットには、時間の節約、知識のキャプチャ、アクセス制御が含まれる。これにより、一貫性があり監査可能な変更が可能になり、自動化のスピードとエンタープライズレベルの制御が提供される。
Automate deployment processes using a custom agent in GitLab Duo Agent Platform about.gitlab.com
RSS Hunter RSS Hunter 5月7日

Kubernetes 上の Gitaly で GitLab スタックを統合する

GitLab 18.11 において、Kubernetes 上の Gitaly が一般提供開始され、チームのデプロイが簡素化されました。以前は、Kubernetes コンポーネントと並んで VM 上で Gitaly を実行すると、運用上の課題が生じていました。この新しいリリースでは、完全にサポートされたソリューションが提供され、Kubernetes 環境内での統合が可能になります。Gitaly のリソース集約的な性質により、OOM エラーを防ぐための cgroup の使用など、特定の Kubernetes 設定が必要でした。init コンテナ経由で /sys/fs/cgroup をマウントすることは、Git プロセスを封じ込めるために不可欠でした。Pod の再起動は課題となり、設定可能なクライアントリトライの実装を促しました。VM ベースと Kubernetes ベースの Gitaly を比較したベンチマークでは、パフォーマンスの違いはほとんどなく、アップグレード中もほとんどの操作が成功しました。これらの結果は、突然の再起動プロセスにもかかわらず、Kubernetes の回復力を示しています。Kubernetes 上の Gitaly は、ハイブリッドインフラストラクチャを排除することで既存のユーザーにメリットをもたらし、Kubernetes ユーザーの新規デプロイを合理化します。デプロイは GitLab Helm チャートを通じて推奨されており、包括的な Gitaly セットアップと外部 Gitaly セットアップの両方についてドキュメントが提供されています。
Consolidate your GitLab stack with Gitaly on Kubernetes about.gitlab.com
RSS Hunter RSS Hunter 5月7日

Claude CodeとGitLab:デプロイを可能にする3つのワークフロー

開発者は、Claude Code がコードを迅速に作成し、理解できる能力を高く評価しています。しかし、より高速なコード作成は、他のソフトウェア開発段階のペースを上回り、問題を引き起こす可能性があります。GitLab は、CI/CD、セキュリティスキャン、コードレビューを統合することで、このギャップを埋めます。このガイドでは、Claude Code を使用して C++ のバグを修正し、その後 GitLab の自動化プロセスを活用する方法を示します。チュートリアルでは、GitLab MCP が Claude Code のコンテキストをどのように強化し、課題からの情報を引き出すかを示します。最後に、GitLab Duo Agent Platform により、Claude Code は外部レビュー担当者として機能し、コードレビューを合理化できます。カスタムインストラクションは、特定のプロジェクトのニーズに合わせてエージェントをさらにガイドします。最終的に、Claude Code はコーディングを高速化し、GitLab は安全で効率的なソフトウェア配信を保証します。
Claude Code and GitLab: Three workflows that ship about.gitlab.com
RSS Hunter RSS Hunter 5月6日

チームコラボレーションを再構築する8つのエージェンティックAIパターン

人工知能は、個々のタスク効率を超えて、チームコラボレーションを強化するために進化しています。ユーザーエクスペリエンスリサーチは、17のエージェンティックプラットフォームを分析し、最適化されたチームワークのための主要な機能を特定しました。この研究は、より速い進捗、よりスマートな作業、および管理された制御という3つの主要な成果につながる8つの能力パターンを明らかにしました。これらのパターンは、ステータス更新、作業ルーティング、チームコミュニケーション、および既存のコミュニケーションツール内の役割固有のエージェントを網羅しています。会話コンテキストの認識と役割ベースのアクセス制御も、管理された環境と共同エージェント作成とともに不可欠です。主な観察事項には、チャットプラットフォームへのAI統合、ガバナンスの重要性の高まり、およびチームベースのエージェント開発が含まれます。最も成功しているプラットフォームは、孤立したエージェント機能ではなく、統一されたチームエクスペリエンスの設計に焦点を当てています。GitLabのDevSecOpsライフサイクルは、統合された単一プラットフォームワークフローにより、大きな利点をもたらします。GitLab Duo Agent Platformはこの利点を活用し、ソフトウェア開発ライフサイクル全体でのシームレスなエージェント実行を可能にします。これにより、チームは効率と制御を促進しながら、エージェントが実行を処理する間にタスクを効果的に調整できます。
8 Agentic AI patterns reshaping team collaboration about.gitlab.com
RSS Hunter RSS Hunter 5月5日

Atlassianはあなたのデータでトレーニングします:GitLabでオプトアウトしてください

Atlassianは、2026年8月17日から、JiraやConfluenceを含むクラウド製品から収集した顧客データをAIトレーニングに使用開始します。このデータ収集はデフォルトで有効になっており、エンタープライズティアの顧客のみがオプトアウトできるオプションがあり、ほぼ全てのクラウド顧客に影響します。このポリシー変更には、ユーザーからのメタデータとアプリ内コンテンツの両方の収集が含まれます。Atlassianは、一部の例外(政府クラウド顧客など)を除き、トレーニング前にデータを非識別化すると主張しています。今回の変更は、以前の顧客データがAIに使用されないという約束を覆すものです。この「デフォルトでオプトアウト」というアプローチは、ユーザーデータに関するデータガバナンス上の懸念を引き起こします。機密データをAtlassian製品で使用している組織は、規制上の影響に直面する可能性があります。コンプライアンス上の義務により、変更の影響を受けるデータ慣行の再評価が必要です。競合他社であるGitLabは、自社のAIトレーニングのために顧客データを収集しないという異なるアプローチをとっています。GitLabは、透明性、監査可能性、および顧客データとAIトレーニングの分離を強調しています。GitLabは、データを顧客インフラストラクチャ内に保持するために、AI処理のためのセルフマネージドオプションを提供しています。データ慣行の変更は、組織がデータの使用方法を評価することを求めています。
Atlassian will train on your data: Opt out with GitLab about.gitlab.com
RSS Hunter RSS Hunter 5月4日

Contagious Interview IDE 攻撃を検出および防止する方法

GitLabのセキュリティオペレーションチームは、脅威インテリジェンスとSIRTを含め、進化する脅威と戦うために緊密に連携しています。彼らは最近、特にVS Codeタスクの悪用を標的とした、北朝鮮のトレードクラフトを詳述した記事を公開しました。Contagious Interviewキャンペーンは、偽の面接プロセスを活用して、個人をタスク経由で悪意のあるコードを実行するように欺きます。攻撃者は、侵害されたリポジトリ内のtasks.jsonファイルを使用して、リポジトリがVS Codeで開かれたときにコマンドを実行します。これにより、攻撃者はマルウェアをインストールしたり、認証情報を盗んだり、侵害されたシステムに永続性を確立したりできます。GitLabは、VS Codeやその他のIDEで使用されているnode-pty.spawn()ライブラリを分析することにより、予防策を開発しました。彼らは、バックグラウンドタスクのために呼び出されるspawn-helperに基づいた検出を作成し、不審なアクティビティを特定しました。このアプローチは、よく使用されるcurl | bashコマンド実行のような非対話型プロセスに焦点を当てることで、誤検知を最小限に抑えます。GitLabはまた、タスク実行をグローバルに無効にするか、ユーザーにリスクについて教育することを推奨しています。この包括的なアプローチは、GitLabとその顧客をIDEベースの攻撃から保護するのに役立ちます。GitLabは、他の人々が高度な持続的脅威と戦うように鼓舞することを目指しています。
How to detect and prevent Contagious Interview IDE attacks about.gitlab.com
RSS Hunter RSS Hunter 5月4日

GitLab CI/CDとDuoで自動検出テストフレームワークを構築する

健全なセキュリティオペレーションセンターのアラートシステムには、誤検知の微調整以上のものが必要です。また、重要だがまれな検出が機能していることを確認する必要があります。GitLabのSignals Engineeringチームは、このギャップに対処するためにWATCH(Weekly Attack Testing for Continuous Health)と呼ばれるフレームワークを開発しました。WATCHは、インフラストラクチャ上で実際の悪意のある動作をシミュレートすることにより、セキュリティ検出の検証を自動化します。このプロセスは、ログソースからSIEM、セキュリティオーケストレーションまでのエンドツーエンドのアラートパイプラインを検証します。WATCHは、ステージング環境でスクリプト化された攻撃シミュレーションをスケジュールし、その後、期待されるアラートが監視スタックを通過することを検証することで機能します。テストが実行される前に、WATCHは期待される検出をSOARシステムに通知し、追跡可能なレコードを作成します。次に、シミュレートされた悪意のある動作が実行され、SIEMはログを処理して検出ルールをトリガーします。SOARに到着したアラートは、誤ったエスカレーションを防ぐために登録されたテストと相関されます。検証ステージは、すべての期待される検出がトリガーされたかどうかを確認し、検出ステータスメタデータを更新し、結果をGitLab Pagesダッシュボードにデプロイします。失敗はチームへの即時通知をトリガーします。WATCHは、GitLab CI/CDを使用して、スケジューリング、テスト実行、検証/レポートの3つのステージでオーケストレーションされます。このフレームワークは使いやすさを考慮して設計されており、チームメンバーは基本クラスをサブクラス化し、セットアップ、実行、クリーンアップ手順を定義することで、新しいテストを作成できます。期待される検出の設定、SIEMルール名を期待されるアラート到着時刻にマッピングすることは、重要な側面です。WATCHテストは、特定の悪意のある動作のプロンプトを提供することで、GitLab Duo(AIアシスタント)を使用して簡単にスキャフォールディングできます。これにより、新しいテストの作成の敷居が大幅に下がります。Duo Agent Skillsは、優れたテストプラクティスとヘルパー関数の詳細な概要を提供することで、一貫性をさらに向上させます。WATCHは、GitLab Pagesを介してデプロイされる2つのインタラクティブダッシュボードも提供し、検出の健全性に関するリアルタイムの可視性を提供します。1つのダッシュボードであるDetection Status Dashboardは、すべての検出ルールの現在のテストステータスを要約します。もう1つのDetection Test Results Dashboardは、個々のテスト結果の詳細な分析を提供します。この包括的なアプローチにより、セキュリティアラートシステムの信頼性と有効性が保証されます。
Build an automated detection testing framework with GitLab CI/CD and Duo about.gitlab.com
RSS Hunter RSS Hunter 4月30日

GitLabを使ってソフトウェア開発を簡単に教える方法

ソフトウェア開発のインストラクターは、課題の配布と効果的なフィードバックの提供に課題を抱えています。GitLab for Educationプログラムは、教育機関にGitLab Ultimateを無料で提供しています。ワシントン大学ボセル校のスティーブン・デイム氏は、GitLabを活用してコース教材と学生のフィードバックを効率的に管理しています。彼はGitLabのグループとサブグループを活用して、整理された階層構造を作成しています。この構造は、大学、コース、役割をモデル化し、特定の権限を適用しています。インストラクターは、学生とグレーダーのサブグループで教材へのアクセスを制御します。学生はSSHキーを使用して、プライベートリポジトリ内でコードにアクセスし、管理します。GitLabのREST APIは、Pythonスクリプトの例を使用して、サブグループの作成とメンバーシップを通じて、大規模な学生管理を自動化します。学生はマージリクエストを通じて課題を提出し、インラインコードコメントと文脈に沿ったフィードバックを容易にします。このワークフローは、プロフェッショナルなソフトウェア開発環境を模倣しており、学生に利益をもたらします。GitLab for Educationは、無制限のレビュー担当者や追加ストレージなどの貴重な機能を提供しています。インストラクターは、シンプルに始めて、徐々に利用を拡大することが推奨されます。
Teaching software development the easy way using GitLab about.gitlab.com
RSS Hunter RSS Hunter 4月29日

GitLabとAnthropic:エンタープライズ開発のための統制されたAI

企業と公共部門のリーダーは、AIの導入を加速させながら、厳格なセキュリティと規制遵守を維持するというジレンマに直面しています。GitLabは、AnthropicのClaudeモデルとの統合を自社のインテリジェントオーケストレーションプラットフォームに深く組み込むことで、この課題に対応しています。この統合により、GitLab Duo Agent Platform内でのすべてのAIインタラクションにおいて、ガバナンス、コンプライアンス、監査可能性が不可欠なものとして保証されます。Claudeは現在、コード生成やレビューから、エージェントチャット、脆弱性解決まで、さまざまなGitLab Duoの機能に力を与えています。GitLabの主な差別化要因は、ソフトウェア開発ライフサイクル全体にわたる組み込みのガバナンスコントロールと監査です。たとえば、AIが提案したコード変更は、人間が作成した変更と同様に、マージリクエスト、承認ルール、セキュリティスキャン、監査証跡を経由します。このアーキテクチャ上の決定は、AIが明確に定義されたタスクを自律的に処理するエージェント型ソフトウェア開発へとGitLabが移行するにつれて、ますます重要になります。さらに、ClaudeモデルはGoogle CloudのVertex AIとAWS Bedrockを通じてGitLab内で利用可能になり、既存のクラウドガバナンスフレームワークを活用することで、エンタープライズデプロイの柔軟性が向上します。GitLabはClaude Marketplaceでも利用可能であり、既存のAnthropicとの契約を持つ顧客の調達を簡素化します。この戦略は、堅牢なAIモデルと完全にガバナンスされた自律的なアクションのためのプラットフォームを必要とする、GitLabのエージェント型ソフトウェア開発のビジョンと一致しています。最終的に、GitLabの顧客は、確立されたガバナンスフレームワーク内で高度なAIアシスタンスを利用できるようになり、AI機能とエンタープライズコントロールのどちらかを選択する必要がなくなります。
GitLab and Anthropic: Governed AI for enterprise development about.gitlab.com
RSS Hunter RSS Hunter 4月28日

大規模なCI/CDのオブザーバビリティを構築する方法

CI/CDのパフォーマンス最適化は、パイプラインメトリクスの可視性を得るところから始まります。成功するエンタープライズDevOpsプラットフォームには、パイプラインのパフォーマンス、ジョブ実行パターン、および運用に関する洞察を理解することが不可欠です。GitLabは、生のメトリクスを実用的な洞察に変換するために、CI/CDオブザーバビリティソリューションを開発しました。ある金融サービス機関は、GitLabと提携して、コンテナ化されたオブザーバビリティソリューションを実装しました。このソリューションは、gitlab-ci-pipelines-exporterとPrometheusおよびGrafanaインフラストラクチャを組み合わせたものです。この実装は、組織が大規模なパイプラインを管理する上で直面していた課題に対応しました。このソリューションは、リアルタイムおよび履歴のCI/CDプラットフォームの可視化のためのGrafanaダッシュボードを提供します。主なダッシュボードには、パイプライン概要、ジョブパフォーマンス、Runner & インフラストラクチャ、およびデプロイ頻度があります。このソリューションには、2つのエクスポーターが必要です。CI/CDメトリクス用のパイプラインエクスポーターと、ホストレベルのメトリクス用のノードエクスポーターです。エンタープライズデプロイメントには、統合のためにコンポーネントを個別のデプロイメントとしてデプロイするKubernetesクラスターが推奨されます。この記事では、これらのコンポーネントのステップバイステップのKubernetesデプロイメントプロセスについて詳しく説明しており、セキュリティのためのネットワークポリシーも含まれています。また、エクスポーター、Prometheus、およびGrafanaの設定リファレンスと、収集される主要なメトリクスも提供しています。エンタープライズでの考慮事項には、トークンセキュリティ、ネットワークセグメンテーション、および認証統合が含まれます。GitLabのAPIファースト設計は、既存のインフラストラクチャと統合するカスタムオブザーバビリティソリューションを容易にします。
How to build CI/CD observability at scale about.gitlab.com
RSS Hunter RSS Hunter 4月28日

glab CLIを使って、あなたのAIエージェントに直接的で構造化されたGitLabへのアクセスを付与しましょう

GitLab CLI (glab) は、開発者向けの AI アシスタント統合を強化し、GitLab プロジェクトへの直接的なインターフェースを提供します。これにより、AI ツールは、課題の読み込み、マージリクエストのレビュー、パイプラインのより効果的な管理が可能になります。Model Context Protocol (MCP) により、AI エージェントは glab を介して GitLab に直接アクセスできます。glab を MCP と共に使用することで、手動でのデータのコピー&ペーストが不要になり、ワークフローが効率化されます。開発者は、glab の構造化された JSON 出力を活用して、AI による正確な情報抽出とターゲットを絞ったアクションを実行できます。「glab mr view」や「glab issue list」などのコマンドは、AI エージェントが処理するための構造化されたデータを提供します。さらに、glab は「glab api」を介して、エージェントに完全な GitLab REST および GraphQL API へのアクセスを提供し、機能を拡張します。この記事では、エージェント対応のヘルプテキストや、より機械可読性の高いエラーメッセージなど、継続的な改善が強調されています。開発者はフィードバックを提供し、より良い AI 統合の開発に貢献することが推奨されています。目標は、glab を AI ツールと GitLab プロジェクト間の最適な接続にすることです。
Give your AI agent direct, structured GitLab access with glab CLI about.gitlab.com
RSS Hunter RSS Hunter 4月27日

Omnibus-GitLab FIPSパッケージからcurlが19.0で削除されました

GitLabはOmnibus-GitLabバージョン19.0から、FIPSパッケージのcurl依存性の扱い方を変更しています。以前は、FIPSパッケージにはGitLabビルドのcurlバージョンが含まれていました。しかし、新しいcurlバージョンでは古いOpenSSLバージョンに対してコンパイルを非推奨化するため、この変更が必要とされています。その結果、FIPSパッケージは顧客のLinuxディストリビューションが提供するCurlバージョンを利用するようになりました。これは、FIPSパッケージに対してディストリビューションのOpenSSLを使用している既存の慣行を反映しています。この変更は、OpenSSLバージョンに関係なくすべてのFIPS顧客に影響します。GitLabセルフマネージドユーザー向けには、この移行は2026年5月21日の19.0リリースから行われます。顧客からの即時対応は不要です。彼らのGitLabインスタンスは引き続き動作します。つまり、GitLabはFIPSパッケージ内でcurl専用のセキュリティアップデートを提供しなくなることを意味します。顧客は今後、自社OSのcurlパッケージが更新されているか確認する責任があります。curlに関連するスキャナーの結果はホストOSパッケージを反映することになります。問題があれば、顧客はomnibus-gitlabの問題トラッカーで問題を開くべきです。
curl removed from Omnibus-GitLab FIPS packages in 19.0 about.gitlab.com
RSS Hunter RSS Hunter 4月24日

GitLab AI ハッカソン 2026:優勝者発表

AIがコードを書く能力は今や一般的になりましたが、計画、セキュリティ、コンプライアンス、デプロイメントにはまだギャップが残っています。これに対応するため、GitLabはDuo Agent Platformを立ち上げ、単に質問に答えるだけでなく、チームがより迅速に安全なソフトウェアをリリースできるよう支援するAIエージェントを開発者に呼びかけました。Google CloudとAnthropicが共同で後援したハッカソンは、2026年2月から3月にかけて開催され、約7,000人の開発者が参加し、600以上のエージェントとフローが作成されました。このコンペティションは、技術的な作業、デザイン、潜在的な影響、アイデアの質に焦点を当て、審査員は提出作品のレビューに多くの時間を費やしました。グランプリは、ベテランエンジニアの退職に伴う知識の損失に対処するために設計されたシステムであるLOREに授与されました。LOREは、組織の記録を管理し、視覚的なダッシュボードを提供する8つのエージェントを利用しています。Google Cloudのグランプリは、コードレビュー内でセキュリティ問題を自動的に特定し修正するエージェントであるGitdefenderに贈られました。Anthropicのグランプリ受賞者は、コードの関係をマッピングし、時間の経過に伴うシステム変更を可視化し、変更の影響に関する洞察を提供するGraphDevでした。その他の注目すべきプロジェクトには、技術的に印象的なデータベース移行を行うTime-Traveler、AIが生成したセキュリティレポートを検証するRedAgent、使いやすさと洗練されたユーザーエクスペリエンスを提供するLaunch Controlなどがありました。ハッカソンでは、持続可能性も重視され、ソフトウェア開発のカーボンフットプリントを測定し削減するプロジェクトがいくつか表彰されました。セキュリティ脆弱性テストを行うSecurityMonkeyや、モバイルファーストのCI/CD管理を行うstregentなどのプロジェクトも、特別賞を受賞しました。ハッカソンの成功は、AIエージェントで現実世界の問題を解決しようとするコミュニティの意欲を浮き彫りにし、より豊かなローカルコンテキストを備えた今後の開発への道を開きました。開発者は、独自のエージェントを構築し、既存のAIカタログを探索することが推奨されています。
GitLab AI Hackathon 2026: Meet the winners about.gitlab.com
RSS Hunter RSS Hunter 4月22日

GitLab + Amazon: 信頼できるAI基盤によるプラットフォームオーケストレーション

GitLabとAmazon Bedrockは、AIをソフトウェア開発ライフサイクルに統合したいチーム向けのソリューションを提供します。GitLab Duo Agent Platformは、GitLab内で計画、セキュリティ、修復のためのAIを活用したワークフローをオーケストレーションします。GitLab AI Gatewayは、モデル呼び出しをAmazon Bedrockにルーティングし、ユーザーのAWS環境内で安全でコンプライアントなAI推論を保証します。この統合は、断片的なAI利用、データセキュリティへの懸念、そして十分に活用されていないBedrockへの投資といった課題に対応します。デプロイオプションとしては、GitLabがBedrockモデルを管理するか、AWS内で自己ホストするかを選択できます。主な利点としては、標準化されたAIガバナンス、合理化されたワークフロー、そして既存のAWSコミットメントとの整合性が挙げられます。セキュリティワークフローは、自動化されたセキュリティ発見と修正提案から恩恵を受けます。このアプローチは、シャドーAIや個別のAI技術スタックを回避し、一貫したガバナンスと効率的なクラウド支出を促進します。GitLab Duo Agent PlatformとAmazon Bedrockは、ツールやデータフローを断片化することなく、スケーラブルなAI導入を可能にします。組織は、既存のAWS環境内でAI利用、データパス、コンプライアンスを制御できるようになります。プラットフォームチームはモデルを標準化し、ガードレールを適用でき、開発チームはGitLab内のAIを活用したワークフローから恩恵を受けます。
GitLab + Amazon: Platform orchestration on a trusted AI foundation about.gitlab.com
RSS Hunter RSS Hunter 4月21日

Git 2.54.0の新機能は何ですか?

Git 2.54.0はプラグイン可能なオブジェクトデータベースを導入し、現在のハードコーディングされたものを超えた代替のストレージ形式を可能にする重要なアーキテクチャ変更を導入しました。この取り組みは約2年、数百回のコミットを経て、大規模なバイナリファイルの処理効率を向上させ、GitLabのようなプラットフォーム向けにカスタム最適化を可能にすることを目的としています。もう一つの重要な特徴は、コミット履歴の編集を簡単にするために設計された新しいgit-historyコマンドです。呪術などのツールに触発され、「リワード」や「スプリット」といった直感的なサブコマンドを提供し、今後さらに編集機能も追加する予定です。重要なのは、このコマンドが依存する分岐を自動的にリベースし、スタックされた差分のサポートを強化することです。Git 2.54.0は「git repo structure」コマンドを拡張し、以前のバージョンを基にリポジトリの指標を包括的に概観できるようにしています。この新機能には、型別に最大のオブジェクトを表示することが含まれ、git-sizerのような外部ツールのネイティブな代替手段となっています。この強化により、ユーザーはリポジトリのパフォーマンスをよりよく理解し管理できるようになります。また、このリリースでは「git-maintenance(1)」を用いた新しいタスクベースのリポジトリメンテナンスシステムへの移行も継続されています。この現代的なアーキテクチャは、従来のモノリシックな「git-gc(1)」ツールに比べて、ハウスキーピング作業に対してより高い柔軟性と制御を提供します。目標は「git-gc(1)」との機能の同等性を実現しつつ、より細かなユーザー設定を可能にすることです。これらのアップデートは総じて、Gitの拡張性、使いやすさ、保守性における大幅な進歩を示しています。
What’s new in Git 2.54.0? about.gitlab.com
RSS Hunter RSS Hunter 4月20日

GitHub Copilotの新しいAIトレーニングポリシーは、ガバナンスに対する警鐘だ

GitHubの今後のポリシー変更により、ユーザーは、自身のインタラクションデータがAIモデルのトレーニングに使用されることを積極的にオプトアウトする必要があります。これは、Copilot Free、Pro、およびPro+のユーザーに適用され、2026年4月24日から開始されます。この変更は、金融、ヘルスケア、防衛、公共部門などの規制産業に大きな影響を与え、知的財産とコンプライアンスに関する懸念を引き起こしています。ソースコードには、機密性の高い独自の情報が含まれていることが多く、AIトレーニングでの使用には、ベンダーのデータ慣行について慎重な検討が必要です。金融機関は、SR 11-7やDORAなどの規制の下で精査され、サードパーティプロバイダーの監督が求められます。同様に、公共部門とヘルスケア機関は、NIST 800-53、FISMA、HIPAAなどの厳格なデータ境界とプライバシー法を遵守する必要があります。GitHubのようなベンダーのポリシー変更によって導入される制御不能な変数は、コンプライアンスリスクを生み出します。規制対象の組織は、AIツールを採用する際に、契約上の確実性、監査可能性、およびベンダーのインセンティブからの分離を必要とします。GitLabは、あらゆるティアにおいて、顧客のコードをAIモデルのトレーニングに使用することを契約で禁止することにより、この問題に対する解決策を提供しています。彼らのAI透明性センターは、データ処理、モデルの使用、およびサブプロセッサに関する監査可能なドキュメントを提供しています。このコミットメントは、顧客データがベンダーのインセンティブから分離されたままであることを保証し、知的財産の露出を軽減します。GitLabのクラウドニュートラルでモデルニュートラルな姿勢は、規制対象の組織に対するベンダー集中リスクをさらに軽減します。最終的に、規制産業は、データ使用とセキュリティに関して、明確で文書化され、監査可能な回答を提供できるAIベンダーを必要としています。
GitHub Copilot's new policy for AI training is a governance wake-up call about.gitlab.com
RSS Hunter RSS Hunter 4月20日