GitLab / database-design

Prepare your pipeline for AI-discovered zero-days (새 탭에서 열림)

AI는 이제 수십 년간 발견되지 않은 제로데이 취약점을 순식간에 찾아내고 공격 도구화하고 있으며, 이에 따라 기존의 수동적인 보안 대응 방식은 한계에 직면했습니다. 기업은 보안 통제를 개발 파이프라인(CI/CD)에 완전히 통합하고 AI 기반의 자동화된 탐지, 분류 및 복구 체계를 구축함으로써 공격과 방어 사이의 시간 간극을 좁혀야 합니다. **기존 취약점 관리의 한계와 AI 코드의 위험성** * 대부분의 보안 침해는 이미 패치가 존재함에도 적시에 조치하지 못한 '알려진 취약점'에서 발생하며, 취약점 조치에 걸리는 중앙값은 약 361일에 달할 정도로 대응이 느립니다. * AI 보조 도구(AI Coding Assistant)의 확산으로 인해 코드 생산량이 늘어남과 동시에, AI가 생성한 코드 내 보안 결함 또한 6개월 만에 10배 이상 급증했습니다. * AI는 패키지 이름을 환각(Hallucination)하거나 보안에 취약한 패턴을 복제하는 등 새로운 유형의 취약점을 양산하며 보안 팀의 검토 부담을 가중시키고 있습니다. **AI 속도에 맞춘 파이프라인 보안 전략** * **변경 시점의 정책 강제:** 보안 검토를 별도의 과정으로 두지 않고, 모든 코드 병합 요청(MR) 단계에서 보안 정책이 자동으로 실행되고 강제되도록 파이프라인을 설계해야 합니다. * **IDE 단계의 조기 차단:** 하드코딩된 비밀정보나 취약한 임포트 등 단순한 문제는 개발자가 코드를 푸시하기 전 IDE 단계에서 즉시 식별하여 피드백을 제공해야 합니다. * **자동화된 취약점 분류(Triage):** AI를 활용해 수많은 스캔 결과 중 실제 공격 도달 가능성(Reachability)과 위험도가 높은 항목을 선별함으로써 개발자의 불필요한 피로도를 줄여야 합니다. * **거버넌스 기반의 AI 복구:** AI가 제안한 수정안도 인간이 작성한 코드와 동일하게 자동 스캔, 승인 절차, 감사 추적(Audit Trail) 시스템을 거치도록 관리하여 신뢰성을 확보합니다. **지능형 파이프라인의 실무 대응 시나리오** * 새로운 제로데이 취약점이 발견되면 AI 보안 에이전트가 전사 리포지토리를 즉시 검색하여 해당 패키지의 사용 여부와 실제 노출 위험을 분 단위로 파악합니다. * 보안 엔지니어는 AI를 통해 영향받는 모든 프로젝트에 대한 복구 캠페인을 시작하며, AI가 제안한 패치가 테스트를 통과하지 못할 경우 AI가 스스로 코드를 수정하여 재시도합니다. * 모든 대응 과정은 자동으로 기록되어 사후 감사 시 스캔 결과, 적용 정책, 승인자 정보를 포함한 보고서로 즉각 출력됩니다. **실용적인 제언** 공격자들이 AI를 고도화하기 전, 조직은 다음 질문을 통해 파이프라인을 점검해야 합니다. 모든 병합 요청(MR)에서 보안 스캔이 강제로 실행되고 있는가? 취약점이 발견되었을 때 여러 도구를 거치느라 대응 시간이 지체되고 있지는 않은가? 지금 바로 파이프라인 내의 보안 파편화를 제거하고 통합된 자동화 체계를 구축하는 것이 미래의 AI 기반 공격을 막는 핵심입니다.

A guide to the breaking changes in GitLab 19.0 (새 탭에서 열림)

GitLab 19.0은 이전 메이저 업데이트 대비 파괴적 변경 사항(Breaking Changes)의 수를 대폭 줄여 안정성을 높이는 한편, 최신 보안 표준과 현대적인 인프라 기술로의 전환을 가속화합니다. 이번 릴리스는 NGINX Ingress의 대체, PostgreSQL 최소 요구 버전 상향, 보안상 취약한 인증 방식 제거 등 시스템 운영의 핵심적인 변화를 포함하고 있어 사용자들의 철저한 사전 준비가 필요합니다. 각 배포 유형에 따라 2026년 5월부터 순차적으로 적용될 예정이므로, 운영 환경의 호환성을 미리 점검하고 마이그레이션을 계획해야 합니다. ### 배포 유형별 업데이트 일정 * **GitLab.com (SaaS):** 2026년 5월 4일~6일 사이에 주요 변경 사항이 적용되며, 5월 11일~13일이 예비 기간으로 설정되었습니다. * **Self-Managed:** 2026년 5월 21일부터 공식적으로 19.0 버전을 사용할 수 있습니다. * **GitLab Dedicated:** 배포판 관리 정책에 따라 2026년 6월 22일 주간의 유지보수 창 내에 업데이트가 진행됩니다. ### 인프라 및 네트워킹 구성의 변화 * **Gateway API 및 Envoy 전환:** NGINX Ingress가 2026년 3월 종료됨에 따라, GitLab Helm 차트의 기본 네트워킹 구성이 Envoy Gateway 기반의 Gateway API로 변경됩니다. 기존 NGINX 사용자는 20.0 버전 전까지 수동으로 활성화하여 유지할 수 있으나 조속한 마이그레이션이 권장됩니다. * **내장형 컴포넌트 제거:** 테스트 및 PoC 용도로 제공되던 Helm 차트 내 번들 PostgreSQL, Redis, MinIO가 라이선스 및 유지보수 이슈로 인해 완전히 제거됩니다. 해당 서비스를 사용하는 환경은 반드시 외부 서비스로 전환해야 합니다. * **OS 지원 종료:** Ubuntu 20.04의 표준 지원 종료에 맞춰 해당 OS용 리눅스 패키지 제공이 중단됩니다. 19.0 업그레이드 전 Ubuntu 22.04 이상의 지원 버전으로 OS를 교체해야 합니다. ### 데이터베이스 및 미들웨어 요구사항 강화 * **PostgreSQL 17 필수화:** PostgreSQL 16 지원이 중단되고 17 버전이 최소 요구 사항이 됩니다. 리눅스 패키지 사용자는 18.11 버전에서 자동 업그레이드가 시도될 수 있으며, 클러스터 사용자는 수동 업그레이드가 필수입니다. * **Redis 및 Valkey 지원:** Redis 6 지원이 종료됩니다. 외부 Redis 운영 환경은 Redis 7.2 또는 새롭게 지원되는 Valkey 7.2로 마이그레이션해야 합니다. (AWS, GCP 등 클라우드 매니지드 서비스 포함) ### 보안 및 빌드 환경 업데이트 * **ROPC OAuth 흐름 제거:** 보안상 결함이 있는 리소스 소유자 비밀번호 자격 증명(ROPC) 방식이 OAuth 2.1 표준에 따라 완전히 제거됩니다. 이를 사용하는 앱이나 통합 서비스는 Authorization Code flow 등 보안이 강화된 방식으로 수정해야 합니다. * **Auto DevOps 빌더 업데이트:** 클라우드 네이티브 빌드팩(CNB) 이미지가 heroku/builder:22에서 24 버전으로 업데이트됩니다. 이를 통해 최신 런타임 환경을 지원하며 관련 파이프라인의 빌드 방식이 변경될 수 있습니다. 성공적인 GitLab 19.0 전환을 위해 Self-Managed 운영자는 18.x 버전대에서 제공되는 PostgreSQL 17 마이그레이션 도구를 미리 활용하고, Helm 차트 사용자는 Gateway API로의 네트워크 인프라 전환 계획을 우선적으로 수립할 것을 권장합니다.

GitLab and Vertex AI on Google Cloud: Advancing agentic development (새 탭에서 열림)

GitLab과 Google Cloud는 GitLab Duo Agent Platform과 Vertex AI를 결합하여 소프트웨어 개발 생명주기(SDLC) 전반에 걸친 '에이전틱(Agentic) AI' 워크플로우를 본격화하고 있습니다. 이 협업은 단순한 코드 생성을 넘어 기획, 리뷰, 보안 취약점 해결까지 자동화하며, 개발팀이 기존에 정의된 Google Cloud 보안 포스처 내에서 최신 파운데이션 모델을 안전하게 활용하도록 지원합니다. 결과적으로 기업은 복잡한 AI 인프라 관리 부담 없이 통합된 DevSecOps 제어 평면 위에서 소프트웨어 전달 속도를 획기적으로 높일 수 있습니다. ## SDLC 전반을 아우르는 지능형 에이전트의 역할 단일 작업에 집중하는 기존 AI 코딩 어시스턴트와 달리, GitLab Duo Agent Platform은 전체 소프트웨어 개발 프로세스를 유기적으로 연결합니다. * **통합된 컨텍스트 활용:** 백로그, 머지 리퀘스트(MR), 파이프라인 상태, 보안 결과 등 GitLab에 축적된 SDLC 데이터를 직접 참조하여 맥락에 맞는 의사결정을 내립니다. * **특화된 에이전트 협업:** 백로그를 분석하고 에픽을 구조화된 작업으로 나누는 'Planner Agent'와 보안 취약점을 우선순위별로 분류하고 해결책을 제시하는 'Security Analyst Agent'가 협업합니다. * **에이전틱 채팅(Agentic Chat):** 개발자는 자연어 쿼리를 통해 프로젝트의 전체 상태를 기반으로 한 다단계 추론 답변을 얻을 수 있으며, 이는 파편화된 도구를 사용할 때 발생하는 수동 핸드오프 문제를 해결합니다. ## Vertex AI 기반의 모델 유연성과 확장성 GitLab Duo는 모델 유연성을 핵심 설계 원칙으로 하며, Google Cloud의 Vertex AI를 통해 고성능 모델과 인프라를 제공받습니다. * **Vertex AI Model Garden 연동:** Gemini 모델뿐만 아니라 Model Garden에서 제공하는 다양한 써드파티 및 오픈소스 모델을 선택하여 성능, 비용, 규제 요건에 최적화된 모델을 사용할 수 있습니다. * **추론 성능 및 컨텍스트 확장:** 최신 Vertex AI 모델의 긴 컨텍스트 윈도우와 강화된 도구 사용(Tool Use) 능력을 통해 대규모 모노레포 보안 리뷰나 복잡한 백로그 분석과 같은 고난도 작업을 수행합니다. * **자체 모델 도입(BYOM):** GitLab 18.9부터 지원되는 BYOM 기능을 통해 고객은 승인된 프로바이더와 게이트웨이를 직접 구성하여 기업 고유의 보안 모델 내에서 AI 에이전트를 운영할 수 있습니다. ## 기업용 거버넌스와 클라우드 경제성 확보 Google Cloud 환경에서 GitLab Duo를 사용하는 기업은 보안 관리와 비용 최적화 측면에서 강력한 이점을 얻습니다. * **표준화된 AI 제어 평면:** 여러 개의 개별 AI 도구를 관리하는 대신, Vertex AI 기반의 모델들을 GitLab 내부에서 통합 관리함으로써 섀도우 AI(Shadow AI) 발생을 억제하고 보안 정책을 일관되게 적용합니다. * **데이터 프라이버시 보호:** Google Cloud의 업계 선도적인 데이터 프라이버시 및 모델 보호 기술을 그대로 활용하여 기업의 민감한 코드가 안전하게 처리되도록 보장합니다. * **운영 효율성 강화:** 개발자가 보안 취약점 수정 제안을 확인하고 검증하는 과정을 동일한 플랫폼 내에서 처리함으로써 컨텍스트 스위칭을 줄이고, 기존 Google Cloud 계약 범위 내에서 AI 사용량을 통합 관리하여 중복 지출을 방지합니다. GitLab과 Vertex AI의 통합은 AI 인프라의 복잡성을 제거하고 개발팀이 본연의 업무인 코드 작성에만 집중할 수 있는 환경을 제공합니다. 기업은 파편화된 AI 도구 체인을 관리하는 위험에서 벗어나, 검증된 단일 시스템 오브 레코드(System of Record) 내에서 안전하고 빠르게 혁신을 가속화할 수 있습니다.

GitLab named a 2026 Omdia Universe Leader (새 탭에서 열림)

GitLab이 2026년 옴디아 유니버스(Omdia Universe) AI 지원 소프트웨어 개발 부문에서 리더로 선정되며, 전체 소프트웨어 개발 수명 주기(SDLC)를 아우르는 독보적인 기술력을 입증했습니다. 이번 평가는 단순한 코드 생성을 넘어 테스트, 보안, 배포 및 오케스트레이션 능력을 중점적으로 다뤘으며, GitLab은 솔루션 광범위성(100%)과 전략적 혁신성(88%) 등 주요 항목에서 최고 점수를 기록했습니다. 결과적으로 GitLab은 AI 도입이 단순한 개발 속도 향상을 넘어 실제 비즈니스 가치 창출과 운영 효율성으로 이어질 수 있음을 보여주었습니다. ### SDLC 전반을 아우르는 솔루션의 확장성 * GitLab은 '솔루션 광범위성' 항목에서 100% 점수를 획득하며, 계획 및 요구사항 관리부터 배포 및 이슈 해결까지 SDLC 전 단계를 단일 플랫폼에서 지원합니다. * 플래너 에이전트(Planner Agent)와 보안 분석 에이전트(Security Analyst Agent)를 통해 개발 지연이 빈번한 스프린트 계획 및 취약점 분석 단계까지 AI 지원을 확장했습니다. * 단순 코드 생성을 넘어 테스트, 보안 검토, 배포 단계를 통합함으로써 코딩 단계의 가속화가 병목 현상 없이 전체 인도 속도 향상으로 이어지도록 설계되었습니다. ### 에이전트 기반 AI와 전략적 혁신 * Anthropic, Google, AWS와의 파트너십을 통한 멀티 모델 지원을 제공하여, 사용자가 워크로드와 데이터 요구사항에 최적화된 모델을 선택할 수 있습니다. * 에이전트가 이슈, 머지 리퀘스트(MR), 파이프라인, 보안 결과물 간의 문맥을 잃지 않고 협업하는 '통합 문맥(Unified Context)' 아키텍처를 구축했습니다. * 2026년 평가의 핵심 지표인 '에이전틱 AI(Agentic AI)' 역량에서 자율적인 작업 조정 및 전문 에이전트 간의 핸드오프 오케스트레이션 능력을 인정받았습니다. ### 엔터프라이즈 환경을 위한 보안 및 실행력 * 고객의 비공개 데이터를 학습에 사용하지 않는 프라이버시 우선 아키텍처를 통해 엔터프라이즈 급 보안을 보장합니다. * SOC 2, ISO 27001 인증 및 폐쇄망(Air-gapped) 환경 지원, 자체 호스팅 AI 모델 지원 등을 통해 규제가 엄격한 산업군의 요구사항을 충족합니다. * AI 영향력 대시보드(AI Impact Dashboard)를 통해 사이클 타임, 배포 빈도 등 AI가 실제 생산성에 미치는 영향을 지표로 시각화하여 제공합니다. ### 개발자와 AI 에이전트의 역할 변화 * 개발팀의 역할은 이제 직접 코드를 작성하는 것에서 AI 에이전트를 감독하고 기술적 요구사항 및 보안 가드레일을 적용하는 방향으로 진화하고 있습니다. * 단순히 코드 생성 속도에만 집중하는 조직은 배포와 테스트 단계에서 병목 현상을 겪게 되므로, 전체 수명 주기를 관리할 수 있는 플랫폼 도입이 필수적입니다. * GitLab은 보안과 운영이 통합된 환경을 제공함으로써, AI가 생성한 코드가 고품질과 성능을 유지하며 즉시 생산 환경에 반영될 수 있는 혁신 속도를 지원합니다.

Pipeline security lessons from March supply chain incidents (새 탭에서 열림)

최근 발생한 일련의 공급망 공격 사례들은 CI/CD 파이프라인이 현대 소프트웨어 보안의 가장 취약한 고리이자 정교한 위협 행위자들의 핵심 타겟임을 보여줍니다. 이 글은 Trivy, axios 등 주요 오픈소스 도구의 침해 사례를 통해 파이프라인의 내재적 위험을 분석하고, GitLab의 '파이프라인 실행 정책(PEP)'을 활용하여 이러한 공격 패턴을 사전에 차단하고 탐지하는 구체적인 방안을 제시합니다. ## 3월 공급망 공격 사례와 파급력 * **Trivy 및 Checkmarx KICS 침해:** 보안 스캐너 자체가 공격 경로가 되어 CI/CD 환경 변수, 클라우드 토큰, SSH 키 등 민감한 자격 증명을 탈취하는 악성 코드가 삽입되었습니다. * **LiteLLM 백도어 배포:** 침해된 Trivy를 통해 유출된 자격 증명을 사용하여 PyPI에 백도어가 포함된 버전을 게시했으며, 이는 설치 시 즉시 실행되어 데이터를 외부로 유출했습니다. * **AI 코딩 어시스턴트 소스 코드 유출:** 패키징 설정 오류(.npmignore 미비)로 인해 59.8MB에 달하는 전체 소스 코드가 포함된 소스 맵 파일이 공용 npm 저장소에 노출되었습니다. * **axios 트로이목마 주입:** 메인테이너 계정 탈취를 통해 원격 제어 트로이목마(RAT)를 배포하는 악성 종속성이 주입되어 수백만 명의 사용자에게 영향을 미쳤습니다. ## 공급망 공격의 주요 패턴 * **도구 및 액션의 오염:** 파이프라인 내에서 실행되는 보안 도구를 무비판적으로 신뢰하는 점을 악용하며, 가변적인 버전 태그(Tag)를 통해 악성 코드가 주입됩니다. * **패키징 구성 오류:** 빌드 과정에서의 설정 실수로 디버깅 아티팩트나 내부 설정 파일이 운영 패키지에 포함되어 지적 재산권(IP)이 유출되는 경로가 됩니다. * **전이적 종속성 취약점:** 직접적인 종속성뿐만 아니라 하위 종속성 트리에 악성 코드를 심어 전체 빌드 인프라로 위협을 확산시킵니다. ## GitLab 파이프라인 실행 정책(PEP)을 통한 방어 * **강제적 보안 작업 주입:** 개발자가 정의한 `.gitlab-ci.yml` 설정과 관계없이, 조직 전체의 파이프라인에 보안 작업을 강제로 삽입하며 이는 개발자가 임의로 건너뛸 수 없습니다. * **패키징 검증 자동화:** 패키지 배포 전 단계에서 소스 맵, 내부 설정 파일(.env), 소름 돋는 대용량 파일 등 예기치 않은 파일의 포함 여부를 허용 목록과 대조하여 차단합니다. * **불변 식별자 사용 강제:** 도구 및 액션 사용 시 가변적인 태그 대신 불변의 커밋 SHA 또는 이미지 디지스트(Digest) 사용을 강제하여 태그 오염 공격을 방어합니다. * **종속성 드리프트 감지:** 락파일(lockfile)의 상태를 비교하여 예상치 못한 신규 종속성이나 버전 변경이 감지될 경우 빌드를 중단하고 보안 팀에 알림을 보냅니다. 조직의 보안을 개별 프로젝트의 설정에 의존하는 것은 위험합니다. 중앙 집중식 파이프라인 실행 정책을 통해 보안 검사를 표준화하고 강제함으로써, 신뢰 기반의 공급망 공격으로부터 인프라와 지적 재산권을 효과적으로 보호할 수 있습니다.

GitLab 18.10: Agentic AI now open to even more teams on GitLab (새 탭에서 열림)

GitLab 18.10 업데이트를 통해 GitLab.com의 Free 티어 팀도 구독 등급을 업그레이드할 필요 없이 'GitLab Credits'를 구매하여 에이전트 기반 AI(Agentic AI) 기능을 즉시 사용할 수 있게 되었습니다. 이제 팀 규모나 구독 요금제에 구애받지 않고 사용한 만큼만 비용을 지불하는 방식으로 고성능 AI 에이전트와 워크플로우를 도입할 수 있습니다. 이를 통해 중소규모 팀도 자동화된 코드 리뷰, 기획 지원, 파이프라인 진단 등 고급 개발 도구를 활용하여 소프트웨어 개발 속도를 획기적으로 높일 수 있는 길이 열렸습니다. ### GitLab Credits를 통한 AI 접근성 확대 * **사용량 기반 과금 모델:** 사용자당 비용을 지불하는 대신, AI가 수행한 작업량에 따라 비용을 지불하는 공유 크레딧 풀 방식을 도입했습니다. * **즉각적인 도입:** 별도의 유료 요금제 업그레이드 없이 그룹 빌링 설정에서 월 단위 크레딧을 구매하는 것만으로 GitLab Duo Agent Platform 기능을 바로 사용할 수 있습니다. * **투명한 대시보드:** 관리자는 어떤 AI 에이전트와 흐름이 크레딧을 소비하고 있는지 실시간으로 모니터링하여 AI 투입 비용 대비 생산성을 직접 확인 가능합니다. ### 효율적인 개발을 돕는 주요 AI 워크플로우 * **Planner Agent:** 자연어로 요구사항을 설명하면 이를 구조화된 이슈(Issue)로 변환하고, 레이블 지정 및 관계 설정을 자동화하여 기획 시간을 단축합니다. * **Developer Flow:** 이슈의 맥락을 읽고 코드를 생성하며, 테스트 실행 후 병합 요청(Merge Request) 생성까지의 과정을 에이전트가 주도합니다. * **Code Review Flow:** 코드 변경 사항과 리포지토리 맥락을 분석하여 구조화된 인라인 피드백을 제공함으로써 인간 리뷰어의 피로도를 낮춥니다. * **Fix CI/CD Pipeline Flow:** 파이프라인 실패 로그를 분석하여 근본 원인을 추적하고 수정 사항을 제안하여 수동 디버깅 시간을 줄여줍니다. ### 코드 리뷰 비용의 예측 가능성 확보 * **정액제 적용:** 코드 리뷰 흐름은 병합 요청의 크기나 리포지토리의 복잡도에 상관없이 리뷰당 0.25 크레딧(1크레딧당 4회 리뷰 가능)의 고정 비용이 발생합니다. * **병목 현상 해소:** 수백 개의 코드 리뷰를 동시에 처리할 수 있어 리뷰 대기 시간을 없애고 전체 개발 사이클을 가속화합니다. * **비용 효율성:** 수동 리뷰 시 발생하는 시간 소모와 컨텍스트 스위칭 비용을 고려할 때, 규모가 커질수록 자동화된 코드 리뷰의 경제적 가치가 커집니다. ### Premium 요금제로의 확장 가치 * **번들 크레딧 제공:** GitLab Premium 사용자는 사용자당 월 12크레딧을 프로모션 혜택으로 제공받아 추가 비용 없이 대량의 AI 워크플로우를 운영할 수 있습니다. * **통합 개발 환경:** AI 기능 외에도 고성능 CI/CD, 병합 승인 프로세스(Merge Approvals), 코드 오너(Code Owners) 등의 거버넌스 기능을 함께 활용할 수 있습니다. * **확장성:** Free 티어에서 크레딧을 사용하며 AI의 효용성을 확인한 팀은 번들 크레딧과 고급 기능이 포함된 Premium 요금제로 자연스럽게 전환하여 운영 효율을 극대화할 수 있습니다. 소규모 팀이라면 우선 Free 티어에서 소량의 크레딧을 구매하여 자동 코드 리뷰와 기획 에이전트의 성능을 테스트해 보길 추천합니다. AI 도구가 팀의 핵심 워크플로우로 자리 잡고 리뷰량이 월 수백 건 이상으로 늘어난다면, 기본 크레딧이 포함된 Premium 요금제로 전환하는 것이 비용과 기능 측면에서 가장 합리적인 선택이 될 것입니다.

How GitLab built a security control framework from scratch (새 탭에서 열림)

GitLab의 보안 컴플라이언스 팀은 기존의 범용 보안 제어 프레임워크가 자사의 클라우드 네이티브 환경과 다각화된 제품군에 최적화되어 있지 않다는 점을 발견하고, 이를 해결하기 위해 자체적인 'GitLab 제어 프레임워크(GCF)'를 구축했습니다. GCF는 복잡한 인증 요구사항을 통합 관리하면서도 개별 제품의 특성을 반영할 수 있도록 설계되어, 불필요한 보안 규제를 줄이고 실질적인 보안 운영 효율을 높이는 데 기여하고 있습니다. 결과적으로 이러한 맞춤형 프레임워크는 조직이 확장됨에 따라 늘어나는 다양한 외부 인증(SOC 2, ISO, FedRAMP 등)에 유연하고 빠르게 대응할 수 있는 기반이 되었습니다. ### 기존 프레임워크의 한계와 맞춤형 프레임워크의 필요성 * NIST SP 800-53과 같은 범용 프레임워크는 1,000개 이상의 방대한 제어 항목을 포함하지만, 모든 항목이 GitLab의 클라우드 환경에 필수적인 것은 아니었습니다. * 범용 항목은 세분성(Granularity)이 부족하여 실무 적용에 어려움이 있었습니다. 예를 들어 NIST의 '계정 관리(AC-2)'는 계정 생성, 수정, 삭제, 모니터링 등 성격이 다른 6개 이상의 활동을 하나로 묶어 관리하므로 책임 소재와 테스트 절차가 불명확해지는 문제가 발생합니다. * 불필요하거나 과도하게 제한적인 제어 항목은 실무자들이 보안 절차를 우회하도록 유도하여 오히려 전체적인 보안 수준을 저하시킬 위험이 있습니다. ### GitLab 제어 프레임워크(GCF) 구축 단계 * **요구사항 분석 및 벤치마킹**: SOC 2, ISO 시리즈, PCI DSS, FedRAMP 등 현재와 미래의 모든 인증 요구사항을 매핑하여 베이스라인을 설정하고, NIST CSF나 Adobe/Cisco의 CCF 같은 선진 사례를 참고하여 구조적 누락을 방지했습니다. * **도메인 및 계층 구조 설계**: GitLab의 실제 보안 운영 조직과 일치하도록 18개의 커스텀 도메인을 정의하고, '무엇을 구현해야 하는가(Level 1)'와 '제품별로 어떻게 구현했는가(Level 2)'를 분리하여 설계했습니다. * **상세 메타데이터 통합**: 단순한 제어 항목 설명을 넘어 소유자(Owner), 적용 환경, 대상 자산, 수행 빈도, 자동화 수준(Nature), 테스트 세부 정보 등의 구체적인 데이터를 각 항목에 결합했습니다. ### 멀티 제품 환경을 위한 계층적 제어 구조 * GitLab.com(멀티테넌트 SaaS), GitLab Dedicated(단일 테넌트), 정부용 Dedicated 등 각 제품군이 서로 다른 인프라(GCP, AWS)와 감사 요구사항을 가지므로, 이를 개별 프레임워크로 관리하는 대신 계층화된 구조를 도입했습니다. * 조직 전체에 공통으로 적용되는 '엔티티 제어(Entity Controls)'는 모든 제품이 상속받고, 제품별 고유한 구현 방식은 하위 계층(Level 2)에서 별도로 캡처하여 관리 중복을 최소화했습니다. * 이러한 구조 덕분에 특정 팀이 소유한 항목이나 자동화가 가능한 수동 프로세스를 즉각적으로 필터링하여 파악할 수 있는 '운영 가능한 인벤토리'를 구축하게 되었습니다. ### 지속 가능한 확장 및 성숙도 확보 * 새로운 국가적 인증(ISMAP, IRAP 등)을 추진할 때, GCF에 이미 구축된 데이터와 비교하여 격차(Gap)를 신속하게 식별하고 필요한 제어 항목만 추가하는 방식으로 대응 속도를 높였습니다. * 제어 항목의 성숙도를 정기적으로 평가하고 자동화 비중을 높임으로써, 컴플라이언스 업무가 단순히 감사를 준비하는 행위에 그치지 않고 지속적인 보안 강화 프로세스로 작동하도록 유도합니다. 성공적인 보안 컴플라이언스 프로그램을 운영하기 위해서는 표준 프레임워크를 맹목적으로 따르기보다 조직의 비즈니스 구조와 운영 방식에 맞게 재설계하는 과정이 필요합니다. GitLab처럼 제어 항목의 '요구사항'과 '구현 방식'을 분리하고 상세한 운영 컨텍스트를 메타데이터로 관리한다면, 복잡한 멀티 인증 환경에서도 일관성 있고 효율적인 보안 체계를 유지할 수 있습니다.

10 AI prompts to speed your team’s software delivery (새 탭에서 열림)

소프트웨어 개발 과정에서 코딩이 차지하는 비중은 전체의 20%에 불과하며, 나머지 80%에 해당하는 코드 리뷰, 보안 검사, 문서화 작업 등이 실제 배포 속도를 늦추는 주요 병목 구간이 되고 있습니다. 개별 개발자의 코딩 속도를 높이는 것을 넘어 팀 전체의 배포 주기를 단축하기 위해서는 소프트웨어 개발 수명 주기(SDLC) 전반에 AI 프롬프트를 전략적으로 적용해야 합니다. 이를 통해 반복적인 조정 비용을 줄이고 보안과 품질을 유지하면서도 더 빠르게 가치를 전달할 수 있는 협업 환경을 구축할 수 있습니다. ### 효율적인 코드 리뷰와 병목 해소 * **논리적 오류 및 에지 케이스 점검:** 단순한 문법 검사를 넘어 AI가 코드의 의도를 파악하고 논리적 버그나 예외 상황을 검토하게 함으로써, 인간 리뷰어의 부담을 줄이고 리뷰 주기를 단축합니다. * **파괴적 변경(Breaking Changes) 식별:** API 서명 변경, 데이터베이스 스키마 수정, 공용 메서드 이름 변경 등 배포 시 장애를 유발할 수 있는 요소를 미리 감지하여 장애 대응 비용을 최소화합니다. ### 보안의 조기 확보 (Shift Left Security) * **보안 스캔 결과의 지능적 분석:** 보안 도구가 생성한 수많은 결과 중 실제 위협과 오탐(False Positive)을 구분하고, 취약점의 심각도에 따른 우선순위와 구체적인 수정 방안을 제안합니다. * **코드 작성 단계의 보안 검토:** 인젝션 취약점이나 인증 결함 등을 병합 요청(MR) 생성 전 단계에서 AI가 검토하게 하여 보안 팀과의 불필요한 피드백 루프를 제거합니다. ### 문서화 자동화와 최신 상태 유지 * **릴리스 노트 자동 생성:** 병합된 MR 목록을 바탕으로 신규 기능, 버그 수정, 성능 개선 항목을 분류하여 상세한 릴리스 노트를 즉시 작성함으로써 수동 작업 시간을 절약합니다. * **문서 업데이트 필요성 식별:** 코드 변경 사항이 발생했을 때 README, API 명세, 아키텍처 다이어그램 중 어떤 문서가 수정되어야 하는지 AI가 안내하여 문서와 코드 간의 간극을 방지합니다. ### 기획 단계의 복잡성 분해 * **에픽(Epic)의 이슈 세분화:** 거대한 기능 단위인 에픽을 구현 가능한 작은 이슈들로 나누고, 기술적 의존성과 수락 기준(Acceptance Criteria)을 설정하여 기획에 소요되는 몇 주간의 시간을 며칠 내로 단축합니다. --- 팀의 성과를 극대화하려면 AI를 단순히 코드를 작성하는 도구로만 제한하지 말고, 개발 프로세스 전반의 코디네이션 비용을 줄이는 용도로 확장해야 합니다. 소개된 10가지 프롬프트를 워크플로우에 통합하는 것만으로도 코드 리뷰 대기 시간과 보안 승인 지연을 획기적으로 줄여 팀의 배포 속도를 높일 수 있습니다.

GitLab Threat Intelligence Team reveals North Korean tradecraft (새 탭에서 열림)

GitLab 위협 인텔리전스 팀은 북한 연계 위협 그룹이 수행하는 '전염성 인터뷰(Contagious Interview)'와 가짜 IT 개발자 취업 캠페인의 세부 수법을 공개하고, 이들이 GitLab 플랫폼을 어떻게 악용했는지 분석했습니다. 북한 해커들은 채용 담당자로 위장해 개발자들에게 악성 코드가 포함된 기술 과제를 실행하도록 유도하며, 이를 통해 자금 탈취와 자격 증명 절취를 시도하고 있습니다. GitLab은 2025년 한 해 동안 130개 이상의 관련 계정을 차단했으며, 이들의 인프라 분석을 통해 확보한 지표를 공유하여 보안 커뮤니티의 대응 역량 강화를 촉구했습니다. **전염성 인터뷰(Contagious Interview)의 실체** * **공격 방식:** 해커들이 구인 구직 플랫폼에서 채용 담당자로 위장해 개발자에게 접근한 뒤, 기술 면접을 빙자하여 악성 코드가 포함된 프로젝트를 내려받아 실행하도록 유도합니다. * **주요 악성코드:** 주로 BeaverTail과 Ottercookie로 알려진 JavaScript 기반의 악성코드 패밀리가 사용됩니다. * **피해 결과:** 개발자의 장비에 대한 원격 제어 권한을 획득하고, 암호화폐 지갑 정보나 로그인 자격 증명을 탈취하여 금융 자산 절도 및 내부 네트워크 침투의 발판으로 삼습니다. **2025년 캠페인 추세 및 주요 특징** * **공격 규모:** 2025년 한 해 동안 총 131개의 북한 연계 위협 계정이 차단되었으며, 특히 9월에 공격 활동이 정점에 달했습니다. * **인프라 활용:** 공격자의 90%가 Gmail 계정을 사용해 GitLab에 가입했으며, 탐지를 피하고자 소비자용 VPN이나 전용 VPS 인프라를 통해 접속했습니다. * **타겟 산업:** 주로 암호화폐, 금융, 부동산 분야의 개발자를 타겟팅했으나, 최근에는 AI 및 게임 산업으로도 범위를 넓히고 있습니다. * **외부 서비스 악용:** 악성 페이로드를 GitLab에 직접 저장하지 않고, Vercel과 같은 합법적인 호스팅 서비스나 커스텀 도메인을 활용해 외부에서 불러오는 방식을 취했습니다. **악성 코드 삽입 및 은닉 기술** * **환경 변수 위장:** `.env` 파일 내에 악성 페이로드 URL과 헤더 값을 Base64로 인코딩하여 일반적인 설정값처럼 보이게 위장합니다. * **동적 코드 실행:** `Function.constructor`를 사용하여 문자열 형태의 원격 콘텐츠를 실행 가능한 코드로 로드하는 커스텀 에러 핸들러 기법을 사용합니다. * **최신 변종 기법:** VS Code 작업을 통한 악성 쉘 명령 실행, 가짜 폰트 파일 내에 숨겨진 바이너리 데이터 디코딩, 프로젝트 실행 직전에 생성된 악성 NPM 종속성 활용 등의 수법이 관찰되었습니다. **가짜 IT 노동자 운영 사례** * **신분 위조 파이프라인:** 최소 135개의 가짜 페르소나를 생성하는 자동화된 파이프라인을 구축하여 전문적인 인맥을 형성하고 구인 제안을 수집했습니다. * **신분증 조작:** 도용된 미국 시민권자의 신분증에 자신의 사진을 합성하여 21개의 고유한 가짜 신분을 관리하는 사례가 발견되었습니다. * **글로벌 거점:** 러시아 모스크바 등 해외 거점에서 활동하며 미국 내 조력자를 모집하고, 제재를 피하면서 미국 기업으로부터 수익을 창출하고 있습니다. 개발자들은 신뢰할 수 없는 출처에서 제공된 기술 면접용 코드 프로젝트를 실행할 때 각별히 주의해야 합니다. 특히 `.env` 파일에 인코딩된 의심스러운 문자열이 있거나, 프로젝트 실행 시 외부 URL에서 콘텐츠를 불러오는 로더가 포함되어 있는지 철저히 검증하는 보안 습관이 필요합니다.

Claude Opus 4.6 now available in GitLab Duo Agent Platform (새 탭에서 열림)

GitLab은 Anthropic의 가장 강력한 AI 모델인 Claude Opus 4.6을 GitLab Duo 에이전트 플랫폼에 도입하여 개발자들에게 더욱 강력한 자율 성능을 제공합니다. 이 모델은 복잡한 개발 과업을 주도적으로 수행하는 '에이전틱(Agentic)' 역량이 극대화되었으며, 100만 토큰에 달하는 방대한 컨텍스트 창을 지원하는 것이 특징입니다. 개발자들은 이제 GitLab의 풍부한 DevSecOps 데이터와 결합된 최신 AI를 통해 대규모 코드베이스 분석부터 다단계 워크플로우 자동화까지 한층 높은 차원의 개발 경험을 누릴 수 있게 되었습니다. **Claude Opus 4.6의 핵심 에이전트 역량** * **능동적 과업 수행:** 이전 모델보다 적은 가이드로도 스스로 행동을 결정하고 작업을 추진하며, 복잡한 워크플로우를 해결하기 위해 하위 에이전트를 생성하거나 도구 호출을 병렬로 처리하는 능력이 탁월합니다. * **심화 및 적응형 추론:** 테스트 시간 연산(test-time compute)을 통해 문제의 난이도에 따라 사고 과정을 스스로 조정하며, 단순한 질문에는 빠르게 답하고 복잡한 문제에는 깊이 있는 추론을 적용합니다. * **압도적인 컨텍스트 창:** 기존 4.5 모델보다 5배 확장된 100만 토큰의 컨텍스트 창을 통해 전체 코드베이스, 상세 문서, 프로젝트 전체 이력을 단 한 번의 상호작용으로 파악할 수 있습니다. **GitLab Duo 플랫폼과의 통합 및 활용** * **풍부한 컨텍스트 제공:** GitLab 리포지토리, 병합 요청(MR), 파이프라인, 보안 결과물 등 플랫폼 내의 실제 DevSecOps 데이터를 활용하여 더욱 정확한 결과물을 산출합니다. * **지원 범위:** GitLab.com의 모든 에이전트와 에이전틱 채팅(Agentic Chat) 내 모델 선택기에서 사용할 수 있으며, 지원되는 IDE 내에서의 모델 선택 기능도 곧 출시될 예정입니다. (Duo Classic 기능은 제외) * **엔터프라이즈급 제어:** 인간 참여형(Human-in-the-loop) 제어 기능과 그룹 기반 액세스 권한 관리를 통해 고성능 AI를 안전하고 신뢰할 수 있는 방식으로 워크플로우에 통합할 수 있습니다. **모델 사용을 위한 크레딧 정책** * **프롬프트 크기별 차등 적용:** 200k 토큰 이하의 요청은 크레딧당 1.2회 사용 가능하며, 200k 토큰을 초과하는 대규모 요청은 크레딧당 0.7회의 비율로 계산됩니다. * **효율적 활용:** 방대한 데이터를 처리하는 작업일수록 크레딧 소모율이 달라지므로, 작업의 복잡도에 맞게 모델을 선택하여 사용하는 것이 권장됩니다. 현재 GitLab Duo 에이전트 플랫폼을 사용 중인 고객은 모델 선택기에서 즉시 Claude Opus 4.6으로 전환하여 그 성능을 체험할 수 있습니다. 대규모 마이그레이션이나 복잡한 보안 취약점 해결과 같이 고도의 지능이 필요한 작업에 이 모델을 적극 활용하여 팀의 생산성을 극대화해 보시기 바랍니다.

What’s new in Git 2.53.0? (새 탭에서 열림)

Git 2.53.0 버전은 대규모 저장소 관리 효율성을 높이고 데이터 무결성을 강화하는 데 초점을 맞춘 업데이트를 선보였습니다. 이번 릴리스의 핵심은 부분 클론(Partial Clone) 환경에서의 기하급수적 재패킹 지원과 히스토리 재작성 시 유효한 서명을 선별적으로 보존하는 기능의 도입입니다. 이를 통해 개발자와 운영자는 대규모 프로젝트를 관리할 때 성능 최적화와 보안 신뢰성을 동시에 확보할 수 있게 되었습니다. ## 부분 클론 환경의 기하급수적 재패킹(Geometric Repacking) 지원 * 전통적인 'all-into-one' 재패킹 방식은 모든 객체를 하나의 패크파일로 합쳐 조회 성능은 좋지만, 대규모 저장소에서는 작업 시간이 지나치게 길어지는 단점이 있습니다. * 이를 보완하는 '기하급수적 전략'은 패크파일들의 크기를 일정 비율(두 배 이상)로 유지하며 필요한 부분만 결합하지만, 그동안 부분 클론 환경의 '프로미서(promisor)' 패크파일을 제대로 처리하지 못하는 기술적 한계가 있었습니다. * Git 2.53에서는 기하급수적 재패킹 시 프로미서 패크파일을 별도로 구분하여 관리하도록 개선되었습니다. 이를 통해 부분 클론을 사용하는 저장소에서도 데이터 손상 위험 없이 효율적인 객체 관리가 가능해졌습니다. ## 유효한 커밋 서명만 보존하는 git-fast-import 개선 * 저장소 히스토리를 대량으로 재작성하는 `git-fast-import` 명령어에 `--signed-commits` 옵션의 새로운 모드인 `strip-if-invalid`가 추가되었습니다. * 기존에는 히스토리를 재작성할 때 서명을 일괄 삭제하거나 무효한 서명을 그대로 남겨둬야 했으나, 이제는 재작성으로 인해 내용이 바뀐 커밋의 서명만 골라 삭제할 수 있습니다. * 이 기능 덕분에 히스토리 재작성 과정에서 변경되지 않은 객체들의 유효한 서명은 안전하게 보존할 수 있어, 데이터의 무결성을 유지하는 데 큰 도움이 됩니다. ## 저장소 구조 분석 도구(git-repo-structure)의 데이터 수집 강화 * 저장소의 성능 특성을 파악하기 위해 도입된 `git repo structure` 명령어가 이제 도달 가능한 객체들의 상세 크기 정보를 제공합니다. * 커밋, 트리, 블롭, 태그 등 각 객체 유형별로 압축 해제 시 크기(Inflated size)와 실제 디스크 점유 크기(Disk size)를 모두 확인할 수 있습니다. * 이는 외부 도구 없이도 네이티브 명령어를 통해 대규모 저장소의 구조적 부하를 진단하고 하드웨어 자원 계획을 세우는 데 유용하게 활용됩니다. 대규모 저장소를 운영하거나 히스토리 정제 작업을 빈번하게 수행하는 팀이라면 이번 Git 2.53.0 업데이트를 적극 권장합니다. 특히 부분 클론을 활용한 CI/CD 환경에서 기하급수적 재패킹을 통해 성능을 최적화하고, 히스토리 수정 시에도 유효한 서명을 유지함으로써 보안 수준을 한 단계 높일 수 있습니다.

Announcing general availability for GitLab Duo Agent Platform (새 탭에서 열림)

GitLab은 개발자가 코드를 작성하는 시간을 넘어 소프트웨어 개발 수명 주기(SDLC) 전반의 혁신 속도를 높이기 위해 'GitLab Duo Agent Platform'의 정식 출시(GA)를 발표했습니다. 이 플랫폼은 단순히 코드를 생성하는 수준을 넘어, 지능적인 오케스트레이션과 에이전트 기반 AI 자동화를 통해 코드 리뷰, 보안 점검, 파이프라인 최적화 등 기존의 병목 구간을 해결하는 데 초점을 맞춥니다. 결과적으로 팀은 인간과 AI의 유기적인 협업을 통해 복잡한 작업을 자율적으로 수행하고 전체 개발 프로세스를 가속화할 수 있습니다. ### AI 패러독스 해결과 통합된 협업 경험 * **AI 패러독스 극복:** 개발자가 코드 작성에 할애하는 시간은 전체의 약 20%에 불과하며, 나머지 80%의 업무에서 발생하는 병목 현상을 해결하기 위해 에이전트 중심의 접근 방식을 도입했습니다. * **통합 UX:** GitLab 웹 UI와 IDE(VS Code, JetBrains, Cursor, Windsurf 등) 전반에서 'Duo Agentic Chat'을 사용할 수 있으며, 이슈, 병합 요청(MR), 파이프라인 활동 내에서 AI와 실시간으로 소통할 수 있습니다. * **상황 맥락 인식:** 단순 응답을 넘어 이슈, 보안 결과물, 파이프라인 상태 등 전체 수명 주기의 맥락을 이해하고 다단계 추론을 통해 정확한 가이드를 제공합니다. ### 지능형 에이전틱 채팅의 주요 기능 * **분석 및 분석:** 웹 UI에서 이슈, 에픽, MR을 생성하거나 요약할 수 있으며, 복잡한 프로젝트 구조와 의존성을 파악하는 데 도움을 줍니다. * **코드 및 인프라 자동화:** 다양한 언어와 프레임워크에 걸쳐 코드, 구성 파일, IaC(Infrastructure-as-Code)를 생성하며 버그 수정 및 아키텍처 현대화를 지원합니다. * **CI/CD 및 보안:** 기존 파이프라인의 문제를 해결하거나 새로 구축하며, 보안 취약점을 설명하고 도달 가능성에 기반해 수정 우선순위를 제안합니다. ### 전문화된 에이전트 시스템 * **기본 에이전트(Foundational Agents):** GitLab 전문가들이 사전 구축한 에이전트로, 업무를 구조화하는 'Planner Agent'와 취약점 영향을 분석하는 'Security Analyst Agent'가 포함됩니다. * **커스텀 에이전트(Custom Agents):** 조직 고유의 표준과 가이드라인을 학습시킨 에이전트를 'AI Catalog'를 통해 관리하고 공유할 수 있습니다. * **외부 에이전트(External Agents):** Anthropic의 Claude Code나 OpenAI의 Codex CLI와 같은 외부 AI 도구를 GitLab 플랫폼 내에서 네이티브하게 연결하여 사용할 수 있습니다. ### 복잡한 업무를 처리하는 자동화 플로우(Flows) * **Issue to MR 플로우:** 잘 정의된 이슈로부터 구조화된 병합 요청(MR)을 자동으로 생성하여 개발 착수 시간을 단축합니다. * **CI/CD 전환 및 수정:** 타 시스템의 파이프라인 구성을 GitLab CI/CD로 현대화하거나, 실패한 파이프라인을 분석하여 변경 사항을 제안합니다. * **코드 리뷰 플로우:** 코드 변경 사항과 댓글을 분석하여 AI 기반의 심층적인 피드백을 제공함으로써 리뷰 프로세스를 간소화합니다. ### 사용 권한 및 새로운 과금 체계 * **GitLab Credits 도입:** 사용량 기반 과금 방식인 'GitLab Credit'을 통해 에이전트 플랫폼을 이용할 수 있습니다. * **구독별 혜택:** Premium 구독자에게는 사용자당 월 $12, Ultimate 구독자에게는 월 $24 상당의 크레딧이 추가 비용 없이 매월 제공됩니다. * **기존 고객 전환:** Duo Pro 또는 Enterprise 사용자는 기존 계약 잔여분을 크레딧으로 전환하여 즉시 에이전트 플랫폼으로 마이그레이션할 수 있습니다. GitLab Duo Agent Platform은 단순한 AI 비서를 넘어 실제 업무를 수행하는 '가상 팀원'을 제공합니다. 조직의 생산성을 높이기 위해서는 먼저 기본 제공되는 Planner 및 Security 에이전트를 활용해보고, 점진적으로 조직 특화된 커스텀 에이전트와 자동화 플로우를 구축하여 개발 전체 사이클의 효율을 극대화할 것을 권장합니다.

AI Catalog: Discover, create, and share agents and flows (새 탭에서 열림)

GitLab의 AI 카탈로그는 조직 내에서 AI 에이전트와 워크플로우를 중앙 집중식으로 관리하고 공유할 수 있는 핵심 저장소입니다. 사용자는 이를 통해 사전 구축된 솔루션을 검색하여 즉시 적용하거나, 팀의 특정 요구사항에 맞춘 맞춤형 에이전트 및 플로우를 생성하여 개발 협업 효율성을 극대화할 수 있습니다. 결과적으로 개발 생명주기 전반에 걸쳐 일관되고 재사용 가능한 AI 자동화 환경을 구축하는 것을 목표로 합니다. ## AI 카탈로그의 구성과 활용 방식 * **중앙 저장소 역할:** 조직 내에서 생성된 모든 AI 자산(에이전트 및 플로우)을 한곳에서 탐색하고, 복제하여 커스터마이징하거나 프로젝트에 즉시 활성화할 수 있습니다. * **에이전트(Agents):** 특정 태스크나 전문 분야(예: 디버깅, 코드 리뷰)에 특화된 대화형 AI 도구로, 시스템 프롬프트와 도구 접근 권한을 설정하여 동작을 정의합니다. * **플로우(Flows):** 여러 단계로 구성된 복잡한 자동화 프로세스로, YAML 구조를 통해 여러 에이전트를 조율하고 반복 가능한 멀티 스텝 워크플로우를 실행합니다. ## 맞춤형 자산 생성 및 가시성 관리 * **세밀한 권한 설정:** 에이전트 생성 시 코드, 이슈, 머지 리퀘스트(MR) 등에 대한 도구 접근 권한을 제한적으로 부여하여 보안성을 높일 수 있습니다. * **비공개(Private) 모드:** 특정 프로젝트 멤버나 소유자만 접근할 수 있는 설정으로, 민감한 워크플로우를 개발하거나 초기 실험 단계에서 유용합니다. * **공개(Public) 모드:** 인스턴스 내 모든 사용자가 검색하고 자신의 프로젝트에 활성화할 수 있도록 공유하여 조직 전체의 생산성을 높입니다. * **공유 모범 사례:** `security-code-review`와 같이 명확한 명명 규칙을 사용하고, 상세한 사용 사례와 전제 조건을 문서화하여 품질을 유지할 것을 권장합니다. ## 안정성을 보장하는 버전 관리 시스템 * **자동 의미론적 버전 관리(Semantic Versioning):** 시스템 프롬프트나 구성이 변경될 때마다 GitLab이 자동으로 버전을 업데이트(예: 1.0.0에서 1.1.0으로)하며, 각 버전은 불변(Immutable) 상태로 유지됩니다. * **버전 고정(Version Pinning):** 하위 프로젝트에서 에이전트를 사용할 때 특정 버전으로 고정되어, 카탈로그의 원본이 업데이트되더라도 기존 워크플로우가 예기치 않게 변경되는 것을 방지합니다. * **수동 업데이트 방식:** 새로운 기능이나 개선 사항을 적용하려면 사용자가 직접 업데이트 버튼을 클릭하고 변경 사항을 검토한 후 최신 버전으로 갱신하는 '옵트인(Opt-in)' 방식을 채택합니다. 효과적인 AI 도입을 위해 처음에는 비공개 모드로 에이전트를 생성하여 충분히 테스트한 후, 검증된 자산에 한해 문서화와 함께 공개 모드로 전환하여 조직 전체에 배포하는 전략을 추천합니다.

How to customize GitLab Duo Agent Platform (새 탭에서 열림)

GitLab Duo Agent Platform은 개발 팀의 특정 워크플로우와 요구사항에 맞춰 AI 에이전트의 행동을 세밀하게 조정할 수 있는 강력한 사용자 정의 기능을 제공합니다. 개발자는 사용자, 워크스페이스, 프로젝트 등 다양한 수준에서 규칙을 설정하여 일관된 코딩 표준을 유지하고 자동화된 작업의 정확도를 높일 수 있습니다. 이를 통해 팀의 고유한 개발 환경에 최적화된 지능형 에이전트 환경을 구축하고 생산성을 극대화할 수 있습니다. ### 채팅 규칙을 통한 에이전트 행동 제어 * **다층적 설정 구조**: 규칙은 모든 프로젝트에 적용되는 '사용자 수준'과 특정 프로젝트에만 적용되는 '워크스페이스 수준'으로 나뉩니다. 워크스페이스 설정은 사용자 설정을 덮어쓰므로 프로젝트별 유연한 대응이 가능합니다. * **구체적인 지침 작성**: `chat-rules.md` 파일을 통해 "JSDoc 주석 필수 포함", "async/await 사용", "문자열에 홑따옴표 사용"과 같이 AI가 즉각적으로 이행할 수 있는 명확한 액션 위주의 규칙을 정의합니다. * **워크플로우 통합**: 설정된 규칙은 에이전트가 코드를 제안하거나 설명을 제공할 때 팀의 스타일 가이드를 준수하도록 강제하며, 코드 리뷰나 테스트 실행 방식에 일관성을 부여합니다. ### AGENTS.md를 활용한 표준화된 커스터마이징 * **업계 표준 준수**: `AGENTS.md`는 업계 표준 형식을 따르는 설정 파일로, GitLab 내부 에이전트뿐만 아니라 Claude Code와 같은 외부 AI 도구와도 호환되어 범용적인 지침으로 활용할 수 있습니다. * **상세한 페르소나 및 보안 정의**: 에이전트의 말투와 성격부터 프로젝트 아키텍처 패턴, 보안 지침(API 키 하드코딩 금지, 입력값 검증 등)까지 폭넓은 영역을 제어합니다. * **모노레포 지원**: 프로젝트 루트 외에도 하위 디렉토리에 개별 `AGENTS.md`를 배치할 수 있어, 모노레포 환경 내의 서비스나 모듈별로 서로 다른 기술 스택과 규칙을 적용할 수 있습니다. ### 사용자 정의 구현을 위한 최적의 실천법 * **구체성과 우선순위**: 모호한 설명 대신 구체적인 예시를 제공하고, 가장 중요한 규칙을 상단에 배치하여 AI의 이해도를 높여야 합니다. * **팀 협업 및 승인 프로세스**: `Code Owners` 기능을 활용해 규칙 파일의 변경 사항을 관리함으로써 팀의 합의된 표준이 유지되도록 관리하는 것이 권장됩니다. * **기술적 요구사항**: 해당 커스터마이징 기능을 활용하기 위해서는 GitLab 18.8 이상 버전이 필요하며, IDE 사용자의 경우 VS Code용 GitLab Workflow 확장 프로그램 6.60 이상 버전이 설치되어 있어야 합니다. 팀의 코딩 컨벤션과 보안 정책이 반영된 `AGENTS.md`를 프로젝트 루트에 먼저 구성해 보시기 바랍니다. 이를 통해 AI가 생성하는 코드의 품질을 별도의 수정 없이도 즉시 실무에 투입 가능한 수준으로 끌어올릴 수 있습니다.

Getting started with GitLab Duo Agentic Chat (새 탭에서 열림)

GitLab Duo Agentic Chat은 단순한 질의응답을 넘어 소프트웨어 개발 수명 주기(SDLC) 전반에서 능동적으로 작업을 수행하는 자율형 AI 협업 파트너입니다. 이 플랫폼은 코드 수정, 병합 요청(MR) 생성, 보안 취약점 해결 등 실질적인 액션을 실행하며, 프로젝트의 컨텍스트를 완벽히 이해하여 개발자의 생산성을 극대화합니다. 사용자는 웹 UI와 IDE 내에서 최적화된 모델과 전용 에이전트를 선택함으로써 복잡한 워크플로우를 자동화하고 고품질의 소프트웨어를 빠르게 배포할 수 있습니다. **자율적인 AI 협업 파트너의 핵심 역량** * **능동적 작업 수행:** 질문에 답하는 수준을 넘어 파일을 생성 및 수정하고, 이슈를 트리아지(Triage)하거나 CI/CD 파이프라인의 오류를 직접 해결합니다. * **맥락 인식 능력:** 대화 기록은 물론 프로젝트 아키텍처, 코드베이스, 위키, GitLab 문서 및 보안 스캔 결과까지 광범위한 컨텍스트를 활용합니다. * **확장성 및 통합:** Model Context Protocol(MCP)을 통해 외부 서비스와 통합할 수 있으며, 목적에 따라 전문화된 멀티 에이전트 시스템을 지원합니다. **작업별 최적화를 위한 모델 및 에이전트 선택** * **유연한 모델 구성:** 대규모 언어 모델(LLM)마다 강점이 다르므로 작업 요구사항에 따라 적절한 모델을 선택할 수 있으며, 이는 그룹 또는 사용자 단위로 설정 가능합니다. * **전용 에이전트 활용:** 제품 관리를 위한 'Planner Agent', 보안 분석을 위한 'Security Analyst Agent' 등 특정 도메인에 특화된 에이전트로 전환하여 전문적인 도움을 받을 수 있습니다. * **간편한 접근성:** 웹 UI의 사이드바나 IDE 내의 드롭다운 메뉴를 통해 작업 흐름을 끊지 않고 에이전트와 모델을 즉시 변경할 수 있습니다. **실무 생산성 향상을 위한 주요 활용 사례** * **이슈 및 보안 관리:** 특정 라벨이 지정된 이슈 목록 추출, 에픽(Epic)의 세부 작업 분할, 보안 취약점 분석 및 이를 해결하기 위한 자동 수정 MR 생성이 가능합니다. * **코드 이해 및 온보딩:** 복잡한 코드베이스의 아키텍처 개요 파악, 특정 함수의 호출 위치 검색, 신규 팀원을 위한 로컬 개발 환경 설정 안내 등을 수행합니다. * **디버깅 및 품질 개선:** 실패한 파이프라인 로그를 분석해 원인을 진단하고, 기존 코드를 SOLID 원칙에 맞춰 리팩토링하거나 최신 프로그래밍 언어 버전으로 변환하는 작업을 지원합니다. * **기능 구현 및 테스트:** REST API 엔드포인트 생성, 유닛 테스트 코드 자동 생성, UI 구성 요소의 접근성 검토 등 개발 전 과정을 보조합니다. GitLab Duo Agentic Chat의 잠재력을 최대한 끌어내기 위해서는 작업의 성격에 맞는 전용 에이전트를 선택하는 것이 가장 중요합니다. 보안 분석이나 기획 단계 등 정밀한 컨텍스트가 필요한 작업일수록 일반 채팅보다는 특화된 에이전트를 활용할 것을 권장하며, 향후 출시될 CLI 지원을 통해 터미널 환경에서도 동일한 AI 협업 경험을 확장해 나갈 수 있습니다.