GitLab / devsecops

Passkeys now available for passwordless sign-in and 2FA on GitLab (새 탭에서 열림)

GitLab이 계정 보안 강화와 사용자 편의성 증대를 위해 패스키(Passkeys) 지원을 공식적으로 시작했습니다. 이제 사용자들은 지문, 얼굴 인식 또는 PIN을 사용하여 비밀번호 없이 로그인하거나, 피싱 방지 기능이 탑재된 강력한 이중 인증(2FA) 수단으로 패스키를 활용할 수 있습니다. 이번 업데이트는 보안 환경을 개선하고 다중 인증(MFA) 사용률을 높이려는 GitLab의 '보안 설계(Secure by Design)' 서약 이행의 일환입니다. **패스키의 기술적 원리와 보안성** * 패스키는 WebAuthn 기술과 공개키 암호화(Public-key cryptography) 방식을 기반으로 작동합니다. * 개인키(Private Key)는 사용자의 기기에 안전하게 보관되어 절대 외부로 유출되지 않으며, GitLab 서버에는 공개키(Public Key)만 저장됩니다. * 이러한 구조 덕분에 설령 GitLab 서버가 침해당하더라도 공격자가 사용자의 계정에 접근할 수 있는 유효한 인증 정보를 탈취하는 것이 근본적으로 불가능합니다. **광범위한 호환성 및 설정 방법** * 데스크톱 브라우저(Chrome, Firefox, Safari, Edge)는 물론 모바일 기기(iOS 16+, Android 9+), FIDO2 하드웨어 보안 키를 모두 지원합니다. * 사용자는 자신의 프로필 설정 내 'Account > Manage authentication' 메뉴에서 패스키를 간단히 등록할 수 있습니다. * 여러 기기에서 편리하게 접속할 수 있도록 계정 하나에 다수의 패스키를 등록하여 사용하는 것이 가능합니다. **보안 설계(Secure by Design) 서약 준수** * GitLab은 CISA(미국 사이버보안 및 인프라 보안국)의 'Secure by Design' 서약에 동참하여 제품 전반의 보안 수준을 높이고 있습니다. * 패스키는 해당 서약의 핵심 목표 중 하나인 다중 인증(MFA) 채택률 확대를 달성하기 위한 핵심 요소입니다. * 기존에 2FA를 활성화한 사용자의 경우 패스키를 등록하면 해당 방식이 기본 인증 수단으로 자동 설정되어 더욱 매끄러운 로그인 경험을 제공합니다. 보안 사고의 상당수가 피싱을 통한 계정 탈취에서 시작되는 만큼, GitLab 사용자는 보안 수준을 높이기 위해 기존의 일회용 비밀번호(OTP) 방식을 대체하거나 보완할 수 있는 패스키를 적극적으로 등록해 사용할 것을 권장합니다.

GitLab backs 99.9% availability SLA with service credits (새 탭에서 열림)

GitLab이 GitLab.com 및 GitLab Dedicated를 사용하는 Ultimate 요금제 고객을 대상으로 99.9% 가용성 보장 및 서비스 수준 계약(SLA) 미달 시 서비스 크레딧을 제공하는 정책을 발표했습니다. 이번 정책은 미션 크리티컬한 DevSecOps 워크플로우의 안정성을 보장하고 플랫폼 신뢰도에 대한 책임을 강화하기 위해 도입되었습니다. 가용성이 기준치 아래로 떨어질 경우, 고객은 향후 인보이스에서 차감 가능한 크레딧을 청구하여 비즈니스 연속성을 지원받을 수 있습니다. **신뢰 기반의 가용성 보장과 서비스 크레딧** * 현대적인 소프트웨어 개발 환경에서는 코드 푸시, 병합 요청(MR), 이슈 트래킹이 실시간으로 발생하므로 플랫폼의 가동 중단은 전체 워크플로우의 정지로 이어집니다. * GitLab은 99.9% 가용성 SLA를 통해 고객의 개발 속도가 인프라 문제로 저해되지 않도록 보장하며, 서비스 크레딧 제도를 통해 플랫폼 신뢰도에 대한 금전적 책임을 명시했습니다. * 이는 단순한 가용성 수치 달성을 넘어 고객의 비즈니스 성과와 GitLab의 성공을 일치시키려는 전략적 의도를 담고 있습니다. **SLA 적용 대상 및 핵심 서비스 범위** * DevSecOps 워크플로우의 핵심인 이슈 관리와 병합 요청(Merge Requests) 기능이 포함됩니다. * HTTPS 및 SSH를 통한 Git 작업(push, pull, clone)과 컨테이너 및 패키지 레지스트리 운영이 보호 대상입니다. * 위 항목들과 관련된 API 요청 또한 SLA 범위에 포함되며, 구체적인 제외 항목은 GitLab 핸드북을 통해 투명하게 공개됩니다. **가동 중단(Downtime)의 기술적 정의와 측정 방식** * 전 세계 여러 지리적 위치에서 자동화된 모니터링 도구를 사용하여 실제 고객이 체감하는 가용성을 정밀하게 측정합니다. * 특정 '분' 단위 시간 동안 유효한 고객 요청의 5% 이상이 서버 오류(HTTP 5xx status codes) 또는 30초 이상의 연결 시간 초과를 발생시킬 경우 이를 '가동 중단 분'으로 정의합니다. * 서버측 실패 외에도 기능 사용을 불가능하게 만드는 애플리케이션 버그나 성능 저하 이슈에 대해서는 자동 모니터링 결과와 별개로 고객의 청구를 종합적으로 검토하여 반영합니다. **서비스 크레딧 청구 및 처리 절차** * 가동 중단이 발생한 달이 종료된 후 30일 이내에 GitLab 지원 센터(support.gitlab.com)를 통해 크레딧 청구를 제출해야 합니다. * GitLab 기술 팀은 제출된 청구 내용을 검토하고 내부 모니터링 데이터를 바탕으로 가동 중단 시간을 검증합니다. * 승인된 서비스 크레딧은 고객의 다음번 발행 인보이스에 적용되어 비용을 절감해 줍니다. GitLab Ultimate 사용 기업은 이번 SLA 정책을 통해 더욱 안정적인 개발 환경을 구축할 수 있게 되었습니다. 플랫폼 장애 발생 시 비즈니스 피해를 최소화하기 위해, 장애 발생 시점의 로그를 기록해두고 월 종료 후 30일 이내에 잊지 말고 크레딧을 청구하여 비용 효율성을 극대화하시기 바랍니다.

GitLab extends Omnibus package signing key expiration to 2028 (새 탭에서 열림)

GitLab은 Omnibus 패키지의 무결성을 보장하기 위해 사용하는 GPG 서명 키의 만료일을 기존 2026년 2월 14일에서 2028년 2월 16일로 연장했습니다. 이번 조치는 보안 정책을 준수함과 동시에 새로운 키로 교체할 때 발생하는 사용자의 작업 부담을 최소화하기 위한 결정입니다. 패키지 서명을 직접 검증하는 환경의 사용자들은 보안 신뢰를 유지하기 위해 시스템의 공개 키 정보를 갱신해야 합니다. **Omnibus 패키지 서명 키의 역할과 특징** * GitLab은 CI 파이프라인에서 생성된 모든 Omnibus 패키지가 변조되지 않았음을 증명하기 위해 GNU Privacy Guard(GPG) 키를 사용하여 서명합니다. * 이 키는 OS 패키지 매니저(apt, yum 등)에서 사용하는 저장소 메타데이터 서명 키나 GitLab Runner용 GPG 키와는 별개로 관리되는 독립적인 키입니다. * GitLab 보안 정책에 따라 키 탈취 시의 피해를 제한하기 위해 주기적으로 만료일을 관리하며, 이번에 유효 기간을 2028년까지로 늘렸습니다. **키 교체 대신 만료일을 연장한 이유** * 새로운 키를 생성하여 교체(Rotation)하는 방식은 모든 사용자가 기존에 신뢰하던 키를 삭제하고 새 키를 다시 등록해야 하는 번거로움을 유발합니다. * 사용자 환경의 혼란과 서비스 중단 가능성을 줄이기 위해, 기존 키의 정체성은 유지하면서 만료 기한만 연장하는 방식을 선택했습니다. **사용자 조치 사항 및 업데이트 방법** * GitLab Omnibus 패키지의 서명을 수동으로 검증하거나, 패키지 매니저가 서명을 강제로 검증하도록 설정한 경우에만 최신 키로 업데이트하면 됩니다. * 별도의 서명 검증 설정을 하지 않고 기본 패키지 매니저 설정을 사용하는 일반적인 경우에는 추가 조치 없이도 패키지 설치 및 업데이트가 가능합니다. * 키 갱신이 필요한 경우, GPG 키 서버에서 이메일(`[email protected]`) 또는 키 ID(`98BF DB87 FCF1 0076 416C 1E0B AD99 7ACC 82DD 593D`)를 검색하여 최신 공개 키를 가져올 수 있습니다. * 또한, GitLab 공식 패키지 저장소(packages.gitlab.com)에서 제공하는 직접 링크를 통해 GPG 공개 키 파일을 다운로드하여 적용할 수도 있습니다. 서명 검증 과정에서 문제가 발생하거나 상세한 기술적 도움이 필요한 경우 GitLab의 'omnibus-gitlab' 이슈 트래커를 통해 문의할 수 있습니다. 보안상의 안전을 위해 패키지 서명을 검증하는 환경이라면 만료일이 도래하기 전 미리 공개 키를 갱신하는 것을 권장합니다.

GPG key used to sign GitLab package repositories' metadata has been extended (새 탭에서 열림)

GitLab은 패키지 저장소 메타데이터의 무결성을 보장하기 위해 사용되는 GPG 키의 만료일을 기존 2026년 2월 27일에서 2028년 2월 6일로 연장했습니다. 이번 조치는 보안 정책을 준수하면서도 키 교체에 따른 사용자 혼란을 최소화하기 위해 키 자체를 새로 발급하는 대신 유효 기간만 늘리는 방식을 채택했습니다. 2026년 2월 17일 이전에 GitLab 저장소를 설정한 기존 사용자들은 패키지 설치 시 오류를 방지하기 위해 반드시 신규 키를 갱신해야 합니다. **GPG 키 연장 배경과 목적** * GitLab은 배포되는 공식 패키지(Omnibus, GitLab Runner)의 무결성을 검증하기 위해 apt 및 yum 저장소 메타데이터에 GPG 서명을 적용하고 있습니다. * 키가 탈취되었을 경우의 노출 범위를 제한하고 보안 정책을 준수하기 위해 만료 기간을 정기적으로 갱신합니다. * 키를 완전히 새로 교체(Rotation)할 경우 모든 사용자가 신뢰 키를 수동으로 교체해야 하는 번거로움이 발생하므로, 기존 키의 만료일을 연장하여 사용자 중단을 최소화했습니다. **대상 사용자 및 기술적 세부 사항** * 대상 키 지문(Fingerprint): `F640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3F` * 2026년 2월 17일 이전에 로컬 장비에 GitLab 저장소를 구성한 기존 사용자는 새로운 만료일이 반영된 키를 다시 가져와 등록해야 합니다. * 해당 날짜 이후에 처음으로 설치를 진행하는 신규 사용자는 공식 가이드를 따르면 별도의 추가 작업 없이 연장된 키가 적용됩니다. **공개 키 갱신 방법** * GitLab 공식 패키지 서버(`https://packages.gitlab.com/gpg.key`)에서 최신 공개 키를 직접 다운로드하여 시스템에 추가할 수 있습니다. * GPG 키 서버에서 `packages@gitlab.com` 이메일이나 위의 키 지문을 검색하여 공개 키 사본을 갱신하는 것도 가능합니다. * 보다 구체적인 저장소 메타데이터 서명 검증 방법은 GitLab의 Omnibus 공식 문서 및 GitLab Runner 설치 문서를 통해 확인할 수 있습니다. 기존 사용자들은 패키지 업데이트가 중단되지 않도록 만료일 이전에 반드시 키를 갱신하시기 바랍니다. 관련하여 기술적인 문제나 도움이 필요한 경우 GitLab의 omnibus-gitlab 이슈 트래커를 통해 문의할 수 있습니다.

DevSecOps-as-a-Service on Oracle Cloud Infrastructure by Data Intensity (새 탭에서 열림)

GitLab은 Oracle Cloud Infrastructure(OCI) 및 관리 서비스 전문 기업인 Data Intensity와 협력하여 'DevSecOps-as-a-Service'를 출시했습니다. 이 서비스는 GitLab Self-Managed 버전이 제공하는 강력한 통제권과 보안성을 유지하면서도, 인프라 운영 및 유지보수에 따른 부담을 완전히 해소하는 것을 목표로 합니다. 기업은 OCI의 가성비 높은 클라우드 인프라와 전문가의 관리 서비스를 통해 복잡한 플랫폼 관리 대신 소프트웨어 개발 본연의 가치에 집중할 수 있습니다. ## GitLab Self-Managed의 가치와 운영상의 도전 과제 * **완전한 제어권:** 데이터 위치, 인스턴스 구성, 보안 및 규정 준수 요구 사항을 조직의 목적에 맞게 커스터마이징할 수 있습니다. * **운영의 복잡성:** 자체 관리형 환경을 운영하려면 서버 관리, 정기적인 업데이트 및 패치, 고가용성(HA) 확보, 재해 복구(DR) 시스템 구축을 위한 전문 인력과 자원이 필요합니다. * **리소스 분산:** 인프라 유지보수에 많은 에너지를 쏟게 되면 정작 중요한 애플리케이션 개발과 배포 속도가 늦어지는 부작용이 발생할 수 있습니다. ## Data Intensity가 제공하는 관리형 서비스의 핵심 * **전문가 관리형 인스턴스:** OCI 인프라 위에서 실행되는 독립적인 GitLab 인스턴스를 Data Intensity 전문가 팀이 직접 관리합니다. * **연중무휴 지원:** 24x7 모니터링, 알람 시스템, 기술 지원을 통해 서비스 안정성을 보장합니다. * **체계적인 유지보수:** 고객이 선택한 유지관리 시간에 맞춰 분기별 패치를 진행하며, 자동화된 백업 및 재해 복구 보호 기능을 제공합니다. * **유연한 확장성:** 조직의 사용자 규모와 복구 요구 사항에 맞춘 계층형 아키텍처를 제공하여 팀의 성장에 따라 유연하게 확장할 수 있습니다. ## Oracle Cloud Infrastructure(OCI) 도입의 이점 * **비용 효율성:** 타사 하이퍼스케일러 클라우드 대비 인프라 비용을 약 40-50% 절감할 수 있어 대규모 배포에 유리합니다. * **다양한 배포 모델:** 공공 클라우드뿐만 아니라 정부 전용 클라우드, EU 주권 클라우드, 방화벽 내부의 전용 인프라 등 엄격한 규제를 준수하는 다양한 환경을 지원합니다. * **일관된 성능:** 고성능 클라우드 환경에서 일관된 툴링과 운영 경험을 제공하며, 하이브리드 및 글로벌 환경 전반에서 GitLab 배포를 표준화할 수 있습니다. ## 도입 권장 대상 및 결론 * GitLab Self-Managed의 통제권은 필요하지만 내부 인프라 전문가가 부족하여 운영 오버헤드를 최소화하고 싶은 조직에 권장됩니다. * 특히 엄격한 데이터 거주 요건(Data Residency)이나 보안 컴플라이언스를 준수해야 하는 금융, 공공, 의료 분야 기업에 적합한 솔루션입니다. * 기존 코드 저장소와 커스터마이징 설정을 OCI로 이전하는 마이그레이션 서비스도 지원하므로, 복잡한 현대화 과정을 안정적으로 수행하고자 하는 기업에게 실질적인 대안이 될 것입니다.

Claude Opus 4.6 now available in GitLab Duo Agent Platform (새 탭에서 열림)

GitLab은 Anthropic의 가장 강력한 AI 모델인 Claude Opus 4.6을 GitLab Duo 에이전트 플랫폼에 도입하여 개발자들에게 더욱 강력한 자율 성능을 제공합니다. 이 모델은 복잡한 개발 과업을 주도적으로 수행하는 '에이전틱(Agentic)' 역량이 극대화되었으며, 100만 토큰에 달하는 방대한 컨텍스트 창을 지원하는 것이 특징입니다. 개발자들은 이제 GitLab의 풍부한 DevSecOps 데이터와 결합된 최신 AI를 통해 대규모 코드베이스 분석부터 다단계 워크플로우 자동화까지 한층 높은 차원의 개발 경험을 누릴 수 있게 되었습니다. **Claude Opus 4.6의 핵심 에이전트 역량** * **능동적 과업 수행:** 이전 모델보다 적은 가이드로도 스스로 행동을 결정하고 작업을 추진하며, 복잡한 워크플로우를 해결하기 위해 하위 에이전트를 생성하거나 도구 호출을 병렬로 처리하는 능력이 탁월합니다. * **심화 및 적응형 추론:** 테스트 시간 연산(test-time compute)을 통해 문제의 난이도에 따라 사고 과정을 스스로 조정하며, 단순한 질문에는 빠르게 답하고 복잡한 문제에는 깊이 있는 추론을 적용합니다. * **압도적인 컨텍스트 창:** 기존 4.5 모델보다 5배 확장된 100만 토큰의 컨텍스트 창을 통해 전체 코드베이스, 상세 문서, 프로젝트 전체 이력을 단 한 번의 상호작용으로 파악할 수 있습니다. **GitLab Duo 플랫폼과의 통합 및 활용** * **풍부한 컨텍스트 제공:** GitLab 리포지토리, 병합 요청(MR), 파이프라인, 보안 결과물 등 플랫폼 내의 실제 DevSecOps 데이터를 활용하여 더욱 정확한 결과물을 산출합니다. * **지원 범위:** GitLab.com의 모든 에이전트와 에이전틱 채팅(Agentic Chat) 내 모델 선택기에서 사용할 수 있으며, 지원되는 IDE 내에서의 모델 선택 기능도 곧 출시될 예정입니다. (Duo Classic 기능은 제외) * **엔터프라이즈급 제어:** 인간 참여형(Human-in-the-loop) 제어 기능과 그룹 기반 액세스 권한 관리를 통해 고성능 AI를 안전하고 신뢰할 수 있는 방식으로 워크플로우에 통합할 수 있습니다. **모델 사용을 위한 크레딧 정책** * **프롬프트 크기별 차등 적용:** 200k 토큰 이하의 요청은 크레딧당 1.2회 사용 가능하며, 200k 토큰을 초과하는 대규모 요청은 크레딧당 0.7회의 비율로 계산됩니다. * **효율적 활용:** 방대한 데이터를 처리하는 작업일수록 크레딧 소모율이 달라지므로, 작업의 복잡도에 맞게 모델을 선택하여 사용하는 것이 권장됩니다. 현재 GitLab Duo 에이전트 플랫폼을 사용 중인 고객은 모델 선택기에서 즉시 Claude Opus 4.6으로 전환하여 그 성능을 체험할 수 있습니다. 대규모 마이그레이션이나 복잡한 보안 취약점 해결과 같이 고도의 지능이 필요한 작업에 이 모델을 적극 활용하여 팀의 생산성을 극대화해 보시기 바랍니다.

GitLab Bug Bounty Program policy updates (새 탭에서 열림)

GitLab은 보안 연구자 커뮤니티와의 협력을 강화하고 더욱 투명한 운영을 위해 HackerOne 버그 바운티 프로그램의 정책을 대대적으로 업데이트했습니다. 이번 개편은 프로덕션 인프라의 안정성을 보호하기 위한 테스트 가이드라인 강화와 최신 보안 위협을 반영한 취약점 범위(Scope) 조정을 골자로 합니다. 연구자들은 더욱 명확해진 기준을 통해 혼선 없이 고영향력 취약점 발굴에 집중할 수 있게 되었습니다. ### 안전한 연구를 위한 테스트 가이드라인 강화 * **로컬 테스트 환경 권장:** 프로덕션 인프라 보호를 위해 GitLab Development Kit(GDK)을 활용한 로컬 테스트를 강력히 권장합니다. 이를 통해 연구자는 최신 기능을 공개 전 미리 확인하고 자유롭게 실험할 수 있습니다. * **DoS 테스트 조건:** 서비스 거부(DoS) 취약점을 증명해야 할 경우, 실제 서비스가 아닌 GitLab 설치 요구 사양을 충족하는 셀프 매니지드(Self-managed) 인스턴스에서 테스트를 진행해야 합니다. * **프로덕션 계정 규칙:** GitLab.com 서비스 환경에서의 테스트가 불가피한 경우, 반드시 HackerOne 이메일 별칭(`[username]@wearehackerone.com`)으로 생성된 테스트 계정만을 사용해야 합니다. ### 보안 환경 변화에 따른 취약점 범위 조정 * **서비스 거부(DoS) 제한:** 일반적인 DoS는 범위에서 제외되나, 인증되지 않은 엔드포인트를 통해 실행 가능하며 지속적이고 완전한 서비스 중단을 초래하는 애플리케이션 계층 DoS(ReDoS, 논리 폭탄 등)는 예외적으로 인정될 수 있습니다. * **AI 프롬프트 인젝션:** 단독 프롬프트 인젝션은 제외 사항입니다. 다만, 이를 초기 벡터로 삼아 보안 경계를 넘어선 실질적인 피해를 입히는 경우에는 유효한 취약점으로 간주될 수 있습니다. * **데이터 노출 기준 명확화:** 단순한 정보 수집이나 열거(Enumeration)는 제외되지만, 기밀 데이터가 노출되는 개인정보 침해 사례는 엄격히 취약점 범위에 포함됩니다. ### 연구자 보호를 위한 전환기 정책 및 원칙 * **7일의 유예 기간 제공:** 정책 변경으로 인한 혼란을 막기 위해 2026년 1월 22일 21:00(PT) 이전에 제출된 DoS 관련 보고서는 이전 정책을 적용하여 평가합니다. * **운영 원칙 준수:** 투명성(모호함 제거), 안전성(인프라 보호), 공정성(일관된 평가 표준)이라는 세 가지 원칙을 바탕으로 연구자들에게 예측 가능한 보상 환경을 제공합니다. 새로운 정책 하에서 활동하려는 보안 연구자들은 GitLab GDK를 설치하여 로컬 테스트 환경을 우선 구축하는 것이 권장됩니다. 또한, 상세한 취약점 평가를 위해 GitLab에서 제공하는 CVSS 계산기를 활용하여 보고서의 객관성을 높일 수 있습니다.

Agentic AI, enterprise control: Self-hosted Duo Agent Platform and BYOM (새 탭에서 열림)

GitLab 18.9 업데이트는 규제가 엄격한 산업군의 기업들이 데이터 레지던시와 거버넌스를 유지하면서도 에이전트 기반 AI(Agentic AI)를 도입할 수 있도록 '셀프 호스팅 Duo Agent Platform'과 '자체 모델 도입(BYOM)' 기능을 선보였습니다. 이번 배포를 통해 기업은 클라우드 라이선스를 사용하면서도 모델 추론은 자체 인프라에서 수행할 수 있게 되어, 보안과 유연성을 동시에 확보한 AI 컨트롤 플레인을 구축할 수 있습니다. 결과적으로 복잡한 DevSecOps 워크플로우 자동화를 강력한 규제 준수 환경 내에서 실현할 수 있게 되었습니다. **온라인 클라우드 라이선스를 위한 Duo Agent Platform 셀프 호스팅** 그동안 셀프 호스팅 모델을 통한 AI 워크플로우 자동화는 주로 오프라인이나 특정 라이선스 환경에 국한되었으나, 이제 온라인 클라우드 라이선스 고객도 이를 활용할 수 있게 되었습니다. * **데이터 레지던시 및 제어권 보장:** 기업은 자체 인프라나 승인된 클라우드 환경에 호스팅된 모델을 사용하면서 GitLab Duo Agent Platform을 운영할 수 있어, 추론 트래픽의 경로와 데이터 저장 위치를 완전히 통제할 수 있습니다. * **GitLab Credits 기반의 투명한 과금:** 사용량 기반 빌링 모델을 도입하여 각 요청별 측정(metering)이 가능해졌으며, 이를 통해 기업 내부의 비용 배분(Chargeback)과 규제 보고를 위한 상세한 비용 투명성을 제공합니다. * **규제 산업의 도입 가속화:** 외부 AI 벤더로 데이터를 전송할 수 없는 금융, 정부 기관, 주요 인프라 산업군에서 에이전트 기반 AI를 즉시 도입할 수 있는 환경을 마련했습니다. **자체 모델 도입 (Bring Your Own Model, BYOM)** 기업이 이미 투자한 특정 도메인 최적화 LLM이나 에어갭(Air-gapped) 환경의 모델을 GitLab 환경에 유연하게 통합할 수 있도록 지원합니다. * **AI Gateway를 통한 통합 거버넌스:** 기업이 보유한 서드파티 모델이나 자체 호스팅 모델을 GitLab AI Gateway에 연결하여, GitLab이 관리하는 모델과 동일한 수준의 제어 평면에서 관리할 수 있습니다. * **세분화된 모델 매핑:** 관리자는 등록된 모델을 특정 Duo Agent Platform의 흐름이나 기능에 정밀하게 매핑할 수 있어, 작업의 성격에 따라 최적화된 모델이 할당되도록 제어할 수 있습니다. * **자율적인 성능 및 위험 관리:** 모델의 유효성 검사, 성능 최적화, 위험 평가는 기업이 직접 담당하며, 이를 통해 조직의 고유한 보안 정책과 위험 수용 범위에 맞춘 모델 운용이 가능합니다. **활용 제언** 파편화된 AI 도구 사용으로 인해 거버넌스 공백을 겪고 있는 기업이라면, GitLab 18.9의 통합 컨트롤 플레인을 활용해 AI 전략을 중앙 집중화할 것을 권장합니다. 특히 특정 규제 준수가 필수적인 환경에서는 'BYOM' 기능을 통해 검증된 내부 모델을 DevSecOps 파이프라인에 직접 연결함으로써 보안 리스크를 최소화하면서도 자동화 효율을 극대화할 수 있습니다.

Track vulnerability remediation with the updated GitLab Security Dashboard (새 탭에서 열림)

업데이트된 GitLab 보안 대시보드는 수많은 취약점 데이터 속에서 단순한 탐지를 넘어 실제적인 복구 우선순위를 설정하고 위험을 관리하는 데 초점을 맞춥니다. 팀은 취약점의 연령 분포, 복구 속도, 프로젝트별 위험 점수(Risk Score)를 시각화하여 가장 시급한 보안 위협에 집중할 수 있으며, 이를 통해 조직 전반의 보안 태세를 정량적으로 측정하고 개선할 수 있습니다. ## 탐지를 넘어선 복구 중심의 통찰력 애플리케이션 보안 팀의 핵심 과제는 단순히 취약점을 찾는 것이 아니라, 방대한 데이터 중에서 어떤 것이 실제적인 위험을 초래하는지 파악하는 것입니다. GitLab 보안 대시보드는 여러 프로젝트와 그룹, 사업 단위에 흩어진 보안 데이터를 하나의 뷰로 통합하여 제공합니다. * 단순한 취약점 개수 나열이 아닌, 데이터에 문맥(Context)을 부여하여 팀이 가장 큰 위험에 노출된 지점을 즉각 파악하도록 돕습니다. * 18.6 버전에서 도입된 시계열 취약점 분석 기능을 바탕으로, 18.9 버전에서는 심각도, 상태, 스캐너 종류 및 프로젝트별로 데이터를 세분화할 수 있는 필터와 차트가 대폭 강화되었습니다. * 복구 속도(Remediation Velocity)와 취약점 연령 분포 등의 지표를 통해 보안 프로그램의 실질적인 효과를 측정할 수 있습니다. ## 리스크 점수를 활용한 우선순위 결정 모든 취약점이 동일한 수준의 위험을 갖지 않으므로, 데이터에 기반한 정밀한 위험 평가 모델을 도입했습니다. * **리스크 점수(Risk Score):** 취약점의 노출 기간, EPSS(Exploit Prediction Scoring System), KEV(Known Exploited Vulnerability) 점수 및 관련 저장소의 보안 상태를 종합하여 계산됩니다. * 보안 팀은 이 점수를 통해 프로덕션 시스템에 가장 큰 위협이 되는 요소를 식별하고 리소스를 집중 투입할 수 있습니다. * 특정 팀이나 프로젝트에서 정책에 따른 복구가 지연되는 지점을 파악하여, 추가적인 교육이나 지원이 필요한 영역을 데이터로 증명할 수 있습니다. ## 개발자와 경영진을 위한 통합 워크플로우 보안 대시보드는 보안 전문가뿐만 아니라 경영진과 개발자 모두에게 일관된 보안 가시성을 제공하여 협업을 효율화합니다. * **경영진 보고 최적화:** 외부 대시보드나 스프레드시트 작업 없이도 취약점 백로그 감소 추세, CWE 유형별 개선 현황, 전반적인 리스크 점수 변화를 시각화하여 투자 대비 보안 성과를 증명할 수 있습니다. * **개발자 생산성 향상:** 개발자는 도구를 전환하거나 데이터를 내보낼 필요 없이 GitLab 내에서 활성 프로젝트의 치명적인 취약점을 즉시 확인하고 조치할 수 있습니다. * **수동 보고 절차 간소화:** 모든 추적 작업이 GitLab 플랫폼 내에서 통합 관리되므로 수동 보고서 작성에 드는 시간을 줄이고 실제 복구 작업에 더 많은 시간을 할애할 수 있습니다. 조직은 업데이트된 보안 대시보드를 활용하여 보안 부채를 체계적으로 줄이고, 단순히 취약점을 발견하는 수준을 넘어 보안 사고 발생 가능성을 실질적으로 낮추는 데이터 중심의 DevSecOps 환경을 구축할 것을 권장합니다.

Monitor, manage, and automate AI workflows (새 탭에서 열림)

GitLab Duo Agent Platform의 'Automate' 기능은 AI 에이전트와 워크플로우를 효율적으로 관리하고 자동화하기 위한 중앙 허브 역할을 수행합니다. 개발자는 이를 통해 SDLC(소프트웨어 개발 생명주기) 이벤트에 반응하는 트리거를 설정하고, 실행 중인 AI의 추론 과정과 도구 사용 내역을 세밀하게 모니터링하여 전체 개발 프로세스의 생산성을 높일 수 있습니다. **AI 에이전트 및 플로우 통합 관리** * 프로젝트 내 'Automate' 메뉴를 통해 에이전트와 플로우의 생성, 활성화, 관리를 통합적으로 수행합니다. * 리소스는 'Enabled'(프로젝트에서 사용 가능한 리소스)와 'Managed'(해당 프로젝트가 소유한 리소스) 탭으로 구분하여 조직적으로 관리할 수 있습니다. * 상위 그룹 수준의 AI 카탈로그에서 기존 에이전트를 가져오거나, 프로젝트 요구사항에 맞춘 커스텀 에이전트 및 워크플로우를 직접 구축하여 확장 가능합니다. **이벤트 기반 트리거 자동화** * GitLab 내 특정 이벤트 발생 시 에이전트나 플로우가 즉시 실행되도록 자동화 규칙을 구성할 수 있습니다. * 주요 트리거 이벤트: 이슈나 MR 댓글에서의 에이전트 멘션(@에이전트명), 담당자 지정(/assign), 또는 리뷰어 할당(/assign_reviewer) 등이 포함됩니다. * 트리거가 작동하면 시스템이 자동으로 관련 플로우를 실행하고 세션을 시작하며, 최종 처리 결과를 해당 이슈나 MR에 자동으로 피드백합니다. **세션 로그를 활용한 정밀 모니터링** * 'Sessions' 섹션에서는 AI의 실행 상태(진행 중, 완료, 실패, 입력 대기 등)와 단계별 진행 상황을 실시간으로 추적합니다. * **Activity 탭:** 에이전트가 내린 의사결정 논리(Reasoning), 사용한 도구, 각 단계별 실행 결과를 시각적으로 제공하여 AI의 동작을 투명하게 파악할 수 있습니다. * **Details 탭:** 실제 Runner의 작업 로그를 제공하여 시스템 메시지, 도구 호출 상세 내역 등 하부 실행 컨텍스트에 대한 심층적인 디버깅 정보를 제공합니다. GitLab Duo의 자동화 역량을 실무에 적용하려면 먼저 반복적인 코드 리뷰나 이슈 요약 작업에 '트리거'를 설정해 보는 것이 좋습니다. 이후 '세션' 모니터링을 통해 AI의 추론 과정을 검토하고, 이를 바탕으로 플로우를 지속적으로 최적화한다면 더욱 신뢰할 수 있는 AI 협업 환경을 구축할 수 있습니다.

Introducing the GitLab Managed Service Provider (MSP) Partner Program (새 탭에서 열림)

GitLab은 기업들이 현대적인 DevSecOps 플랫폼을 효율적으로 도입하고 운영할 수 있도록 지원하기 위해 새로운 'GitLab MSP(Managed Service Provider) 파트너 프로그램'을 글로벌 출시했습니다. 이 프로그램은 MSP 파트너가 고객에게 GitLab을 완전 관리형 서비스로 제공할 수 있도록 체계적인 보상 체계와 기술 지원을 제공하며, 이를 통해 기업은 복잡한 도구 관리 부담에서 벗어나 본연의 소프트웨어 개발에만 집중할 수 있게 됩니다. 특히 AI 도입이 가속화되는 시장 환경에서 MSP가 전문성을 바탕으로 안전한 DevSecOps 환경을 구축하고 수익성 있는 비즈니스를 창출할 수 있는 기회를 제공한다는 점에 큰 의의가 있습니다. **MSP 프로그램의 핵심 가치와 고객 경험** * **운영 부담 완화:** 많은 기업이 현대적인 DevSecOps 플랫폼의 필요성을 절감하면서도, 이를 직접 배포·관리하고 최적화할 인력과 시간 부족을 겪고 있습니다. * **전문적인 관리 서비스:** MSP 파트너는 플랫폼 배포, 마이그레이션, 관리 및 지속적인 지원을 담당하여 고객의 복잡한 도구 체인과 보안 요구사항을 해결합니다. * **일관된 품질 보장:** 고객은 MSP를 통해 문서화되고 반복 가능한 구현 방법론, 정기적인 비즈니스 검토(QBR), 그리고 명확한 응답 및 에스컬레이션 경로가 포함된 체계적인 서비스를 제공받게 됩니다. **파트너를 위한 재무 및 기술적 혜택** * **다각화된 수익 모델:** 파트너는 모든 거래와 갱신에 대해 기존 파트너 마진 외에 추가적인 MSP 프리미엄 수익을 얻을 수 있으며, 배포·교육·컨설팅 등의 서비스 수수료를 100% 보유하여 다기능 수익 구조를 구축할 수 있습니다. * **역량 강화 프로그램:** 분기별 기술 부트캠프를 통해 최신 기능 및 모범 사례를 학습하며, AWS 솔루션 아키텍트나 GCP 클라우드 엔지니어와 같은 권장 클라우드 인증을 통해 기술적 토대를 강화할 수 있습니다. * **시장 진출 지원:** 'GitLab Certified MSP Partner' 배지 제공, 공동 마케팅 자산 활용, 마케팅 개발 기금(MDF) 접근 권한 등을 통해 브랜드 신뢰도를 높이고 신규 수요를 창출할 수 있습니다. **AI 도입 촉진 및 전문성 확장** * **GitLab Duo 활용:** 조직들이 AI를 소프트웨어 개발 워크플로우에 안전하게 도입하려고 함에 따라, MSP 파트너는 GitLab Duo Agent Platform을 활용해 AI 기반 워크플로우 가이드를 제공할 수 있습니다. * **거버넌스 및 준수:** MSP는 고객이 데이터 상주(Data Residency) 및 컴플라이언스 요구사항을 준수하면서 AI를 대규모로 채택할 수 있도록 돕는 핵심적인 역할을 수행합니다. **파트너 참여 요건 및 가입 절차** * **대상 기업:** 클라우드·인프라·애플리케이션 운영 분야에서 관리형 서비스를 제공하고 있거나, 장기적인 고객 관계를 기반으로 고부가가치 DevSecOps 포트폴리오를 추가하려는 기업에 적합합니다. * **유연한 진입 장벽:** 프로그램 가입을 위한 최소 연간 반복 매출(ARR)이나 고객 수 제한이 없어 전문성을 갖춘 파트너라면 누구나 도전할 수 있습니다. * **온보딩 프로세스:** 파트너 포털을 통한 신청 후, 약 90일간의 온보딩 과정을 통해 계약, 기술 교육, 영업 훈련 및 첫 번째 고객 참여를 준비하게 됩니다. 현재 클라우드 관리 서비스나 인프라 운영을 전문으로 하는 기업이라면, GitLab MSP 파트너 신청을 통해 DevSecOps 전문성을 확보하고 반복적인 수익 모델을 구축해 보시기 바랍니다. 기존 GitLab 파트너는 담당자에게 연락하여 MSP 서비스로의 전환 방안을 논의할 수 있으며, 신규 파트너는 GitLab 파트너 포털을 통해 신청 및 90일간의 체계적인 온보딩 과정을 시작할 수 있습니다.

Secure and fast deployments to Google Agent Engine with GitLab (새 탭에서 열림)

Google의 AI 에이전트 전용 관리형 런타임인 'Agent Engine'에 GitLab CI/CD를 활용하여 안전하고 효율적으로 배포하는 방법을 안내합니다. GitLab의 네이티브 Google Cloud 통합과 워크로드 아이덴티티 페더레이션(Workload Identity Federation) 기술을 활용하면 복잡한 인프라 관리 없이 보안이 강화된 자동 배포 환경을 구축할 수 있습니다. 이를 통해 개발자는 서버 관리나 보안 설정의 번거로움에서 벗어나 에이전트 로직 개발에만 집중할 수 있는 최적화된 DevSecOps 워크플로우를 확보하게 됩니다. **Agent Engine의 역할과 가치** * AI 에이전트를 위해 설계된 Google Cloud의 관리형 런타임으로, 인프라의 구축, 확장, 세션 관리 및 메모리 저장소를 자동으로 처리합니다. * 개발자가 하위 인프라를 직접 관리할 필요가 없으며, Google Cloud의 로깅, 모니터링, IAM(ID 및 액세스 관리) 시스템과 네이티브하게 통합됩니다. * 에이전트가 운영 환경에서 안정적으로 실행되고 확장될 수 있는 최적화된 환경을 제공합니다. **GitLab을 통한 배포의 보안 및 효율성** * **내장 보안 스캐닝:** 별도의 구성 없이도 의존성 스캐닝, SAST(정적 애플리케이션 보안 테스트), 비밀 정보 탐지 등의 보안 검사가 배포 과정에서 자동으로 수행됩니다. * **키리스(Keyless) 인증:** 워크로드 아이덴티티 페더레이션을 사용하여 서비스 계정 키 파일 없이 Google Cloud에 인증하므로, 키 유출로 인한 보안 위험을 근본적으로 제거합니다. * **파이프라인 간소화:** GitLab의 CI/CD 템플릿과 Agent Development Kit(ADK)를 결합하여 복잡한 배포 로직을 체계적으로 관리할 수 있습니다. **IAM 통합 및 환경 설정** * GitLab 프로젝트의 통합 설정에서 Google Cloud 프로젝트 ID, 워크로드 아이덴티티 풀 ID 등을 입력하여 플랫폼 간 신뢰 관계를 구축합니다. * 배포를 위해 서비스 주체(Service Principal)에 `roles/aiplatform.user`와 `roles/storage.objectAdmin` 권한을 반드시 부여해야 합니다. * 이 설정 과정을 통해 생성된 스크립트를 Google Cloud Shell에서 실행함으로써 안전한 인증 기반을 마련합니다. **CI/CD 파이프라인 구성 및 실행** * `.gitlab-ci.yml` 파일을 통해 테스트(보안 스캔)와 배포(Deploy) 두 단계로 구성된 파이프라인을 정의합니다. * 배포 단계에서는 `identity: google_cloud` 지시어를 사용하여 키리스 인증을 활성화하고, ADK CLI의 `adk deploy agent_engine` 명령어를 사용하여 에이전트를 패키징 및 배포합니다. * 파이프라인 캐싱 기능을 활용하여 pip 의존성 설치 속도를 높이고 전체적인 배포 사이클을 단축합니다. **실용적인 결론** AI 에이전트의 배포와 운영에서 가장 큰 걸림돌은 보안 설정과 인프라 관리입니다. GitLab과 Google Agent Engine을 결합한 이 방식은 보안 스캔을 자동화하고 인증 과정을 간소화함으로써, 엔터프라이즈 급의 안전성을 유지하면서도 배포 속도를 획기적으로 높일 수 있는 최선의 선택이 될 것입니다.

Get started with GitLab Duo Agent Platform: The complete guide (새 탭에서 열림)

GitLab Duo Agent Platform은 개발 수명 주기 전반에 걸쳐 여러 지능형 에이전트를 배치하여 팀과 AI 간의 비동기적 협업을 지원하는 새로운 오케스트레이션 계층입니다. 기존의 1:1 상호작용 방식의 AI 어시스턴트를 넘어, 다수의 전문 에이전트가 코드 리팩토링, 보안 스캔, 조사 등의 일상적인 업무를 자율적으로 수행하도록 설계되었습니다. 이를 통해 개발자는 GitLab이 보유한 프로젝트 컨텍스트를 기반으로 전문적인 지원을 받으며, 복잡한 문제 해결과 혁신에 더욱 집중할 수 있는 환경을 구축할 수 있습니다. ### GitLab Duo의 진화: 개인 도구에서 팀 협업 플랫폼으로 GitLab Duo Agent Platform은 기존 Duo Pro 및 Enterprise 서비스의 단순한 대체제가 아니라, 기능을 확장한 상위 집합 개념입니다. * **Duo Pro:** IDE 내에서 개별 개발자에게 AI 기반 코드 제안 및 채팅을 제공하여 개인의 생산성을 높이는 데 초점을 맞췄습니다. * **Duo Enterprise:** 소프트웨어 개발 수명 주기 전반으로 AI 기능을 확장했으나, 여전히 사용자와 AI 간의 1:1 질의응답 중심의 경험을 제공했습니다. * **Duo Agent Platform:** 일대일 방식에서 '다대다(Many-to-Many)' 팀-에이전트 협업 모델로 전환되어, 전문화된 에이전트가 소프트웨어 수명 주기 전반의 작업을 자율적으로 처리합니다. ### 지능형 에이전트 기반의 DevSecOps 자동화 플랫폼은 단순한 챗봇을 넘어 DevSecOps 전반의 워크플로우를 병렬적이고 동적인 프로세스로 변화시킵니다. * **오케스트레이션 계층:** 개발자가 AI 에이전트와 비동기적으로 협업하며 일련의 작업을 위임할 수 있는 중앙 제어 역할을 수행합니다. * **광범위한 컨텍스트 활용:** GitLab의 코드 관리, CI/CD 파이프라인, 이슈 트래킹, 테스트 결과, 보안 스캔 데이터를 활용하여 에이전트가 팀의 표준과 관행에 맞는 정확한 결과물을 내도록 합니다. * **일상적 업무의 위임:** 코드 리팩토링, 보안 취약점 스캔, 데이터 조사와 같은 반복적인 업무를 전문 에이전트에게 맡겨 개발자의 인지적 부하를 줄입니다. ### 플랫폼 활용을 위한 단계적 접근 GitLab은 이 플랫폼의 도입과 숙달을 위해 총 8부로 구성된 가이드를 제공하며 사용자들의 적응을 돕습니다. * **기초부터 심화까지:** 플랫폼의 기본 개념 이해부터 시작하여 MCP(Model Context Protocol) 통합, 맞춤화 설정, 실제 프로덕션 워크플로우 구축까지의 과정을 포함합니다. * **커뮤니티 및 이벤트:** 'GitLab Transcend'와 같은 행사를 통해 에이전트 기반 AI가 소프트웨어 배포를 어떻게 변화시키는지 사례를 공유하고, 커뮤니티 포럼을 통해 기술적 피드백을 주고받을 수 있습니다. 단순한 코드 완성을 넘어 팀의 업무 방식을 혁신하고자 한다면, GitLab Duo Agent Platform의 8부 시리즈 가이드를 통해 에이전트 기반의 자율적 개발 환경을 구축해 보시길 권장합니다.