GitLab / devsecops

GitLab and Anthropic: Governed AI for enterprise development (새 탭에서 열림)

GitLab은 Anthropic과의 협력을 강화하여 자사의 지능형 오케스트레이션 플랫폼에 최신 Claude 모델을 통합하고, 엔터프라이즈 환경에 최적화된 관리형 AI 서비스를 제공합니다. 이를 통해 기업은 최신 AI의 강력한 성능을 활용하면서도 GitLab이 제공하는 엄격한 거버넌스, 컴플라이언스 및 감사 기능을 그대로 유지할 수 있습니다. 결과적으로 보안과 규제 준수가 필수적인 공공 및 기업 환경에서 개발 속도를 안전하게 가속화할 수 있는 토대를 마련했습니다. **GitLab Duo와 Anthropic Claude의 통합** * Anthropic의 Claude 모델은 GitLab Duo 에이전트 플랫폼의 기본 모델로서 코드 생성, 코드 리뷰, 취약점 해결 및 에이전트 기반 채팅 등 다양한 유스케이스를 지원합니다. * 개발자들은 GitLab Duo를 통해 소프트웨어 개발 생명주기(SDLC) 전반의 워크플로우를 자동화하고 AI의 고도화된 추론 능력을 직접적으로 경험할 수 있습니다. **통제된 AI(Governed AI)를 통한 차별화** * AI가 제안하는 모든 코드 변경 사항은 별도의 특혜 없이 기존의 병합 요청(Merge Request) 프로세스, 승인 규칙, 보안 스캔 및 감사 추적 시스템을 동일하게 통과해야 합니다. * AI 에이전트가 자율적으로 취약점을 해결하거나 서비스를 리팩토링할 때, 모든 작업은 기록되고 추적 가능하며 인간 개발자와 동일한 정책 강제력을 적용받습니다. * 이는 AI의 자율성이 높아질수록 중요해지는 '책임성'과 '투명성'을 아키텍처 단계에서부터 보장하는 구조입니다. **엔터프라이즈 배포의 유연성 및 효율성** * Google Cloud Vertex AI 및 Amazon Bedrock을 통해 Claude 모델을 활용할 수 있어, 기업은 기존에 구축된 클라우드 거버넌스 프레임워크와 인프라를 그대로 이용할 수 있습니다. * 새로운 벤더 계약이나 데이터 거주성(Data Residency) 문제를 고민할 필요 없이 기존 Google Cloud 또는 AWS 환경 내에서 AI 워크로드를 처리할 수 있습니다. * Claude Marketplace에서 GitLab 크레딧을 구매하여 기존 Anthropic 지출 약정에 포함시킬 수 있는 통합 결제 방식을 통해 구매 절차를 단순화했습니다. **에이전트 중심의 소프트웨어 개발 미래** * GitLab은 AI 에이전트가 계획, 코딩, 테스트, 보안, 배포에 이르는 정의된 작업을 자율적으로 수행하는 미래를 지향하며, 이를 위해 Claude의 강력한 추론 능력과 신뢰성을 결합했습니다. * 거버넌스 프레임워크를 통해 AI 에이전트의 작업 시점과 내용에 대한 완전한 가시성을 제공함으로써, 기업이 통제권을 잃지 않고도 고도화된 자동화 단계로 진입할 수 있도록 돕습니다. 고급 AI 역량과 기업 수준의 강력한 통제권 사이에서 고민하는 기업이라면, GitLab Duo 플랫폼을 통해 보안이 담보된 지능형 DevSecOps 환경을 구축하는 것이 효과적인 전략이 될 것입니다. 현재 GitLab Duo를 사용 중인 고객은 기존의 거버넌스 틀 안에서 더 깊이 있는 AI 지원을 즉시 경험할 수 있습니다.

curl removed from Omnibus-GitLab FIPS packages in 19.0 (새 탭에서 열림)

GitLab은 2026년 5월 출시 예정인 19.0 버전부터 Omnibus-GitLab FIPS 패키지 내부에 자체 빌드하여 포함하던 `curl`을 제거합니다. 앞으로 FIPS 환경의 사용자들은 GitLab이 제공하는 번들 대신 사용 중인 Linux 배포판의 `curl` 패키지를 직접 활용하게 되며, 이는 기존의 OpenSSL 라이브러리 관리 방식과 동일한 모델로 통합되는 것입니다. 이번 변경을 통해 GitLab은 패키지 유지보수의 효율성을 높이고, OS 수준의 암호화 라이브러리와의 호환성을 강화하고자 합니다. ### 기술적 배경 및 변경 사유 * **OpenSSL 1.x 지원 중단:** 최신 버전인 `curl 8.18.0`부터 OpenSSL 1.x 환경에서의 컴파일 지원이 중단되었습니다. 이로 인해 Amazon Linux 2나 AlmaLinux 8(RHEL 8 기반)과 같이 구형 라이브러리를 사용하는 환경에서 기존 방식의 패키징을 지속하기 어려워졌습니다. * **FIPS 관리 모델의 일관성:** FIPS 패키지는 이미 배포판의 암호화 라이브러리를 링크하여 사용하고 있습니다. `curl` 또한 이와 동일한 방식으로 전환함으로써 보안 및 관리 모델의 일관성을 확보합니다. * **유지보수 및 보안 강화:** OpenSSL 3.0 이상을 사용하는 최신 배포판을 포함한 모든 FIPS 패키지에 이 변경 사항을 적용하여 전체적인 보안 관리 체계를 개선합니다. ### 적용 대상 및 일정 * **적용 시점:** 2026년 5월 21일 출시되는 GitLab 19.0 버전 및 이후의 패치 릴리스부터 적용됩니다. * **영향 범위:** 모든 Omnibus-GitLab FIPS 패키지 사용자가 대상입니다. * **사용자 조치:** GitLab 인스턴스 자체의 동작 방식은 변하지 않으므로 즉각적인 기능 설정 변경은 필요하지 않으나, 시스템 환경에 대한 점검이 권장됩니다. ### 보안 관리 책임의 변화 * **보안 업데이트 주체 변경:** 이제 GitLab은 FIPS 패키지용 `curl`의 보안 패치를 직접 배포하지 않습니다. 사용자는 운영체제(OS)에서 제공하는 업데이트를 통해 `curl`의 최신 보안 상태를 유지해야 합니다. * **취약점 스캐닝 결과:** 보안 스캐너는 더 이상 GitLab 번들 버전이 아닌, 호스트 OS에 설치된 `curl` 패키지를 기준으로 취약점을 식별하게 됩니다. FIPS 환경에서 GitLab을 운영 중인 관리자는 19.0 업데이트 이후 `curl` 관련 보안 취약점 대응이 운영체제 패키지 관리 프로세스에 포함되도록 관리 절차를 재점검해야 합니다. 특히 시스템 보안 스캔 결과가 OS 패키지 상태를 반영하게 되므로, 정기적인 OS 업데이트를 통해 최신 보안 패치를 적용할 것을 권장합니다.

GitLab + Amazon: Platform orchestration on a trusted AI foundation (새 탭에서 열림)

GitLab Duo Agent Platform과 Amazon Bedrock의 결합은 기업이 보안과 규제 준수를 유지하면서 소프트웨어 개발 생애 전반에 에이전트 기반 AI를 도입할 수 있는 강력한 토대를 제공합니다. GitLab은 워크플로우 오케스트레이션 레이어 역할을 수행하고, Bedrock은 신뢰할 수 있는 모델 추론 인프라를 담당함으로써 파편화된 AI 도구 확산을 막고 클라우드 투자의 효율성을 극대화합니다. 이를 통해 개발팀은 데이터 주권을 유지하면서도 보안 스캐닝, 파이프라인 최적화 등 복잡한 개발 작업을 지능적으로 자동화할 수 있습니다. **기존 AI 도입의 구조적 문제점** * **운영 파편화:** 개별 팀이나 개발자가 승인되지 않은 AI 도구를 제각각 사용함에 따라 엔드 투 엔드 거버넌스 수립이 불가능해지는 현상이 발생합니다. * **보안 및 데이터 주권:** 프롬프트와 코드 데이터가 외부로 유출될 위험이 있으며, 로그 소유권 및 데이터 흐름에 대한 불확실성이 존재합니다. * **클라우드 지출 최적화:** 기존 AWS 사용 약정과는 별개로 개별 AI 도구에 비용이 지출되면서 기업의 클라우드 전략 및 비용 효율성이 저하됩니다. **GitLab Duo Agent Platform: 에이전트 기반 제어 평면** * **병렬적 자동화:** 전통적인 단계별 방식에서 벗어나, 여러 전문 에이전트가 이슈, 머지 리퀘스트(MR), 보안 취약점 등 프로젝트 컨텍스트를 공유하며 동시에 작업을 수행합니다. * **통합 오케스트레이션:** 단순한 채팅 보조 도구를 넘어, GitLab의 AI Gateway를 통해 Bedrock 모델을 호출하고 소프트웨어 수명 주기 전반의 워크플로우를 지휘합니다. * **맥락 중심 협업:** 이슈 데이터와 파이프라인 결과를 실시간으로 활용하여 AI 에이전트와 개발팀 간의 유기적인 협업 환경을 구축합니다. **Amazon Bedrock: 신뢰할 수 있는 AI 인프라** * **완벽한 데이터 격리:** 서버리스 기반의 완전 관리형 서비스로, 모든 데이터는 고객의 AWS 계정 내에 머물며 모델 학습에 절대 사용되지 않습니다. * **강력한 규제 준수:** GDPR, HIPAA, FedRAMP High 등 주요 보안 인증을 획득하여 규제가 엄격한 산업군에서도 즉시 도입이 가능합니다. * **안전 장치 제공:** 'Bedrock Guardrails' 기능을 통해 콘텐츠 필터링, 환각 현상(Hallucination) 감지, 민감 정보 보호 기능을 모델 전반에 적용할 수 있습니다. **환경에 따른 세 가지 배포 옵션** * **완전 제어형:** GitLab Self-Managed 사용자가 자신의 AWS 계정에서 직접 Bedrock 모델과 AI 게이트웨이를 호스팅하여 데이터 통제권을 극대화합니다. * **관리형 서비스 연동:** GitLab Self-Managed 사용자가 GitLab에서 호스팅하는 AI 게이트웨이와 Bedrock 인프라를 활용하여 운영 부담을 줄입니다. * **SaaS 통합형:** GitLab.com(SaaS) 사용자가 GitLab 관리형 AI 인프라를 통해 별도의 설정 없이 Bedrock 기반의 AI 기능을 활용합니다. 기존에 AWS 인프라를 활용하면서 보안과 거버넌스를 중시하는 기업이라면, GitLab Duo와 Amazon Bedrock의 통합은 섀도우 AI(Shadow AI)를 방지하고 기술 스택을 단일화할 수 있는 최적의 해결책입니다. 특히 보안 취약점 자동 수정이나 파이프라인 최적화와 같이 신뢰도가 중요한 영역에서 Bedrock의 보안 가드레일을 활용하여 안전하게 AI를 확장해 나갈 것을 추천합니다.

Prepare your pipeline for AI-discovered zero-days (새 탭에서 열림)

AI는 이제 수십 년간 발견되지 않은 제로데이 취약점을 순식간에 찾아내고 공격 도구화하고 있으며, 이에 따라 기존의 수동적인 보안 대응 방식은 한계에 직면했습니다. 기업은 보안 통제를 개발 파이프라인(CI/CD)에 완전히 통합하고 AI 기반의 자동화된 탐지, 분류 및 복구 체계를 구축함으로써 공격과 방어 사이의 시간 간극을 좁혀야 합니다. **기존 취약점 관리의 한계와 AI 코드의 위험성** * 대부분의 보안 침해는 이미 패치가 존재함에도 적시에 조치하지 못한 '알려진 취약점'에서 발생하며, 취약점 조치에 걸리는 중앙값은 약 361일에 달할 정도로 대응이 느립니다. * AI 보조 도구(AI Coding Assistant)의 확산으로 인해 코드 생산량이 늘어남과 동시에, AI가 생성한 코드 내 보안 결함 또한 6개월 만에 10배 이상 급증했습니다. * AI는 패키지 이름을 환각(Hallucination)하거나 보안에 취약한 패턴을 복제하는 등 새로운 유형의 취약점을 양산하며 보안 팀의 검토 부담을 가중시키고 있습니다. **AI 속도에 맞춘 파이프라인 보안 전략** * **변경 시점의 정책 강제:** 보안 검토를 별도의 과정으로 두지 않고, 모든 코드 병합 요청(MR) 단계에서 보안 정책이 자동으로 실행되고 강제되도록 파이프라인을 설계해야 합니다. * **IDE 단계의 조기 차단:** 하드코딩된 비밀정보나 취약한 임포트 등 단순한 문제는 개발자가 코드를 푸시하기 전 IDE 단계에서 즉시 식별하여 피드백을 제공해야 합니다. * **자동화된 취약점 분류(Triage):** AI를 활용해 수많은 스캔 결과 중 실제 공격 도달 가능성(Reachability)과 위험도가 높은 항목을 선별함으로써 개발자의 불필요한 피로도를 줄여야 합니다. * **거버넌스 기반의 AI 복구:** AI가 제안한 수정안도 인간이 작성한 코드와 동일하게 자동 스캔, 승인 절차, 감사 추적(Audit Trail) 시스템을 거치도록 관리하여 신뢰성을 확보합니다. **지능형 파이프라인의 실무 대응 시나리오** * 새로운 제로데이 취약점이 발견되면 AI 보안 에이전트가 전사 리포지토리를 즉시 검색하여 해당 패키지의 사용 여부와 실제 노출 위험을 분 단위로 파악합니다. * 보안 엔지니어는 AI를 통해 영향받는 모든 프로젝트에 대한 복구 캠페인을 시작하며, AI가 제안한 패치가 테스트를 통과하지 못할 경우 AI가 스스로 코드를 수정하여 재시도합니다. * 모든 대응 과정은 자동으로 기록되어 사후 감사 시 스캔 결과, 적용 정책, 승인자 정보를 포함한 보고서로 즉각 출력됩니다. **실용적인 제언** 공격자들이 AI를 고도화하기 전, 조직은 다음 질문을 통해 파이프라인을 점검해야 합니다. 모든 병합 요청(MR)에서 보안 스캔이 강제로 실행되고 있는가? 취약점이 발견되었을 때 여러 도구를 거치느라 대응 시간이 지체되고 있지는 않은가? 지금 바로 파이프라인 내의 보안 파편화를 제거하고 통합된 자동화 체계를 구축하는 것이 미래의 AI 기반 공격을 막는 핵심입니다.

Automate remediation with ready-to-merge AI code fixes (새 탭에서 열림)

GitLab 18.11은 AI 기반의 '에이전틱 SAST 취약점 해결(Agentic SAST Vulnerability Resolution)' 기능을 정식 출시하며 보안 병목 현상을 획기적으로 개선했습니다. 이 시스템은 취약점을 자동으로 분석하고 테스트를 거친 수정 코드를 제안함으로써, 개발자가 보안 이슈 해결을 위해 컨텍스트를 전환하거나 수동으로 연구하는 시간을 대폭 줄여줍니다. 결과적으로 보안 취약점이 운영 환경에 도달하기 전에 선제적으로 대응할 수 있는 자율적인 보안 파이프라인 구축이 가능해졌습니다. ### 에이전트 기반 자동 수정 및 개발 흐름 최적화 * **자율적 취약점 해결:** GitLab Duo 에이전트가 취약점의 맥락을 분석하여 근본 원인을 해결하는 코드를 자동 생성하고, 자동화된 테스트를 통해 검증까지 마친 '병합 준비 완료(ready-to-merge)' 상태의 MR을 제공합니다. * **신뢰도 점수 제공:** 개발자는 에이전트가 제안한 수정 사항과 함께 제공되는 신뢰도 점수를 확인하여 신속하고 정확한 의사결정을 내릴 수 있습니다. * **증분 스캐닝(Incremental Scanning):** 전체 스캔이 완료될 때까지 기다릴 필요 없이 변경된 코드 부분에 대한 보안 결과를 즉시 확인할 수 있어 파이프라인의 속도가 향상되었습니다. ### 비즈니스 리스크 중심의 스마트한 우선순위 지정 * **CVSS 4.0 적용:** 최신 산업 표준인 CVSS 4.0을 도입하여 실제 환경에서의 악용 가능성을 더욱 정교하게 반영한 취약점 점수를 제공합니다. * **정책 기반 심각도 재정의:** AppSec 팀은 CVE, CWE, 특정 파일 경로 등의 신호를 바탕으로 취약점 심각도 점수를 자동으로 조정하는 정책을 설정하여, 단순 스캐너 출력값이 아닌 실제 비즈니스 위험도에 따라 업무 우선순위를 정할 수 있습니다. * **실질적 위험 차단:** 알려진 악용 취약점(KEV) 상태나 악용 예측 점수 시스템(EPSS) 임계값을 기준으로 병합(Merge)을 차단하거나 경고하는 승인 정책을 구성할 수 있습니다. * **보안 대시보드 강화:** 새로운 'Top CWEs' 차트를 통해 프로젝트 전반에서 가장 빈번하게 발생하는 취약점 클래스를 파악하고 시스템적인 리스크를 관리할 수 있습니다. ### 보안 거버넌스 강화 및 운영 부담 완화 * **보안 관리자(Security Manager) 역할 도입:** 코드 수정이나 배포 권한 없이도 보안 정책을 설정하고 취약점 조치 워크플로우를 관리할 수 있는 전용 역할이 추가되어, 권한 분리 및 보안 전문성 강화가 가능해졌습니다. * **SAST 구성 프로필:** 개별 프로젝트마다 YAML 파일을 수정할 필요 없이, 단일 위치에서 그룹 내 모든 프로젝트에 일관된 보안 스캔 설정을 한 번에 적용할 수 있습니다. * **운영 효율성 제고:** 개발자에게 일일이 스캐너 설정을 요청하거나 각 프로젝트의 커버리지 격차를 수동으로 확인할 필요가 없어 보안 팀의 운영 오버헤드가 크게 줄어듭니다. --- 보안 팀이 개발 속도를 따라잡지 못해 고민이라면, GitLab 18.11의 에이전틱 보안 기능을 도입해 볼 것을 권장합니다. 특히 **GitLab Ultimate** 사용자라면 'Agentic SAST Vulnerability Resolution'을 통해 보안 부채를 자동으로 탕감하고, 개발자는 코드 작성에만 집중할 수 있는 환경을 구축할 수 있습니다.

GitLab and Vertex AI on Google Cloud: Advancing agentic development (새 탭에서 열림)

GitLab과 Google Cloud는 GitLab Duo Agent Platform과 Vertex AI를 결합하여 소프트웨어 개발 생명주기(SDLC) 전반에 걸친 '에이전틱(Agentic) AI' 워크플로우를 본격화하고 있습니다. 이 협업은 단순한 코드 생성을 넘어 기획, 리뷰, 보안 취약점 해결까지 자동화하며, 개발팀이 기존에 정의된 Google Cloud 보안 포스처 내에서 최신 파운데이션 모델을 안전하게 활용하도록 지원합니다. 결과적으로 기업은 복잡한 AI 인프라 관리 부담 없이 통합된 DevSecOps 제어 평면 위에서 소프트웨어 전달 속도를 획기적으로 높일 수 있습니다. ## SDLC 전반을 아우르는 지능형 에이전트의 역할 단일 작업에 집중하는 기존 AI 코딩 어시스턴트와 달리, GitLab Duo Agent Platform은 전체 소프트웨어 개발 프로세스를 유기적으로 연결합니다. * **통합된 컨텍스트 활용:** 백로그, 머지 리퀘스트(MR), 파이프라인 상태, 보안 결과 등 GitLab에 축적된 SDLC 데이터를 직접 참조하여 맥락에 맞는 의사결정을 내립니다. * **특화된 에이전트 협업:** 백로그를 분석하고 에픽을 구조화된 작업으로 나누는 'Planner Agent'와 보안 취약점을 우선순위별로 분류하고 해결책을 제시하는 'Security Analyst Agent'가 협업합니다. * **에이전틱 채팅(Agentic Chat):** 개발자는 자연어 쿼리를 통해 프로젝트의 전체 상태를 기반으로 한 다단계 추론 답변을 얻을 수 있으며, 이는 파편화된 도구를 사용할 때 발생하는 수동 핸드오프 문제를 해결합니다. ## Vertex AI 기반의 모델 유연성과 확장성 GitLab Duo는 모델 유연성을 핵심 설계 원칙으로 하며, Google Cloud의 Vertex AI를 통해 고성능 모델과 인프라를 제공받습니다. * **Vertex AI Model Garden 연동:** Gemini 모델뿐만 아니라 Model Garden에서 제공하는 다양한 써드파티 및 오픈소스 모델을 선택하여 성능, 비용, 규제 요건에 최적화된 모델을 사용할 수 있습니다. * **추론 성능 및 컨텍스트 확장:** 최신 Vertex AI 모델의 긴 컨텍스트 윈도우와 강화된 도구 사용(Tool Use) 능력을 통해 대규모 모노레포 보안 리뷰나 복잡한 백로그 분석과 같은 고난도 작업을 수행합니다. * **자체 모델 도입(BYOM):** GitLab 18.9부터 지원되는 BYOM 기능을 통해 고객은 승인된 프로바이더와 게이트웨이를 직접 구성하여 기업 고유의 보안 모델 내에서 AI 에이전트를 운영할 수 있습니다. ## 기업용 거버넌스와 클라우드 경제성 확보 Google Cloud 환경에서 GitLab Duo를 사용하는 기업은 보안 관리와 비용 최적화 측면에서 강력한 이점을 얻습니다. * **표준화된 AI 제어 평면:** 여러 개의 개별 AI 도구를 관리하는 대신, Vertex AI 기반의 모델들을 GitLab 내부에서 통합 관리함으로써 섀도우 AI(Shadow AI) 발생을 억제하고 보안 정책을 일관되게 적용합니다. * **데이터 프라이버시 보호:** Google Cloud의 업계 선도적인 데이터 프라이버시 및 모델 보호 기술을 그대로 활용하여 기업의 민감한 코드가 안전하게 처리되도록 보장합니다. * **운영 효율성 강화:** 개발자가 보안 취약점 수정 제안을 확인하고 검증하는 과정을 동일한 플랫폼 내에서 처리함으로써 컨텍스트 스위칭을 줄이고, 기존 Google Cloud 계약 범위 내에서 AI 사용량을 통합 관리하여 중복 지출을 방지합니다. GitLab과 Vertex AI의 통합은 AI 인프라의 복잡성을 제거하고 개발팀이 본연의 업무인 코드 작성에만 집중할 수 있는 환경을 제공합니다. 기업은 파편화된 AI 도구 체인을 관리하는 위험에서 벗어나, 검증된 단일 시스템 오브 레코드(System of Record) 내에서 안전하고 빠르게 혁신을 가속화할 수 있습니다.

GitLab named a 2026 Omdia Universe Leader (새 탭에서 열림)

GitLab이 2026년 옴디아 유니버스(Omdia Universe) AI 지원 소프트웨어 개발 부문에서 리더로 선정되며, 전체 소프트웨어 개발 수명 주기(SDLC)를 아우르는 독보적인 기술력을 입증했습니다. 이번 평가는 단순한 코드 생성을 넘어 테스트, 보안, 배포 및 오케스트레이션 능력을 중점적으로 다뤘으며, GitLab은 솔루션 광범위성(100%)과 전략적 혁신성(88%) 등 주요 항목에서 최고 점수를 기록했습니다. 결과적으로 GitLab은 AI 도입이 단순한 개발 속도 향상을 넘어 실제 비즈니스 가치 창출과 운영 효율성으로 이어질 수 있음을 보여주었습니다. ### SDLC 전반을 아우르는 솔루션의 확장성 * GitLab은 '솔루션 광범위성' 항목에서 100% 점수를 획득하며, 계획 및 요구사항 관리부터 배포 및 이슈 해결까지 SDLC 전 단계를 단일 플랫폼에서 지원합니다. * 플래너 에이전트(Planner Agent)와 보안 분석 에이전트(Security Analyst Agent)를 통해 개발 지연이 빈번한 스프린트 계획 및 취약점 분석 단계까지 AI 지원을 확장했습니다. * 단순 코드 생성을 넘어 테스트, 보안 검토, 배포 단계를 통합함으로써 코딩 단계의 가속화가 병목 현상 없이 전체 인도 속도 향상으로 이어지도록 설계되었습니다. ### 에이전트 기반 AI와 전략적 혁신 * Anthropic, Google, AWS와의 파트너십을 통한 멀티 모델 지원을 제공하여, 사용자가 워크로드와 데이터 요구사항에 최적화된 모델을 선택할 수 있습니다. * 에이전트가 이슈, 머지 리퀘스트(MR), 파이프라인, 보안 결과물 간의 문맥을 잃지 않고 협업하는 '통합 문맥(Unified Context)' 아키텍처를 구축했습니다. * 2026년 평가의 핵심 지표인 '에이전틱 AI(Agentic AI)' 역량에서 자율적인 작업 조정 및 전문 에이전트 간의 핸드오프 오케스트레이션 능력을 인정받았습니다. ### 엔터프라이즈 환경을 위한 보안 및 실행력 * 고객의 비공개 데이터를 학습에 사용하지 않는 프라이버시 우선 아키텍처를 통해 엔터프라이즈 급 보안을 보장합니다. * SOC 2, ISO 27001 인증 및 폐쇄망(Air-gapped) 환경 지원, 자체 호스팅 AI 모델 지원 등을 통해 규제가 엄격한 산업군의 요구사항을 충족합니다. * AI 영향력 대시보드(AI Impact Dashboard)를 통해 사이클 타임, 배포 빈도 등 AI가 실제 생산성에 미치는 영향을 지표로 시각화하여 제공합니다. ### 개발자와 AI 에이전트의 역할 변화 * 개발팀의 역할은 이제 직접 코드를 작성하는 것에서 AI 에이전트를 감독하고 기술적 요구사항 및 보안 가드레일을 적용하는 방향으로 진화하고 있습니다. * 단순히 코드 생성 속도에만 집중하는 조직은 배포와 테스트 단계에서 병목 현상을 겪게 되므로, 전체 수명 주기를 관리할 수 있는 플랫폼 도입이 필수적입니다. * GitLab은 보안과 운영이 통합된 환경을 제공함으로써, AI가 생성한 코드가 고품질과 성능을 유지하며 즉시 생산 환경에 반영될 수 있는 혁신 속도를 지원합니다.

GitLab Duo CLI: Agentic AI now in the terminal (새 탭에서 열림)

GitLab Duo CLI는 IDE를 넘어 터미널 환경에서 전체 소프트웨어 개발 생애주기(SDLC)를 지원하는 에이전트형 AI 도구입니다. 이 도구는 단순한 코드 완성을 넘어 파이프라인 디버깅, CI/CD 자동화 등 복잡한 작업을 수행하며, 인간의 승인을 거치는 대화형 모드와 자동화된 워크플로우를 위한 헤드리스 모드를 모두 지원합니다. 보안과 제어 권한을 플랫폼 수준에서 강화하여 개발자가 터미널 내에서 안전하고 효율적으로 에이전트 기반 AI의 성능을 활용할 수 있도록 설계되었습니다. **터미널 환경으로의 확장 배경** * 기존의 AI 비서들이 IDE 내에서 코드 작성(Auto-complete)에만 집중했던 것과 달리, Duo CLI는 테스트 실행, 파이프라인 트리거, 취약점 스캔 모니터링 등 개발 전 단계의 자동화를 목표로 합니다. * CLI는 출력을 파이프라인으로 연결하거나 명령어를 체이닝하고 스크립트에 삽입할 수 있어 기계와 인간 모두에게 유연한 인터페이스를 제공합니다. * IDE가 맥락 중심의 인터랙티브한 개발에 유리하다면, 터미널은 자동화, 이식성, 투명한 디버깅 측면에서 강력한 강점을 가집니다. **운영 모드 및 주요 기능** * **대화형 모드(Interactive mode):** 에디터와 무관한 터미널 채팅 환경을 제공하며, 모든 작업 실행 전 사용자의 승인을 거치는 'Human-in-the-loop' 방식을 따릅니다. 이를 통해 코드 구조 파악, 오류 수정, 파이프라인 트러블슈팅이 가능합니다. * **헤드리스 모드(Headless mode):** CI/CD 러너나 스크립트 내에서 사람의 개입 없이 독립적으로 작동하도록 설계되었습니다. * **에이전트 활용:** GitLab Duo Agent Platform에 정의된 모든 에이전트와 워크플로우에 접근할 수 있어 코드 리팩토링부터 복잡한 다단계 개발 작업까지 자율적으로 수행합니다. **보안 모델 및 가드레일** * **플랫폼 내장 보안:** 프롬프트 주입(Prompt injection) 탐지 기능을 플랫폼 수준에서 기본적으로 지원하여 외부 위협으로부터 시스템을 보호합니다. * **복합 ID(Composite identity):** 에이전트가 접근할 수 있는 범위를 엄격히 제한하며, AI가 수행하는 모든 행동에 대해 감사(Audit)가 가능하도록 기록을 남깁니다. * **사용자 정의 지침:** `chat-rules.md`, `AGENTS.md`, `SKILL.md`와 같은 설정 파일을 통해 에이전트에게 허용된 작업, 자원, 지식 범위를 명시적으로 정의하는 '최소 권한 원칙'을 적용합니다. **실용적인 제언** GitLab Duo CLI는 현재 공개 베타 상태로 제공되고 있습니다. 기존 GitLab CLI(`glab`) 사용자는 `glab duo cli` 명령어를 통해 즉시 설치 및 구성이 가능합니다. 반복적인 파이프라인 문제 해결이나 대규모 코드 현대화 작업을 자동화하려는 팀은 대화형 모드로 충분히 검증을 거친 후, 헤드리스 모드를 CI/CD 파이프라인에 통합하여 생산성을 극대화할 것을 추천합니다.

Streamline test management with SmartBear QMetry GitLab component (새 탭에서 열림)

SmartBear QMetry GitLab 컴포넌트는 GitLab CI/CD 파이프라인에서 생성된 테스트 결과를 QMetry Test Management Enterprise로 자동 업로드하여 테스트 관리 공수를 획기적으로 줄여줍니다. 이 통합은 수동 업로드로 인한 지연과 오류를 제거하고, 요구사항부터 실행 결과까지의 엔드투엔드 추적성을 보장하여 엔터프라이즈 환경에서의 품질 관리를 강화합니다. 결과적으로 개발 팀은 실시간 데이터와 AI 기반 인사이트를 바탕으로 더욱 빠르고 신뢰할 수 있는 릴리스 의사결정을 내릴 수 있습니다. **GitLab과 QMetry 통합의 주요 가치** * **수동 프로세스 제거**: JUnit, TestNG 등 다양한 형식의 테스트 결과를 파이프라인 완료 후 자동으로 업로드하여 QA 팀의 단순 반복 작업을 최소화합니다. * **추적성 및 규정 준수**: 테스트 결과를 특정 GitLab 커밋 및 빌드와 연결함으로써 금융, 항공우주, 의료 기기 등 규제 산업에서 필수적인 감사 추적(Audit Trail)을 완벽하게 지원합니다. * **피드백 루프 가속화**: 테스트가 완료되는 즉시 스테이크홀더가 결과를 확인할 수 있어, 문제 발생 시 즉각적인 조치가 가능하고 릴리스 주기가 단축됩니다. * **AI 기반 인사이트 활용**: 파이프라인의 실시간 데이터를 QMetry의 AI 엔진에 공급함으로써 취약한 테스트(Flaky tests) 식별 및 실패 예측의 정확도를 높입니다. **자동화된 테스트 결과 관리 워크플로우** * **테스트 실행**: GitLab CI/CD 파이프라인 내에서 단위 테스트, 통합 테스트 또는 E2E 테스트가 실행됩니다. * **결과 생성**: 테스트 도구에 의해 JUnit XML 또는 TestNG XML과 같은 표준 형식의 결과 파일이 생성됩니다. * **컴포넌트 호출**: GitLab CI/CD 카탈로그에 등록된 QMetry 컴포넌트가 파이프라인의 한 단계(Job)로 실행됩니다. * **API 자동 업로드**: 컴포넌트가 결과 파일을 읽어 QMetry API를 통해 지정된 프로젝트로 데이터를 전송하며, 이 과정은 별도의 수동 개입 없이 이루어집니다. **설정 및 보안 준비 사항** * **API 자격 증명**: QMetry Enterprise 인스턴스의 설정 메뉴에서 API Key를 생성해야 하며, 해당 키는 결과 업로드를 위한 쓰기 권한을 가져야 합니다. * **보안 유지**: 생성된 API Key는 보안을 위해 `.gitlab-ci.yml` 파일에 직접 노출하지 않고, 반드시 GitLab CI/CD 변수(Variables) 기능을 사용하여 관리해야 합니다. * **환경 구성**: 업로드를 위해 QMetry 인스턴스 URL(예: `https://company.qmetry.com`)과 테스트 결과를 업로드할 대상 프로젝트 정보를 사전에 확인해야 합니다. **실용적인 권장 사항** 데브섹옵스(DevSecOps) 성숙도를 높이려는 조직은 이 컴포넌트를 도입하여 '속도 기반의 품질 관리'를 실현할 수 있습니다. 특히 복잡한 규제 준수가 필요한 항공우주나 금융 분야의 팀에게는 이 자동화 도구가 감사 준비 시간을 단축하고 데이터 일관성을 유지하는 데 강력한 도구가 될 것입니다. 초기 설정 시 모든 테스트 결과를 한곳으로 모으는 것뿐만 아니라, QMetry 내에서 테스트 스위트 구조를 먼저 최적화한 후 자동화를 적용하는 것이 보다 체계적인 리포팅을 위해 권장됩니다.

Manage vulnerability noise at scale with auto-dismiss policies (새 탭에서 열림)

GitLab의 자동 취약점 상태 해제(auto-dismiss) 정책은 보안 스캐너에서 발생하는 막대한 양의 노이즈를 효과적으로 관리하여 보안팀이 실제 중요한 취약점에 집중할 수 있게 돕습니다. 테스트 코드, 외부 라이브러리, 자동 생성된 파일 등 실제 수정이 필요 없는 항목들을 정책에 따라 자동으로 제외함으로써 보안 심사 효율을 높이고 개발 부서와의 마찰을 줄일 수 있습니다. 이 기능은 단순히 경고를 숨기는 것이 아니라 해제 사유를 투명하게 기록하고 대규모 프로젝트에 일관된 기준을 적용한다는 점에서 핵심적인 보안 운영 도구입니다. ### 자동 취약점 상태 해제의 필요성과 장점 * **트리아지(Triage) 노이즈 제거:** 테스트 코드나 벤더링된 의존성 파일에서 반복적으로 발생하는 불필요한 보안 경고를 자동으로 처리하여 보안팀의 업무 과부하를 방지합니다. * **조직적 일관성 유지:** 조직 전체에 공통적으로 적용되는 오탐(False Positive) 기준을 중앙에서 정책으로 관리하여 모든 프로젝트에 일관되게 적용할 수 있습니다. * **감사 투명성 및 데이터 보존:** 스캐너 제외 방식과 달리, 해제된 취약점도 보고서에 기록으로 남으며 정책 링크와 해제 사유가 포함되어 사후 검토 및 감사가 용이합니다. ### 정책 작동 원리 및 적용 단계 * **YAML 기반 정책 정의:** 취약점 관리 정책 파일에 파일 경로, 디렉토리명 또는 특정 식별자(CVE, CWE)를 매칭 기준으로 설정하고, 해제 사유(예: 테스트 용도, 완화 제어 등)를 명시합니다. * **정책 활성화:** GitLab의 '보안 > 정책' 메뉴에서 취약점 관리 정책을 새로 생성하고 머지 요청(MR)을 통해 활성화합니다. * **파이프라인 연동:** 기본 브랜치 파이프라인이 실행될 때마다 정책이 적용되며, 실행당 최대 1,000개의 일치하는 취약점을 자동으로 '해제(Dismissed)' 상태로 변경합니다. * **결과 분석:** 취약점 보고서에서 '해제됨' 상태로 필터링하여 정책이 의도대로 작동했는지 확인하고 보안 임팩트를 측정할 수 있습니다. ### 주요 활용 사례 및 구성 시나리오 * **테스트 및 스펙 코드 제외:** `test/**/*`, `spec/**/*` 등 테스트 디렉토리에서 발견되는 하드코딩된 자격 증명이나 안전하지 않은 픽스처 관련 경고를 '테스트 사용' 사유로 자동 해제합니다. * **외부 의존성 및 벤더링 코드 관리:** `vendor/`, `node_modules` 등 직접 수정 권한이 없거나 상류(Upstream)에서 관리되는 외부 코드의 취약점을 필터링합니다. * **알려진 오탐 CVE 처리:** 조직 환경에서 위협이 되지 않는 것으로 확인된 특정 CVE 번호를 식별자로 등록하여 반복적인 수동 개입을 방지합니다. * **자동 생성된 코드 예외 처리:** Protobuf, gRPC, OpenAPI 생성기 등이 만든 파일(`**/*.pb.go` 등)에서 발생하는 수정 불가능한 패턴을 관리 대상에서 제외합니다. * **인프라 수준의 완화 조치 반영:** WAF(웹 방화벽)나 런타임 보호 도구에 의해 이미 방어되고 있는 XSS(CWE-79), SQL 주입(CWE-89) 등의 취약점에 '완화 제어 적용' 사유를 부여합니다. 효율적인 보안 운영을 위해서는 무분별한 경고 확인보다 정교한 정책 수립이 중요합니다. 처음에는 테스트 디렉토리와 같이 명확한 영역부터 자동 해제 정책을 적용해보고, 점진적으로 오탐으로 확인된 CVE나 CWE로 범위를 넓혀가며 보안 팀의 생산성을 극대화할 것을 추천합니다.

Agentic code reviews for $0.25 each (새 탭에서 열림)

GitLab은 AI 코드 작성 가속화로 인해 발생하는 코드 리뷰 병목 현상을 해결하기 위해 'Code Review Flow'를 도입했습니다. 이 서비스는 리뷰 건당 $0.25라는 파격적인 정찰제 가격을 통해 기존 AI 리뷰 도구의 불투명한 비용 문제를 해결하고, 모든 머지 리퀘스트(MR)에 대해 자동화된 리뷰를 제공합니다. 이를 통해 개발팀은 비용 부담 없이 코드 품질을 유지하며 대기 시간을 획기적으로 단축하고 소프트웨어 배포 흐름을 최적화할 수 있습니다. **코드 리뷰 병목 현상과 기존 도구의 한계** * AI 코딩 도구의 보급으로 코드 작성 속도는 빨라졌으나, 이를 검토하는 리뷰 시간은 오히려 91% 증가하며 새로운 병목 구간이 되었습니다. * 대규모 기업의 엔지니어는 MR 승인을 위해 평균 13시간을 대기하며, 개발 팀의 44%가 느린 코드 리뷰를 주요 배포 장애물로 지목하고 있습니다. * 기존 AI 리뷰 도구들은 토큰 기반의 불예측한 가격 정책을 사용하거나, 리뷰당 $15~$25에 달하는 높은 비용을 요구하여 모든 프로젝트에 전면 도입하기가 어려웠습니다. **에이전트 기반 코드 리뷰의 작동 방식** * GitLab Duo 에이전트 플랫폼에서 작동하는 이 기술은 단순히 코드 차이(diff)만 분석하는 것이 아니라, 레포지토리 컨텍스트, 파이프라인 결과, 보안 취약점, 컴플라이언스 요구사항을 종합적으로 스캔합니다. * MR이 생성되면 자동으로 다단계 리뷰 프로세스가 실행되며, 소스 코드 내에 구조화된 인라인 피드백을 생성하여 개발자에게 직접 전달합니다. * 개별 엔지니어의 IDE에서 실행되는 방식이 아닌 플랫폼 수준의 실행 방식을 채택하여, 조직 전체에서 수백 개의 리뷰를 동시에 병렬로 처리할 수 있습니다. **$0.25 정찰제 pricing의 경제적 가치** * 리뷰의 복잡도나 코드 양에 관계없이 건당 0.25 GitLab Credit($0.25)의 고정 비용이 발생하므로, 기업은 스프레드시트를 통해 정확한 비용 예측이 가능합니다. * 시니어 엔지니어가 15분간 수행하는 수동 리뷰 비용을 약 $25로 산정할 때, 자동화 리뷰는 비용을 99% 절감하는 효과를 제공합니다. * 매우 저렴한 고정 비용 덕분에 팀은 특정 중요 MR만 선별하여 리뷰하던 방식에서 벗어나, 모든 프로젝트와 모든 MR에 AI 리뷰를 상시 활성화하는 전략으로 전환할 수 있습니다. **일관된 표준과 생산성 향상** * 프로젝트별로 사용자 정의 리뷰 지침을 설정할 수 있어, 조직 전체에 일관된 코드 표준과 가이드라인을 대규모로 적용하기 용이합니다. * Claude Code, Codex 등 다양한 에이전트를 프로젝트 특성에 맞춰 선택하여 운영하면서도 모든 리뷰 결과를 한곳에서 관리할 수 있습니다. * AI 에이전트가 단순 반복적인 리뷰 대기열을 처리하는 동안, 엔지니어들은 아키텍처 설계나 팀원 멘토링과 같은 고부가가치 업무에 더 많은 시간을 할당할 수 있습니다. GitLab 18.8.4 버전 이상의 사용자(GitLab.com, Dedicated, Self-managed)라면 즉시 이 기능을 도입할 수 있습니다. 반복적인 코드 검토 업무를 저렴한 비용의 AI 에이전트에게 위임하여, 며칠씩 걸리던 리뷰 대기 시간을 단 분 단위로 단축하고 전체 개발 주기를 가속화할 것을 권장합니다.

Agentic code reviews for $0.25 each (새 탭에서 열림)

GitLab은 AI 기반의 개발 가속화가 코드 리뷰 병목 현상으로 이어지는 문제를 해결하기 위해 에이전트 방식의 '코드 리뷰 플로우(Code Review Flow)'를 도입했습니다. 이 서비스는 저장소의 맥락과 보안 규정을 반영하여 자동 리뷰를 수행하며, 조직 전체에 일관된 가이드라인을 적용할 수 있도록 설계되었습니다. 특히 복잡한 토큰 계산 없이 리뷰당 0.25달러라는 고정 요금제를 적용함으로써, 기업이 비용 예측 가능성을 확보하면서도 대규모로 코드 품질 관리를 자동화할 수 있다는 점이 핵심입니다. ### 에이전트 기반 자동화와 맥락 중심 리뷰 * GitLab Duo Agent Platform 내에서 작동하는 에이전트 기반 워크플로우로, 머지 요청(MR)이 생성되는 즉시 자동으로 코드 분석을 시작합니다. * 단순히 코드 변경 사항(diff)만 보는 것이 아니라, 전체 저장소의 맥락, 파이프라인 결과, 보안 취약점 진단 및 컴플라이언스 요구사항을 종합적으로 분석하여 실행 가능한 피드백을 제공합니다. * IDE 내에서 개별적으로 작동하는 AI 어시스턴트와 달리, 조직 전체에서 수백 개의 코드 리뷰를 동시에 병렬로 처리할 수 있는 아키텍처를 갖추고 있습니다. ### 조직적 일관성과 유연한 에이전트 활용 * 조직마다 맞춤형 머지 리뷰 지침(Custom instructions)을 설정할 수 있어, 모든 프로젝트에서 팀의 표준과 가이드라인이 일관되게 준수되도록 보장합니다. * GitLab 기본 에이전트 외에도 Claude Code나 Codex와 같은 외부 에이전트, 혹은 팀 자체적으로 구축한 맞춤형 에이전트를 혼합하여 사용할 수 있는 개방성을 제공합니다. * 모든 리뷰 결과는 한 곳에서 관리되므로, 다양한 팀과 프로젝트에 걸쳐 코드 품질 가시성을 확보할 수 있습니다. ### 예측 가능한 고정 요금 체계(Flat-rate Pricing) * 리뷰 대상 코드의 길이나 저장소의 복잡도, AI 호출 단계에 상관없이 리뷰 1회당 0.25 GitLab 크레딧(약 0.25달러)의 고정 비용이 발생합니다. * 기존 수동 코드 리뷰에 소요되는 엔지니어의 시간당 비용(약 25달러 추산)과 비교했을 때 약 100배 가량의 비용 절감 효과를 제공합니다. * 토큰 단위의 복잡한 계산이 필요 없으므로, 대규모 개발 조직에서도 연간 R&D 예산을 세우고 코드 리뷰 자동화 범위를 확장하기가 용이합니다. AI 도입으로 개발 속도가 빨라질수록 수동 리뷰는 더 큰 병목이 될 수밖에 없습니다. 개발 효율성을 극대화하기 위해 고정 비용으로 운영 가능한 자동 리뷰 시스템을 도입하여 엔지니어가 더 복잡하고 창의적인 문제 해결에 집중할 수 있는 환경을 조성하는 것을 추천합니다. 특히 대규모 머지 요청이 잦은 조직이라면 GitLab의 코드 리뷰 플로우를 통해 비용과 시간이라는 두 마리 토끼를 잡을 수 있을 것입니다.

Automating detection gap analysis with GitLab Duo Agent Platform (새 탭에서 열림)

GitLab의 Signals Engineering 팀은 보안 침해 사고 이후 발생하는 '탐지 격차(Detection Gap)' 분석을 자동화하기 위해 **GitLab Duo Agent Platform**을 활용하고 있습니다. 이 플랫폼은 AI 에이전트가 사고 타임라인과 데이터를 직접 분석하여 수동 검토 없이도 미흡했던 탐지 지점을 찾아내고, 이를 MITRE ATT&CK 프레임워크에 매핑하여 구체적인 개선안을 제시하도록 돕습니다. 결과적으로 보안 팀은 반복적이고 소모적인 분석 업무에서 벗어나 실제 탐지 역량을 강화하는 데 집중할 수 있게 되었습니다. ### 탐지 격차 분석의 어려움과 자동화의 필요성 * **탐지 격차의 정의:** 공격자가 행동을 취했음에도 불구하고 기존 보안 탐지 시스템이 이를 포착하지 못한 지점을 의미합니다. * **수동 분석의 한계:** 사고 데이터를 일일이 읽고 공격자의 행동을 탐지 기회와 매핑하는 작업은 시간이 많이 걸리며, 담당 엔지니어에 따라 결과가 일관되지 않을 가능성이 큽니다. * **워크플로우 통합:** GitLab 팀은 사고 기록이 남는 'GitLab Issues' 내에서 분석 과정이 자연스럽게 이루어지도록 자동화된 프로세스를 구축했습니다. ### GitLab Duo Agent Platform의 특징 * **에이전트 기반 프레임워크:** 단순한 챗봇을 넘어 추론하고, 행동을 취하며, 이슈(Issues)나 머지 리퀘스트(MR), 코드와 같은 GitLab 리소스와 기본적으로 통합되는 AI 에이전트를 구축할 수 있습니다. * **두 가지 활용 경로:** 즉시 사용 가능한 '보안 분석가 에이전트(Security Analyst Agent)'를 활용하거나, 특정 팀의 표준에 맞춘 '맞춤형 에이전트'를 직접 제작할 수 있습니다. ### 보안 분석가 에이전트 (Security Analyst Agent) 활용 * **즉각적인 도입:** 보안 도메인 지식이 사전 학습되어 있어, 종료된 사고 이슈에서 에이전트를 호출하는 것만으로 분석을 시작할 수 있습니다. * **분석 범위:** 사고 설명, 타임라인, 작업 내역 및 댓글을 검토하여 탐지가 누락된 전술, 기술 및 절차(TTP)를 식별합니다. * **장단점:** 별도의 설정 없이 바로 가치를 제공하지만, 기업 고유의 SIEM 환경이나 로그 소스, 특정 탐지 표준에 대한 맥락은 부족할 수 있습니다. ### 맞춤형 탐지 엔지니어링 어시스턴트 구축 기술 GitLab 팀은 더 정교한 분석을 위해 'Detection Engineering Assistant'라는 맞춤형 에이전트를 구축했으며, 핵심은 **시스템 프롬프트(System Prompt)** 설계에 있습니다. * **명확한 역할 정의:** 에이전트에게 "GitLab Signals Engineering 팀의 탐지 엔지니어"라는 구체적인 역할을 부여하여 응답의 일관성을 높였습니다. * **탐지 철학 주입:** 오탐(False Positive)을 줄이고 행동 기반 탐지를 우선시하는 팀의 원칙을 프롬프트에 포함하여, 에이전트가 팀의 기준에 맞는 권고안을 내도록 했습니다. * **기술 스택 및 로그 소스 정보:** 실제 사용 중인 SIEM과 수집 가능한 로그 소스 정보를 입력하여, 이론적인 제안이 아닌 실제 구현 가능한 탐지 규칙을 제안하게 했습니다. * **MITRE ATT&CK 및 출력 형식 지정:** 모든 결과를 ATT&CK 기법에 매핑하고, 탐지 누락 내용, 로그 소스, 권장 접근 방식을 포함한 정형화된 리스트로 출력하도록 설정했습니다. (실제 시스템 프롬프트는 약 1,870단어, 337행에 달할 정도로 상세함) ### 실용적인 권장 사항 AI를 이용한 탐지 분석 자동화를 고려한다면, 처음에는 GitLab에서 제공하는 **보안 분석가 에이전트**로 시작하여 AI의 잠재력을 확인해 보는 것이 좋습니다. 이후 분석의 정확도를 높이고 싶다면, 팀의 고유한 탐지 표준과 인프라 정보를 상세히 담은 **시스템 프롬프트**를 설계하여 맞춤형 에이전트를 구축하는 단계로 발전시킬 것을 권장합니다.

Navigate repositories faster with the file tree browser (새 탭에서 열림)

GitLab 18.9 버전에서 새롭게 도입된 '파일 트리 브라우저'는 웹 환경에서도 IDE와 유사한 코드 탐색 경험을 제공하여 개발자의 생산성을 높여줍니다. 기존의 번거로운 뒤로 가기 방식이나 브레드크럼(breadcrumb) 의존 방식에서 벗어나, 파일 구조를 유지한 채 직관적으로 코드를 탐색할 수 있는 환경을 구축한 것이 핵심입니다. 이 기능은 GitLab.com뿐만 아니라 자가 관리형(Self-Managed) 및 전용(Dedicated) 인스턴스에서도 모두 사용할 수 있습니다. ### 직관적인 파일 구조 탐색 및 동기화 * **IDE 스타일의 트리 뷰**: 파일 및 디렉토리 구조를 측면 패널에 상시 표시하여, 현재 위치를 잃지 않고 코드의 계층 구조를 한눈에 파악할 수 있습니다. * **실시간 위치 동기화**: 메인 콘텐츠 영역에서 파일을 선택하면 트리 뷰가 해당 파일의 상위 디렉토리를 자동으로 확장하고 위치를 강조해 줍니다. * **유연한 레이아웃**: 트리 패널은 접거나 크기를 조절할 수 있어, 사용자의 화면 작업 공간에 맞춰 최적화가 가능합니다. ### 강력한 검색 및 키보드 중심의 내비게이션 * **빠른 파일 필터링**: 트리 브라우저가 열린 상태에서 'F' 키를 누르면 검색창이 활성화되며, 파일명이나 확장자의 일부를 입력해 원하는 파일로 즉시 이동할 수 있습니다. * **W3C ARIA 표준 준수**: 키보드 사용자와 스크린 리더 사용자를 위해 W3C ARIA treeview 패턴을 구현하였습니다. 화살표 키, Enter, Space, Home, End 키 등을 사용하여 손을 마우스로 옮기지 않고도 모든 탐색이 가능합니다. * **반응형 인터페이스**: 데스크톱에서는 사이드바 형태로 제공되지만, 작은 화면에서는 토글 방식의 드로어(drawer)로 전환되며 모바일에서는 코드 뷰를 최대로 활용할 수 있도록 숨김 처리됩니다. ### 대규모 저장소를 위한 성능 최적화 * **페이지네이션(Pagination) 적용**: 항목이 매우 많은 대형 저장소에서도 성능 저하가 발생하지 않도록 페이지네이션 기술을 도입하여 필요한 만큼 데이터를 로드합니다. * **확장성**: 프로젝트 규모가 커지더라도 트리 뷰의 응답성을 유지하도록 설계되어 대규모 엔터프라이즈 환경에서도 쾌적한 사용이 가능합니다. ### 활용 팁 및 권장 사항 새로운 파일 트리 브라우저를 효율적으로 사용하려면 `Shift + F` 단축키를 기억하는 것이 좋습니다. 저장소 뷰에서 이 키를 눌러 브라우저를 즉시 켜고 끌 수 있으며, 파일 검색 시에는 `F` 키를 활용해 계층 구조를 일일이 클릭하지 않고도 대상 파일에 접근하는 방식을 추천합니다. GitLab은 향후 성능 및 접근성을 더욱 개선할 예정이므로 피드백 이슈를 통해 개선 의견을 전달하는 것도 좋은 방법입니다.

Introducing the GitLab Managed Service Provider (MSP) Partner Program (새 탭에서 열림)

GitLab은 기업들이 현대적인 DevSecOps 플랫폼을 효율적으로 도입하고 운영할 수 있도록 지원하기 위해 새로운 'GitLab MSP(Managed Service Provider) 파트너 프로그램'을 글로벌 출시했습니다. 이 프로그램은 MSP 파트너가 고객에게 GitLab을 완전 관리형 서비스로 제공할 수 있도록 체계적인 보상 체계와 기술 지원을 제공하며, 이를 통해 기업은 복잡한 도구 관리 부담에서 벗어나 본연의 소프트웨어 개발에만 집중할 수 있게 됩니다. 특히 AI 도입이 가속화되는 시장 환경에서 MSP가 전문성을 바탕으로 안전한 DevSecOps 환경을 구축하고 수익성 있는 비즈니스를 창출할 수 있는 기회를 제공한다는 점에 큰 의의가 있습니다. **MSP 프로그램의 핵심 가치와 고객 경험** * **운영 부담 완화:** 많은 기업이 현대적인 DevSecOps 플랫폼의 필요성을 절감하면서도, 이를 직접 배포·관리하고 최적화할 인력과 시간 부족을 겪고 있습니다. * **전문적인 관리 서비스:** MSP 파트너는 플랫폼 배포, 마이그레이션, 관리 및 지속적인 지원을 담당하여 고객의 복잡한 도구 체인과 보안 요구사항을 해결합니다. * **일관된 품질 보장:** 고객은 MSP를 통해 문서화되고 반복 가능한 구현 방법론, 정기적인 비즈니스 검토(QBR), 그리고 명확한 응답 및 에스컬레이션 경로가 포함된 체계적인 서비스를 제공받게 됩니다. **파트너를 위한 재무 및 기술적 혜택** * **다각화된 수익 모델:** 파트너는 모든 거래와 갱신에 대해 기존 파트너 마진 외에 추가적인 MSP 프리미엄 수익을 얻을 수 있으며, 배포·교육·컨설팅 등의 서비스 수수료를 100% 보유하여 다기능 수익 구조를 구축할 수 있습니다. * **역량 강화 프로그램:** 분기별 기술 부트캠프를 통해 최신 기능 및 모범 사례를 학습하며, AWS 솔루션 아키텍트나 GCP 클라우드 엔지니어와 같은 권장 클라우드 인증을 통해 기술적 토대를 강화할 수 있습니다. * **시장 진출 지원:** 'GitLab Certified MSP Partner' 배지 제공, 공동 마케팅 자산 활용, 마케팅 개발 기금(MDF) 접근 권한 등을 통해 브랜드 신뢰도를 높이고 신규 수요를 창출할 수 있습니다. **AI 도입 촉진 및 전문성 확장** * **GitLab Duo 활용:** 조직들이 AI를 소프트웨어 개발 워크플로우에 안전하게 도입하려고 함에 따라, MSP 파트너는 GitLab Duo Agent Platform을 활용해 AI 기반 워크플로우 가이드를 제공할 수 있습니다. * **거버넌스 및 준수:** MSP는 고객이 데이터 상주(Data Residency) 및 컴플라이언스 요구사항을 준수하면서 AI를 대규모로 채택할 수 있도록 돕는 핵심적인 역할을 수행합니다. **파트너 참여 요건 및 가입 절차** * **대상 기업:** 클라우드·인프라·애플리케이션 운영 분야에서 관리형 서비스를 제공하고 있거나, 장기적인 고객 관계를 기반으로 고부가가치 DevSecOps 포트폴리오를 추가하려는 기업에 적합합니다. * **유연한 진입 장벽:** 프로그램 가입을 위한 최소 연간 반복 매출(ARR)이나 고객 수 제한이 없어 전문성을 갖춘 파트너라면 누구나 도전할 수 있습니다. * **온보딩 프로세스:** 파트너 포털을 통한 신청 후, 약 90일간의 온보딩 과정을 통해 계약, 기술 교육, 영업 훈련 및 첫 번째 고객 참여를 준비하게 됩니다. 현재 클라우드 관리 서비스나 인프라 운영을 전문으로 하는 기업이라면, GitLab MSP 파트너 신청을 통해 DevSecOps 전문성을 확보하고 반복적인 수익 모델을 구축해 보시기 바랍니다. 기존 GitLab 파트너는 담당자에게 연락하여 MSP 서비스로의 전환 방안을 논의할 수 있으며, 신규 파트너는 GitLab 파트너 포털을 통해 신청 및 90일간의 체계적인 온보딩 과정을 시작할 수 있습니다.