GitLab 18.7이 지난 18일 출시됐습니다. 이번 업데이트에서는 Secret 유효성 검사의 GA 버전과 AI 기반 SAST 거짓 긍정 탐지 기능의 베타 버전을 선보였습니다. 아울러 GitLab Duo와 SDLC 트렌드 대시보드를 개선하고, CI/CD 파이프라인의 동적 입력 옵션, CI/CD 카탈로그 컴포넌트 게시 제어를 위한 인스턴스 설정을 추가했습니다.
위 내용은 이번 릴리즈에서 선보인 25개 이상 개선 사항 중 몇 가지 주요 사항입니다. 아래에 주요 업데이트 내용을 모두 확인하세요. 다음 달 릴리즈 내용을 미리 보려면, 예정 릴리즈 페이지를 살펴보세요.
Secret 유효성 검사 개선, GA 출시
- SaaS, Self-Managed: ULTIMATE
- GitLab Dedicated: ULTIMATE
리포지터리 중 하나에서 유효한 Secret이 유출되면 신속하게 대응해야 합니다. 유효성 검사는 유출된 자격 증명이 여전히 사용 가능한지 자동으로 확인해 긴급한 위협의 우선순위를 정하도록 돕습니다.
GitLab 18.7에서는 다음 사항을 개선했습니다.
- 공급업체 통합: 기존 GitLab 토큰 지원에 더해 Google Cloud, AWS, Postman과 통합됐습니다.
- 보고서 필터링: 취약점 보고서를 유효성 상태(활성, 비활성, 활성 가능)로 필터링해 Secret 결과(findings)를 빠르게 분류하고 우선순위를 지정할 수 있습니다.
- 그룹 수준 API: 단일 API 호출로 그룹 내 모든 프로젝트에서 유효성 검사를 활성화해 조직 전반에 걸친 롤아웃을 간소화합니다.
이번 릴리즈에서 유효성 검사는 GA(General Availability) 버전으로 제공합니다.
GitLab Duo와 SDLC 트렌드 대시보드 개선
- SaaS, Self-Managed: PREMIUMULTIMATEDUO COREDUO PRODUO ENTERPRISE
- GitLab Dedicated: ULTIMATEDUO COREDUO PRODUO ENTERPRISE
GitLab Duo와 SDLC 트렌드 대시보드는 소프트웨어 전달에서 GitLab Duo의 영향을 측정하도록 향상된 분석 기능을 제공합니다. 이 대시보드는 이제 GitLab Duo 기능 채택, 파이프라인 성능, 배포 빈도와 평균 Merge 시간(mean time to merge)과 같은 일반적인 개발 지표 전반에 걸쳐 6개월 치 트렌드 분석을 제공합니다.
이제 GitLab Duo Code Suggestions의 코드 생성 볼륨과 IDE 또는 언어 트렌드를 추적할 수 있으며, 팀이 새로운 GitLab Duo Agent Platform 플로를 어떻게 채택하는지도 확인할 수 있습니다. 향상된 사용자 수준 메트릭으로 팀은 지속적인 가치를 제공하는 핵심 Duo 기능의 심층 인사이트를 얻을 수 있습니다.
또 인스턴스 수준 AI 사용량을 위한 새로운 엔드포인트가 제공돼, 인스턴스 관리자가 Postgres(보관 기간 3개월) 또는 ClickHouse에서 모든 Duo 데이터를 추출할 수 있습니다.
ClickHouse 통합에 기반한 이 대시보드는 수백만 개의 데이터 포인트에 서브초(sub-second) 쿼리 성능을 제공합니다. Self-managed 인스턴스에서는 ClickHouse 통합을 위한 개선된 권장 사항과 구성 가이드를 확인할 수 있습니다.
CI/CD 파이프라인의 동적 입력 옵션
- SaaS, Self-Managed: FREEPREMIUMULTIMATE
- GitLab Dedicated: ULTIMATE
직관적인 웹 인터페이스로 새 파이프라인을 생성할 때, 동적 입력 선택을 활용하도록 CI/CD 파이프라인을 구성할 수 있습니다.
이제 동적 입력 옵션을 사용하면 이전 선택에 따라 입력 선택 옵션이 동적으로 업데이트되도록 파이프라인을 구성할 수 있습니다. 예를 들어, 하나의 드롭다운 목록에서 입력을 선택하면, 두 번째 드롭다운 목록에 관련된 입력 옵션이 자동으로 채워집니다.
CI/CD 입력을 사용하면 다음 작업을 수행할 수 있습니다.
- 사전 구성된 입력으로 파이프라인을 트리거해 오류를 줄이고 배포를 간소화합니다.
- 드롭다운 메뉴에서 기본값이 아닌 다양한 입력을 사용자가 선택할 수 있습니다.
- 이전 선택에 따라 옵션이 동적으로 업데이트되는 계단식 드롭다운 목록을 사용할 수 있습니다.
이러한 동적 기능으로 파이프라인 생성 과정을 안내하는, 더 지능적이고 컨텍스트 인식이 가능한 입력 구성을 만들 수 있으며, 오류를 줄이고 유효한 입력 조합만 선택하도록 보장할 수 있습니다.
AI 기반 SAST 거짓 긍정 탐지 베타 출시
- SaaS, Self-Managed: ULTIMATEDUO COREDUO PRODUO ENTERPRISE
- GitLab Dedicated: ULTIMATEDUO COREDUO PRODUO ENTERPRISE
보안 팀은 실제로는 거짓 긍정으로 판명되는 SAST 결과(findings)를 조사하는 데 많은 시간을 소비할 때가 많습니다. 이에 실제 보안 위험 대응이 지연될 수 있습니다.
GitLab 18.7에서는 팀이 중요한 취약점에 집중할 수 있도록 AI 기반 SAST 거짓 긍정 탐지 기능(베타 버전)을 도입했습니다. 보안 스캔이 실행되면 GitLab Duo가 각 Critical, High 심각도의 SAST 취약점을 자동으로 분석해 거짓 긍정 가능성을 판단합니다.
AI 분석 결과는 취약점 보고서에 직접 표시돼, 보안 엔지니어가 더 빠르고 자신 있게 분류(triage) 결정을 내리도록 즉각적인 컨텍스트를 제공합니다.
주요 기능은 다음과 같습니다.
- 자동 분석: 보안 스캔이 실행된 후 별도의 수동 트리거 없이 거짓 긍정 탐지가 자동으로 실행됩니다.
- 수동 트리거 옵션: 사용자는 필요에 따라 취약점 세부 정보 페이지에서 개별 취약점에 거짓 긍정 탐지를 수동으로 실행할 수 있습니다.
- 고영향 결과에 집중: 신호 대비 잡음을 최대한 줄이기 위해 Critical, High 심각도의 취약점으로 범위를 제한합니다.
- 컨텍스트 기반 AI 추론: 각 분석에는 코드 컨텍스트와 취약점 특성을 기반으로 해당 결과가 실제 취약점일 가능성과 관련된 설명이 포함됩니다.
- 원활한 워크플로 통합: 결과는 기존의 심각도, 상태, 해결 정보와 함께 취약점 보고서에 바로 표시됩니다.
이 기능은 Ultimate 티어 고객에게 무료 베타 버전으로 제공되며, 그룹 또는 프로젝트 설정에서 활성화해야 합니다. 피드백은 이슈 583697에 남겨주세요.
CI/CD 카탈로그에 컴포넌트 게시 제어하는 인스턴스 설정
- Self-Managed: PREMIUMULTIMATE
- GitLab Dedicated: ULTIMATE
GitLab Self-Managed, GitLab Dedicated 관리자는 이제 어떤 프로젝트가 CI/CD 카탈로그에 컴포넌트를 게시할 수 있는지 제한할 수 있습니다. 이 새로운 인스턴스 설정으로 조직은 게시 가능한 컴포넌트를 제어해 신뢰할 수 있고 선별된 CI/CD 카탈로그를 유지할 수 있습니다.
관리자는 이제 컴포넌트 게시 권한이 있는 프로젝트의 허용 목록(allowlist)을 지정할 수 있습니다. 허용 목록에 프로젝트가 등록되면, 해당 프로젝트만 컴포넌트를 게시할 수 있습니다. 이는 승인되지 않았거나 인가되지 않은 컴포넌트가 게시 목록을 복잡하게 만드는 것을 방지하고, 모든 컴포넌트가 조직의 표준과 보안 요구 사항을 충족하도록 보장합니다.
이 기능은 팀이 승인된 컴포넌트를 검색하고 재사용하도록 지원하면서 CI/CD 컴포넌트 에코시스템의 통제력을 유지하려는 엔터프라이즈 고객의 핵심 거버넌스 과제를 해결합니다.
인포그랩의 기술지원 서비스를 받으세요!
완벽한 GitLab 구축부터 성공적인 DevOps 도입까지! 인포그랩과 DevOps 라이프사이클을 함께하세요.
(이 포스트는 GitLab의 동의를 받아 공식 블로그의 영문 포스트를 우리말로 번역한 글입니다.)
Tip! 인포그랩의 GitLab 버전별 기능에서 버전별로 추가된 기능을 검색해 볼 수 있습니다.