GitLab 18.10 버전이 2026년 3월 19일 공식 출시되었습니다. 이번 릴리즈는 AI 에이전트 기반 보안 자동화, 인증 현대화, 개발자 생산성 향상에 중점을 두고 있습니다. SAST 거짓 긍정 탐지 GA, Free 티어 GitLab Credits 구매, 패스키 기반 비밀번호 없는 로그인, Work Items 통합 목록 및 저장된 뷰, CI/CD Job 런타임 입력 등 핵심 기능이 포함되었으며, 총 212개의 커뮤니티 기여가 반영되었습니다.
GitLab Duo Agent Platform을 활용한 SAST 거짓 긍정 탐지 (GA)
- SaaS, Self-Managed, GitLab Dedicated: ULTIMATEDUO COREDUO PRODUO ENTERPRISE
GitLab 18.7에서 베타로 처음 도입된 SAST 거짓 긍정 탐지 기능이 GitLab 18.10에서 GA(Generally Available) 버전으로 출시되었습니다.
보안 스캔이 실행되면 GitLab Duo Agent Platform이 Critical 및 High 심각도의 SAST 취약점을 분석하여 거짓 긍정(False Positive) 가능성을 판단합니다. 평가 결과는 취약점 보고서에 직접 표시됩니다.
주요 기능은 다음과 같습니다.
- 자동 분석: 보안 스캔이 완료될 때마다 거짓 긍정 탐지가 자동으로 실행됩니다. 수동 개입이 필요하지 않습니다.
- 수동 옵션: 사용자가 취약점 상세 페이지에서 개별 취약점에 대해 거짓 긍정 탐지를 수동으로 실행할 수 있습니다.
- 고영향 결과에 집중: Critical 및 High 심각도 SAST 취약점으로 분석을 제한하여, 가장 중요한 부분에서 노이즈를 줄입니다.
- 컨텍스트 기반 AI 추론: 각 평가는 코드 컨텍스트, 데이터 흐름, 정적 분석 특유의 취약점 특성을 고려하여 해당 결과가 거짓 긍정일 수 있는 이유를 설명합니다.
- 원활한 워크플로 통합: 기존 심각도, 상태, 수정 정보와 함께 취약점 보고서에 직접 결과가 표시됩니다. 기존 워크플로를 변경할 필요가 없습니다.
SAST 거짓 긍정 탐지 화면. 출처: GitLab
GitLab.com Free 티어에서 GitLab Credits 구매
- SaaS: Free, GitLab Credits
GitLab.com의 Free 티어 그룹 Owner가 이제 GitLab Credits를 구매하여 AI 기능을 사용할 수 있습니다. 월별 크레딧 금액을 구매하고 연간 약정을 체결하면 GitLab Duo Agent Platform의 에이전트와 플로에 접근할 수 있습니다.
주요 특징은 다음과 같습니다.
- 사용량 기반 가격 책정: 기본 플랜 구독 없이 월별 크레딧 약정을 구매할 수 있습니다.
- 셀프 서비스 구매: GitLab 구매 플로를 통해 크레딧을 구매합니다.
- 원활한 업그레이드 경로: 나중에 Premium 또는 Ultimate로 업그레이드할 때 크레딧 약정이 이전됩니다.
- 소비량 추적: GitLab Credits 대시보드를 통해 크레딧 사용량을 모니터링할 수 있습니다.
이 구매 옵션은 현재 무료 GitLab.com 최상위 그룹에서만 사용할 수 있습니다.
패스키를 통한 비밀번호 없는 로그인
- SaaS, Self-Managed: FREEPREMIUMULTIMATE
- GitLab Dedicated, GitLab Dedicated for Government: ULTIMATE
GitLab이 이제 패스키(Passkey)를 지원하여 비밀번호 없는 로그인과 피싱 방지 2단계 인증(2FA) 방법을 제공합니다. 패스키는 공개 키 암호화와 생체 인증(지문, 얼굴 인식) 또는 디바이스 PIN을 사용하여 계정에 안전하게 접근합니다.
주요 장점은 다음과 같습니다.
- 비밀번호 없는 편의성: 비밀번호를 기억하는 대신 디바이스의 생체 인증 또는 PIN으로 로그인합니다.
- 멀티 디바이스 지원: 데스크톱 브라우저, 모바일 디바이스(iOS 16 이상, Android 9 이상), FIDO2/WebAuthn 호환 하드웨어 보안 키에서 패스키를 사용할 수 있습니다.
- 피싱 방지 보안: 개인 키는 디바이스를 벗어나지 않습니다. GitLab은 공개 키만 저장하여, GitLab 서버가 침해되더라도 계정을 보호합니다.
- 자동 2FA 통합: 2FA가 활성화된 계정에서 패스키가 기본 2FA 방법으로 사용 가능합니다.
시작하려면 계정 설정에서 패스키를 추가하세요.
패스키를 사용하는 비밀번호 없는 인증 소개 영상. 출처:GitLab
Work Items 통합 목록 및 저장된 뷰
- SaaS, Self-Managed: FREEPREMIUMULTIMATE
- GitLab Dedicated, GitLab Dedicated for Government: ULTIMATE
GitLab 계획 경험이 Work Items 목록과 저장된 뷰로 대폭 업그레이드됩니다. 오랫동안 요청되었던 두 가지 기능을 함께 제공합니다.
Work Items 목록은 에픽(Epic), 이슈(Issue), 기타 작업 항목을 하나의 통합 목록으로 결합하여, 서로 다른 작업 항목 유형별 페이지를 전환할 필요가 없습니다. 이로써 계획 객체 간의 관계를 더 쉽게 이해할 수 있습니다.
저장된 뷰는 필터, 정렬 순서, 표시 옵션을 포함한 맞춤화된 목록 구성을 생성하고 저장할 수 있게 합니다. 이로써 일상적인 확인 작업이 더 효율적으로 되며, 팀 전체에서 작업을 표준화된 방식으로 볼 수 있습니다.
이 기능은 GitLab Work Items 여정의 다음 단계로, 일관성을 제공하고 GitLab 계획 도구 전반에 걸쳐 새로운 기능을 열어주는 통합 아키텍처입니다.
MCP를 통한 커스텀 에이전트의 외부 데이터 접근 (Experimental)
- SaaS: PREMIUMULTIMATE
이제 AI 카탈로그의 커스텀 에이전트를 Model Context Protocol(MCP)을 통해 외부 데이터 소스 및 도구에 연결할 수 있습니다. GitLab을 벗어나지 않고도 외부 시스템과 통합할 수 있습니다.
이 기능은 실험 단계입니다.
CI/CD Job 런타임 입력
- SaaS, Self-Managed: FREEPREMIUMULTIMATE
- GitLab Dedicated, GitLab Dedicated for Government: ULTIMATE
동적 Job 구성을 위해 CI/CD 변수를 사용하는 것은 어려울 수 있습니다. 변수는 관리하기가 복잡한 오버라이드 계층 구조를 따르며, 다양한 사용 사례에 사용할 수 없습니다.
이번 릴리즈에서는 inputs를 사용하여 Job 수준에서 명시적이고 타입이 지정된 입력을 정의할 수 있습니다. Job 입력의 주요 기능은 다음과 같습니다.
- 타입 안전성(string, number, boolean, array)
- 정적 값이거나 기존 변수를 참조할 수 있는 기본값
- 허용 가능한 값의 엄격한 목록 정의
- 입력값 검증을 위한 정규표현식 지원
Job 입력은 기본값을 자동으로 사용하지만, job 재시도 또는 수동 job 실행 시 값을 수정할 수 있습니다.
CI Job 입력 소개 영상. 출처: GitLab
정규표현식을 활용한 MR 제목 네이밍 컨벤션 적용
- SaaS, Self-Managed: PREMIUMULTIMATE
- GitLab Dedicated, GitLab Dedicated for Government: ULTIMATE
이제 프로젝트 설정에서 Merge request(MR) 제목에 대한 필수 정규표현식을 구성할 수 있습니다. 설정 시 GitLab이 merge 가능성 검사로 제목을 평가하여, 제목이 변경된 시점과 관계없이 규칙을 준수할 때까지 merge를 차단합니다.
AI 기반 시크릿 거짓 긍정 탐지 (베타)
- SaaS, Self-Managed, GitLab Dedicated: ULTIMATEDUO COREDUO PRODUO ENTERPRISE
GitLab Duo가 Critical 및 High 심각도의 시크릿 탐지 취약점을 자동으로 분석하여 거짓 긍정 여부를 판단합니다. 평가에는 코드 컨텍스트를 기반으로 한 추론 설명과 신뢰도 점수가 포함되며, 결과는 취약점 보고서에 직접 표시됩니다.
IDE 및 CI/CD 파이프라인의 Agent Skills 지원
- SaaS, Self-Managed: PREMIUMULTIMATE
- GitLab Dedicated: ULTIMATE
GitLab Duo Agent Platform이 이제 Agent Skills 사양을 지원합니다. 이 사양은 AI 에이전트에 새로운 기능과 전문 지식을 부여하기 위한 새로운 표준입니다. 프로젝트의 워크스페이스 수준에서 Agent Skills를 정의하여 에이전트에 특정 프레임워크로 테스트를 작성하는 것과 같은 특화된 지식과 워크플로를 제공할 수 있습니다. 에이전트는 일치하는 작업을 만나면 관련 스킬을 자동으로 발견하고 로드합니다.
이름, 파일 경로 또는 맞춤형 슬래시 명령으로 스킬을 수동으로 트리거할 수도 있습니다. Agent Skills는 IDE의 플로 및 Agentic Chat, CI/CD 파이프라인에서 실행되는 플로에서 접근 가능합니다. 이 사양을 지원하는 다른 AI 도구와도 함께 작동합니다.
GitLab Helm Chart 레지스트리 GA 출시
- SaaS, Self-Managed: FREEPREMIUMULTIMATE
- GitLab Dedicated, GitLab Dedicated for Government: ULTIMATE
Helm을 사용하여 Kubernetes �애플리케이션 배포를 관리하는 팀이 이제 프로덕션 워크로드에 GitLab Helm Chart 레지스트리를 사용할 수 있습니다. 이전에 베타였던 이 레지스트리는 주요 아키텍처 및 안정성 문제 해결 후 GA로 출시되었습니다.
GA 출시까지의 과정에는 index.yaml 엔드포인트가 1,000개 이상의 차트를 반환하지 못하던 하드 제한 해결, 새로 게시된 차트 버전이 인덱스에서 누락되던 백그라운드 인덱싱 버그 수정, 전체 AppSec 보안 리뷰 완료, GitLab Geo를 실행하는 Self-managed 고객을 위한 Helm 메타데이터 캐시의 Geo 복제 지원 추가가 포함되었습니다.
플랫폼 및 DevOps 팀은 표준 Helm 클라이언트 워크플로를 사용하여 GitLab에서 직접 Helm 차트를 게시하고 설치할 수 있으며, 프로젝트 수준 엔드포인트와 개인 액세스 토큰, 배포 토큰, CI/CD Job 토큰을 사용한 인증을 지원합니다.
컨테이너 가상 레지스트리 UI 관리 (베타)
- SaaS, Self-Managed: PREMIUMULTIMATE
- GitLab Dedicated, GitLab Dedicated for Government: ULTIMATE
지난 마일스톤에서 컨테이너 가상 레지스트리가 베타로 출시되었을 때, 플랫폼 엔지니어는 Docker Hub, Harbor, Quay 및 기타 레지스트리를 단일 풀 엔드포인트 뒤에 집약할 수 있었습니다. 그러나 모든 구성에 직접 API 호출이 필요했기 때문에, 팀은 레지스트리를 생성하고 관리하기 위해 스크립트나 수동 curl 명령을 유지해야 했습니다.
이제 컨테이너 가상 레지스트리를 GitLab UI에서 직접 생성하고 관리할 수 있습니다. 그룹 수준 컨테이너 레지스트리 페이지에서 새로운 가상 레지스트리를 생성하고, 인증 자격 증명을 포함한 업스트림 소스를 구성하며, 기존 구성을 편집하고, 더 이상 필요하지 않은 레지스트리를 삭제할 수 있습니다. GitLab을 벗어나거나 API 호출을 작성할 필요가 없습니다.
Self-Hosted Vertex AI 지원
- Self-Managed: PREMIUMULTIMATE
Vertex AI가 GitLab Duo Agent Platform Self-Hosted에서 지원되는 LLM 플랫폼으로 추가되었습니다. 고객은 이제 Vertex AI에 호스팅된 Anthropic 모델을 구성하여 GitLab Duo Agent Platform 기능에 사용할 수 있습니다.
보안 구성 프로파일의 파이프라인 시크릿 탐지
- SaaS, Self-Managed, GitLab Dedicated, GitLab Dedicated for Government: ULTIMATE
GitLab 18.9에서 Secret Detection - Default 프로파일과 함께 보안 구성 프로파일이 도입되었으며, 처음에는 Push Protection이 적용되었습니다. 이 프로파일을 사용하면 단일 CI/CD 구성 파일도 수정하지 않고 수백 개의 프로젝트에 표준화된 시크릿 스캐닝을 적용할 수 있습니다.
Secret Detection - Default 프로파일이 이제 파이프라인 기반 스캐닝도 포함하여, 전체 개발 워크플로에 걸쳐 시크릿 탐지를 위한 통합 제어 표면을 제공합니다. 프로파일은 세 가지 스캔 트리거를 활성화합니다.
- Push Protection: 모든 Git push 이벤트를 스캔하고 시크릿이 탐지되면 push를 차단하여, 시크릿이 코드베이스에 들어가는 것을 방지합니다.
- Merge Request 파이프라인: 열린 MR이 있는 브랜치에 새 커밋이 push될 때마다 자동으로 스캔을 실행합니다. 결과에는 MR에서 도입된 새로운 취약점만 포함됩니다.
- 브랜치 파이프라인(기본 브랜치 전용): 변경 사항이 기본 브랜치에 merge되거나 push될 때 자동으로 실행되어, 기본 브랜치의 시크릿 탐지 현황을 완전히 볼 수 있습니다.
프로파일 적용에는 YAML 구성이 필요하지 않습니다.
Conan 2.0 패키지 레지스트리 지원 (베타)
- SaaS, Self-Managed: FREEPREMIUMULTIMATE
- GitLab Dedicated, GitLab Dedicated for Government: ULTIMATE
C 및 C++ 개발 팀을 위한 Conan 패키지 레지스트리가 이제 Conan 2.0을 지원하며 Experimental에서 베타로 승격되었습니다. 이번 릴리즈에는 전체 v2 API 호환성, 레시피 리비전 지원, 향상된 검색 기능, --force 플래그를 포함한 업로드 정책의 적절한 처리가 포함됩니다.
팀은 표준 Conan 클라이언트 워크플로를 사용하여 GitLab에서 직접 Conan 2.0 패키지를 게시하고 설치할 수 있어, JFrog Artifactory와 같은 외부 아티팩트 관리 솔루션의 필요성을 줄입니다.
원격 플로를 위한 네트워크 접근 제어
- SaaS, Self-Managed: PREMIUMULTIMATE
- GitLab Dedicated, GitLab Dedicated for Government: ULTIMATE
이제 프로젝트에서 GitLab 러너를 사용하는 플로에 대한 네트워크 접근 제어를 구성할 수 있습니다. 이는 네트워크 대상에 대한 제어를 유지하면서 안전한 외부 통합�을 제공합니다. 프로젝트 Maintainer는 보안 경계를 강제하면서 필요한 API 연결, MCP 서버, 서드파티 서비스를 허용할 수 있습니다.
agent-config.yml의 network_policy 섹션에서 네트워크 접근 제어를 구성하세요. agent-config.yml은 브랜치 보호 규칙과 MR 승인 워크플로로 보호됩니다.
GitLab Runner 18.10
- SaaS, Self-Managed: FREEPREMIUMULTIMATE
- GitLab Dedicated, GitLab Dedicated for Government: ULTIMATE
GitLab Runner는 CI/CD Job을 실행하고 결과를 GitLab 인스턴스로 전송하는 확장 가능한 빌드 에이전트입니다. 이는 GitLab CI/CD와 함께 작동합니다.
새로운 기능:
- Kubernetes 러너에서 빌드 Pod의 Pod 수준 리소스 정의 지원
- 모든 Runner 프로젝트에서 Go 버전 및 패키지 자동 업데이트 도입
버그 수정:
- RoleARN이 포함된 S3 캐시에서 존재하지 않는 캐시에 대해 404 대신 403을 반환하던 문제
gitlab-runner-helper:x86_64-v16.11.1-nanoserver21H2Helper 이미지 사용 시init-permissions에러 발생 문제- macOS: M1 아키텍처에서 LaunchAgent 서비스 초기화 불가 문제
인포그랩의 기술지원 서비스를 받으세요!
완벽한 GitLab 구축부터 성공적인 DevOps 도입까지! 인포그랩과 DevOps 라이프사이클을 함께하세요.
(이 포스트는 GitLab의 동의를 받아 공식 블로그의 영문 포스트를 우리말로 번역한 글입니다.)
Tip! 인포그랩의 GitLab 버전별 기능에서 버전별로 추가된 기능을 검색해 볼 수 있습니다.