GitLab 18.11 릴리즈 노트

GitLab 18.11이 2026년 4월 16일에 출시되었습니다. 이번 릴리즈에서는 Duo Agent Platform의 취약점 해결 기능이 GA 되었으며, GitLab 데이터 분석가 에이전트(GA)와 CI 전문가 에이전트(베타)가 새로 도입되었습니다. 또한 자동 취약점 심각도 오버라이드, 서비스 계정 확장, 세분화된 개인 액세스 토큰(베타) 등 플랫폼 전반에 걸쳐 40개 이상의 개선 사항이 포함되어 있습니다.

본 내용은 GitLab의 릴리즈 노트를 번역 및 재편집한 내용이며 원문은 GitLab 18.11 Release에서 확인할 수 있습니다.

주요 기능

1. GitLab Duo Agent Platform에서 취약점 해결 (GA)

에이전틱 SAST 취약점 해결(Agentic SAST Vulnerability Resolution) 기능이 GA 되었습니다. 이 기능은 SAST 스캔의 일부로 실행되거나, SAST 거짓 긍정(false positive) 탐지가 완료된 후 실행되며, 개별 SAST 취약점에 대해 수동으로 트리거할 수도 있습니다.

에이전틱 SAST 취약점 해결 기능의 주요 동작은 다음과 같습니다.

• 자율적으로 보안 발견 사항을 분석하고 주변 코드 컨텍스트를 추론합니다.
• 심각(Critical) 및 높음(High) 수준의 SAST 취약점에 대해 수정 제안이 포함된 Merge request(MR)를 자동으로 생성합니다.
• 리뷰어가 제안된 해결 방안의 신뢰도를 빠르게 판단할 수 있도록 품질 평가를 제공합니다.
• 취약점 상세 페이지에서 해결 방안을 직접 적용할 수 있습니다.

2. GitLab 데이터 분석가 에이전트 (GA)

데이터 분석가 에이전트가 GA 되었습니다. GitLab Query Language(GLQL)로 구동되는 전문 AI 채팅 어시스턴트로, 지원되는 데이터 소스 전반에 걸쳐 데이터를 쿼리하고 시각화하며 표면화할 수 있도록 돕습니다.

소프트웨어 개발 건강 지표 및 엔지니어링 효율성에 대한 명확하고 실행 가능한 인사이트를 제공하며, 생성된 인사이트는 에이전트 출력에서 바로 시각화하거나 이슈와 에픽에 임베드하여 추가 분석에 활용할 수 있습니다.

3. CI 전문가 에이전트 (베타)

리포지터리 검사와 안내식 질문을 통해 파이프라인 구성을 자동 생성합니다. 검토 및 커스터마이징이 가능한 .gitlab-ci.yml 파일을 바로 실행 가능한 상태로 만들어줍니다.

4. 자동 취약점 심각도 오버라이드

CVE ID, CWE ID, 파일 경로, 디렉터리 조건에 따라 심각도를 자동으로 조정합니다. 수동 오버라이드는 유지되며, 모든 변경 사항은 감사 이벤트에 기록됩니다.

5. 서브그룹 및 프로젝트 수준의 서비스 계정

서브그룹 및 프로젝트 수준에서 전용 서비스 계정을 생성할 수 있습니다. 그룹/서브그룹 계정은 하위 항목에 초대할 수 있으며, 프로젝트 계정은 해당 프로젝트에만 제한됩니다.

6. GitLab Free 티어에서 서비스 계정 사용 가능

기존에는 Premium/Ultimate에서만 사용 가능했던 서비스 계정이 이제 Free 티어에서도 사용 가능합니다. 최상위 그룹당 최대 100개의 서비스 계정을 생성할 수 있습니다.

7. 세분화된 개인 액세스 토큰 권한 (베타)

토큰을 특정 리소스와 액션에 제한할 수 있습니다. 토큰이 유출되었을 때의 영향 범위를 줄여줍니다. 현재 REST API의 약 75%를 지원하며, GA 시점에 전체 지원이 계획되어 있습니다.

8. 보안 대시보드의 상위 CWE 차트

프로젝트 및 인스턴스 전반에서 가장 흔한 CWE(Common Weakness Enumeration)를 식별합니다. 심각도별 그룹화 및 필터링 옵션이 포함되어 있습니다.

9. Kubernetes에서 Gitaly 배포

Kubernetes의 Gitaly 배포가 이제 공식 지원되는 배포 방법이 되었습니다. Kubernetes 오케스트레이션을 통해 스케일링, 고가용성(HA), 리소스 관리가 가능합니다.

10. MR 파이프라인에서 입력값 재구성

Merge request(MR) 파이프라인을 수동으로 실행할 때 입력값을 커스터마이징할 수 있습니다. 이전에는 MR 파이프라인에서 이 기능을 사용할 수 없었습니다.

Agentic Core

1. GitLab Duo Agentic Chat 기본 모델 업데이트

GitLab Duo Agentic Chat의 기본 모델이 Claude Haiku 4.5에서 Claude Sonnet 4.6(Vertex AI 호스팅)으로 업그레이드되었습니다. Claude Sonnet 4.6은 향상된 추론 능력과 응답 품질을 제공하지만, Haiku 4.5보다 높은 GitLab 크레딧 배율이 적용됩니다. 모델 선택 설정에서 Haiku를 포함한 대안 모델을 선택할 수 있으며, 이미 특정 모델을 선택해 둔 경우에는 기존 선택이 유지됩니다. 모델별 크레딧 배율에 대한 자세한 내용은 GitLab 크레딧 문서에서 확인할 수 있습니다.

2. 커스텀 플로 정의에서 도구 구성

플로에서 직접 도구 옵션과 파라미터 값을 설정하여 LLM 기본값을 재정의할 수 있습니다. 이를 통해 커스텀 플로 전반에 걸쳐 가드레일과 특정 파라미터 값을 일관되게 적용할 수 있으며, 도구 동작을 더 정밀하고 일관되게 제어할 수 있습니다.

3. Mistral AI 지원

셀프 호스팅 배포를 위한 LLM 플랫폼으로 Mistral AI가 추가되었습니다. 기존의 AWS Bedrock, Google Vertex AI, Azure OpenAI, Anthropic, OpenAI 지원에 합류합니다.

스케일 및 배포

1. GitLab 크레딧 대시보드 월별 히스토리 내비게이션

고객 포털에서 과거 청구 월을 탐색할 수 있습니다. 청구 관리자는 일별 사용량 추세 검토, 기간별 소비 패턴 비교, 청구서와 사용량 대조, 향후 필요량 예측을 모두 수행할 수 있습니다.

2. 구독 수준 GitLab 크레딧 사용량 상한

월별 온디맨드 크레딧 상한을 설정할 수 있습니다. 총 온디맨드 크레딧 사용량이 설정된 상한에 도달하면, 해당 구독의 모든 사용자에 대해 GitLab Duo Agent Platform 접근이 자동으로 중단되며, 다음 청구 기간이 시작되거나 관리자가 상한을 조정할 때까지 중단 상태가 유지됩니다. 상한 도달 시 관리자에게 이메일 알림이 전송되며, 각 청구 기간마다 상한은 자동으로 리셋됩니다. 이 설정은 예상치 못한 초과 과금에 대한 강력한 가드레일 역할을 하여 Agent Platform의 광범위한 도입을 가로막던 핵심 장벽을 제거합니다.

3. 사용자별 GitLab 크레딧 상한

청구 기간별로 선택적 사용자별 제한을 설정할 수 있습니다. 개별 사용자의 크레딧 사용량이 설정된 상한에 도달하면, 해당 사용자에 대해서만 Agent Platform 접근이 중단되고 다른 사용자는 영향받지 않습니다. 이로써 특정 사용자가 조직의 크레딧 풀에서 불균형하게 많은 양을 소비하는 것을 방지하고, 관리자는 사용 분포를 세밀하게 제어할 수 있습니다. 사용자별 상한과 구독 수준 상한은 함께 작동하며, 둘 중 먼저 도달한 쪽이 적용됩니다.

4. Linux 패키지 개선 사항

GitLab 19.0에서 PostgreSQL 17이 최소 요구 버전이 됩니다. GitLab 18.11은 PostgreSQL 17로의 자동 업그레이드를 시도합니다. PostgreSQL 클러스터를 사용하는 경우 수동 업그레이드가 필요합니다.

5. Container Registry 메타데이터 데이터베이스 백업 및 복원

백업 Rake 태스크와 backup-utility가 이제 메타데이터 데이터베이스를 지원합니다. 데이터 손상으로부터 복구가 가능합니다.

6. Explore에서 그룹의 새로운 내비게이션

탭 레이아웃으로 변경되었습니다: 활성(Active)/비활성(Inactive) 탭으로 구분되어 그룹 생명주기 상태를 더 명확하게 확인할 수 있습니다.

7. 비동기 프로젝트 전송

전송, 아카이브, 삭제 등의 작업에 통합 상태 모델(unified state model)이 적용되면서 장시간 실행되는 전송 작업이 비동기 처리로 전환되었습니다. 이로써 대규모 전송에서 발생하던 타임아웃 문제가 해소되고, 상태 이력과 감사 정보에 대한 가시성도 향상됩니다.

통합 DevOps 및 보안

1. Self-Managed에서 ClickHouse GA 지원

구성 안내가 개선되었습니다. 자체 클러스터를 가져오거나(Bring-Your-Own) ClickHouse Cloud(권장)를 사용하는 옵션이 있습니다. 대시보드와 분석 API 엔드포인트를 지원합니다.

2. Duo 및 SDLC 트렌드 대시보드의 향상된 분석

월별 Agent Platform 고유 사용자와 Agentic Chat 세션에 대한 새로운 단일 통계 패널이 추가되었습니다. 기존에 시트 할당 대비 사용 비율(%)로 표시되던 메트릭이 순수 사용량 카운트로 업데이트되어 새로운 사용량 기반 과금 모델에서 누락되던 Agent Platform 사용량을 정확히 반영합니다.

3. GLQL의 프로젝트, 파이프라인, Job 데이터 소스 액세스

GLQL에 프로젝트, 파이프라인, 작업 세 가지 데이터 소스가 추가되었습니다. 위키, 이슈·MR 설명, 리포지터리 마크다운 파일에 임베드 뷰로 제공되어 파이프라인 결과·작업 상태·프로젝트 개요를 직접 표면화할 수 있습니다. 또한 데이터 분석가 에이전트는 이 데이터 소스를 활용해 CI/CD 작업 결과 검사, 실패 디버깅, 파이프라인 실행 상세 개요 제공, 네임스페이스 내 프로젝트 개요 확인을 수행할 수 있습니다.

4. Maven/Python SBOM 의존성 해결

Lock 파일이 없는 경우에도 자동으로 의존성 그래프를 생성합니다. 의존성 스캐닝 설정을 간소화합니다.

5. Advanced SAST 증분 스캐닝

변경된 코드 부분만 스캔합니다. 전체 리포지터리 스캔 대비 스캔 시간이 크게 단축됩니다. 기존 diff 기반 스캐닝을 한 단계 발전시킨 것으로, 변경된 부분만 스캔하면서도 전체 코드베이스의 완전한 결과를 제공합니다.

6. 미검증 취약점 (베타)

Advanced SAST가 전체 추적(trace) 없이도 발견 사항을 표면화합니다. 거짓 부정(false negative)을 놓치기보다 거짓 긍정(false positive)을 더 감내할 수 있는 팀을 위한 기능입니다.

7. Kubernetes 1.35 지원

Kubernetes 1.35에 대한 전체 지원이 추가되었습니다. 모든 기능에 액세스하려면 업그레이드가 필요합니다.

8. Container Registry 메타데이터 데이터베이스 Prefer 모드

기존 true / false 값에 더해 새로 추가된 구성 옵션으로, 현재 설치 상태에 따라 데이터베이스 사용 여부를 자동으로 탐지합니다. 파일시스템 메타데이터가 임포트되지 않은 경우 레거시로 폴백합니다. 향후 신규 설치의 기본값이 될 예정입니다.

9. Terraform 모듈 패키지 보호 규칙

최소 역할 기반으로 푸시 액세스를 제한합니다. UI, REST API, GraphQL API, Terraform 프로바이더에서 사용 가능합니다.

10. 릴리즈 증거(Evidence)에 패키지 포함

릴리즈 태그와 일치하는 패키지가 자동으로 포함됩니다. 릴리즈와 패키지 간의 검증 가능한 링크를 생성합니다.

11. 위키 사이드바 토글 위치 변경

토글이 사이드바 옆 왼쪽으로 이동되었습니다. 접힌 상태에서도 플로팅 컨트롤이 표시됩니다.

12. 위키 페이지 고정 액션 바

스크롤 시에도 계속 표시됩니다. 편집, 히스토리, 템플릿에 빠르게 액세스할 수 있습니다.

13. 에픽 가중치(Weight)

에픽에 예비 가중치를 할당할 수 있습니다. 하위 이슈 롤업으로 자동 업데이트되며, 예비 가중치와 롤업 합계가 모두 표시됩니다.

14. 높은 악용 가능성 위험이 있는 MR 차단

MR 승인 정책을 알려진 악용 취약점(KEV, Known Exploited Vulnerability) 카탈로그와 악용 예측 점수 시스템(EPSS, Exploit Prediction Scoring System) 점수로 구성할 수 있습니다. 실제로 악용되고 있는 KEV 목록에 포함되거나 EPSS 점수가 설정한 임곗값을 초과하는 경우, MR을 차단하거나 승인을 요구할 수 있습니다. 정책 위반 시 MR에 KEV·EPSS 컨텍스트가 함께 표시되어 개발자가 차단 사유를 이해할 수 있습니다.

15. 취약점에 CVSS 4.0 점수 할당

UI와 API에서 CVSS 4.0 점수를 조회하고 액세스할 수 있습니다. 취약점 상세 정보와 보고서에서 사용 가능합니다.

16. 취약점 보고서의 개선된 행 인터랙션

행의 아무 곳이나 선택하여 상세 정보로 이동할 수 있습니다. 링크 스타일은 호버 시에만 표시됩니다. 키보드 내비게이션이 개선되었습니다.

17. 보안 대시보드 PDF 내보내기

활성 필터가 적용된 현재 상태를 캡처합니다. 보고서와 프레젠테이션에 활용할 수 있습니다.

18. 보안 구성 프로필의 SAST 스캐닝

GitLab 18.9에서 Secret Detection - Default 프로필로 도입되었던 보안 구성 프로필이 SAST까지 확장되었습니다. 'SAST - Default' 프로필을 사용하면 CI/CD 구성 파일을 수정하지 않고도 모든 프로젝트에 표준화된 정적 분석 커버리지를 일관되게 적용할 수 있습니다.

이 프로필은 두 가지 스캔 트리거를 활성화합니다.

• MR 파이프라인: 오픈된 MR이 있는 브랜치에 새 커밋이 푸시될 때마다 SAST 스캔이 자동 실행되며, MR이 새롭게 도입한 취약점만 결과에 포함됩니다.
• 브랜치 파이프라인(기본 브랜치 전용): 기본 브랜치로 merge 되거나 푸시될 때 자동 실행되어 기본 브랜치의 전체 SAST 상태를 제공합니다.

19. 그룹 대시보드의 보안 속성 필터

비즈니스 영향도, 애플리케이션, 비즈니스 유닛, 인터넷 노출, 위치별로 필터링할 수 있습니다.

20. 보안 관리자 역할 (베타)

보안 전문가를 위한 새로운 기본 역할입니다. 개발자(Developer)나 메인테이너(Maintainer) 역할 없이도 보안 기능에 접근할 수 있어 직무 분리를 유지하면서 과도한 권한 부여 문제를 해소합니다. 보안 관리자 역할의 주요 권한은 다음과 같습니다.

• 취약점 관리: 그룹 및 프로젝트 전반의 취약점 조회·심사·관리, 취약점 보고서와 보안 대시보드 조회
• 보안 인벤토리: 그룹 내 모든 프로젝트의 스캐너 커버리지 확인
• 보안 구성 프로필: 그룹의 보안 구성 프로필 조회
• 컴플라이언스 도구: 감사 이벤트, 컴플라이언스 센터, 컴플라이언스 프레임워크, 의존성 목록 조회
• 시크릿 푸시 보호: 그룹의 시크릿 푸시 보호 활성화
• 온디맨드 DAST: 그룹에서 온디맨드 DAST 스캔 생성 및 실행

사용하려면 그룹의 Manage > Members에서 멤버를 초대하여 보안 관리자 역할을 부여하면 됩니다.

21. 취약점 보고서의 식별자 목록 팝오버

주요 CVE가 클릭 가능한 링크로 표시됩니다. 여러 식별자가 있는 경우 "+N 더 보기" 팝오버가 제공됩니다. CVE, CWE, WASC 등 외부 참조로 연결됩니다.

22. GitLab Runner 18.11

새로운 기능:

• 번들된 의존성이 포함된 concrete 헬퍼 이미지 생성
• Runner 구성에서 작업 라우터 기능 플래그 읽기

버그 수정:

• 리팩터링 후 잘못된 Runner 바이너리 경로 수정
• 캐시 작업 시 파이프라인 멈춤 현상 수정
• Docker-machine CVE-2025-68121 참조 수정
• 자격 증명 헬퍼가 없을 때 Runner가 작업 페이로드 자격 증명으로 폴백하는 문제 수정
• CONCURRENT_PROJECT_ID 고유성 충돌 수정
• 아티팩트 업로드 타임아웃 문제 수정
• pre_build_script 실패 시 사용자 정의 after_script가 실행되면서 post_build_script를 건너뛰는 문제 수정

업그레이드 안내

GitLab을 업데이트하려면 업그레이드 가이드를 참조하세요.

원문 바로가기

인포그랩은 GitLab의 공식 파트너사로서 릴리즈 노트를 번역하여 제공합니다.

인포그랩의 기술지원 서비스를 받으세요!

완벽한 GitLab 구축부터 성공적인 DevOps 도입까지! 인포그랩과 DevOps 라이프사이클을 함께하세요.

GitLab 버전별 상세 기능 비교는 GitLab 기능 비교 페이지에서 확인하실 수 있습니다.