GitLab 19.0 릴리즈 노트

GitLab 19.0이 2026년 5월 21일에 출시되었습니다. 이번 메이저 릴리즈에서는 GitLab Duo에 merge 충돌 자동 해결(베타) 기능이 추가되었고, Agent Platform에 Claude Opus 4.7 모델이 추가되었으며, GitLab Secrets Manager가 오픈 베타로 전환되었습니다. 또한 작업 항목 유형 구성, SBOM 기반 의존성 스캐닝 GA, Duo Developer 워크플로 개선, HMAC Webhook 보안 등 플랫폼 전반에 걸쳐 30개 이상의 개선 사항이 포함되어 있습니다. PostgreSQL 17 필수 요구, Helm 차트 번들 서비스 제거 등 대규모 Breaking Changes도 포함되어 있으므로 업그레이드 전 반드시 확인해야 합니다. 이 내용은 GitLab의 릴리즈 노트를 번역 및 재편집한 내용이며 원문은 GitLab 19.0 Release에서 확인할 수 있습니다.

주요 기능

1. GitLab Duo merge 충돌 해결 (베타)

GitLab Duo가 merge 충돌(Merge Conflict)을 자율적으로 분석하고, 충돌 파일을 편집하며, 커밋을 생성하여 소스 브랜치에 푸시할 수 있습니다. GitLab Duo는 브랜치 보호 규칙을 준수하며, 보호된 브랜치에는 강제 푸시(force-push)를 수행하지 않습니다. 작업이 완료되면 변경 사항을 문서화하는 요약 코멘트를 자동 생성하여 리뷰어가 무엇이 바뀌었는지 확인할 수 있습니다. 현재 mr_ai_resolve_conflicts 피처 플래그 뒤에 게이트되어 있으며, 기본적으로 비활성화되어 있습니다.

2. GitLab Secrets Manager 오픈 베타

기존 비공개 베타에서 오픈 베타로 전환되었습니다. 프로젝트 및 그룹 Owner가 CI/CD 시크릿을 GitLab 내에서 직접 저장, 조회, 참조할 수 있습니다. 시크릿은 프로젝트 또는 그룹으로 범위가 지정되며, 명시적으로 요청한 파이프라인 작업에만 접근이 허용됩니다. 오픈 베타 기간 중 GitLab Secrets Manager는 베타 지원 정책을 따르며, 프로덕션 환경에서의 사용에 적합하지 않을 수 있습니다.

3. Work Item 유형 구성

"사용자 스토리(User Story)", "버그(Bug)", "유지보수(Maintenance)" 등 조직에 맞는 맞춤형 작업 항목 유형을 만들거나 이름을 변경할 수 있습니다. 각 유형은 유형명과 고유 아이콘으로 표시되며, 커스텀 필드와 상태 라이프사이클을 지원하고, 저장된 뷰, 이슈 보드에서 사용할 수 있습니다. 최상위 그룹(GitLab.com) 또는 조직(GitLab Self-Managed)에서 설정하면 하위 모든 프로젝트에 자동 적용됩니다. 또한 프로젝트별로 어떤 유형을 사용할 수 있는지 제어할 수 있으며, 모든 프로젝트에 일괄적으로 유형을 활성화/비활성화하거나, 개별 프로젝트가 자체적으로 유형 가시성을 관리하도록 설정할 수도 있습니다. 특정 유형을 비활성화하더라도 기존 작업 항목에는 영향을 주지 않습니다.

4. SBOM 기반 의존성 스캐닝 GA

Maven, Gradle, Python 프로젝트에서 전이적 의존성(Transitive Dependencies)을 포함한 전체 의존성 트리의 취약점을 빠짐없이 확인할 수 있습니다. 이제 분석기는 Maven, Gradle, Python 프로젝트에 대한 자동 의존성 해석을 지원합니다. 잠금 파일 또는 해석된 의존성 그래프가 없는 경우, 자동으로 전체 전이적 의존성 그래프를 해석한 후 스캔을 수행합니다. 의존성 해석은 기본 활성화되어 있으며, v2 Dependency Scanning 템플릿 포함 이외에 추가 설정이 거의 필요하지 않습니다. 의존성 해석이 불가능한 프로젝트에서는 매니페스트 스캐닝으로 폴백됩니다. 매니페스트 스캐닝은 기본 활성화되어 있으며 직접 의존성만 반환하고, pom.xml, requirements.txt, build.gradle, build.gradle.kts 매니페스트 파싱을 지원합니다. 전이적 의존성 전체 커버리지가 필요한 경우, 의존성 해석을 활성화하거나 의존성 잠금 파일 또는 그래프 내보내기를 수동으로 제공해야 합니다.

5. Duo Developer MR 워크플로 개선

Duo Developer를 다양한 방식으로 호출할 수 있습니다. 이슈에 할당하거나, "Generate MR"을 선택하거나, 이슈 또는 MR 디스커션 스레드에서 @멘션으로 호출하여 피드백, To-do 항목, 디자인 질문을 코드 변경, 후속 MR, 리서치 요약으로 전환할 수 있습니다. AGENTS.md와 agent-config.yml을 설정하면 커밋 전에 테스트 및 체크가 수행됩니다. 최상위 그룹 또는 인스턴스 관리자가 Developer Flow를 활성화하면, GitLab이 적격 프로젝트에 멘션 및 할당 트리거를 자동으로 추가합니다.

6. GitLab Duo를 위한 그룹 수준 맞춤 리뷰 지침

프로젝트마다 리뷰 지침을 복제할 필요 없이, 그룹 수준에서 공유 리뷰 지침을 설정할 수 있습니다. 그룹 내 한 프로젝트를 템플릿으로 선택하면, 해당 프로젝트의 .gitlab/duo/mr-review-instructions.yaml 파일이 개별 프로젝트에 정의된 지침과 자동으로 병합되어 코드 리뷰에 적용됩니다.

Agentic Core

1. GitLab Duo Agent Platform, Claude Opus 4.7 모델 지원

Agent Platform에 Claude Opus 4.7 모델이 추가되었습니다. 지속적인 추론, 정확한 지시 수행, 결과를 내놓기 전 스스로 검증하는 능력이 필요한 복잡한 다단계 작업에서 성능이 크게 향상되었습니다. CI/CD 파이프라인, 코드 리뷰, 취약점 해결 등을 지원하는 플로에 적용됩니다.

2. 어드민 제어로 세션별 도구 승인

GitLab Duo Agentic Chat이 사용자를 대신하여 도구를 사용하려면 승인이 필요하며, 기존에는 도구를 호출할 때마다 별도로 승인해야 했습니다. 이제 신뢰하는 도구는 세션당 한 번만 승인하면 됩니다. 관리자는 인스턴스 → 그룹 → 프로젝트 순으로 계단식 설정을 통해 "기본 허용(On by default)", "기본 차단(Off by default)", "항상 차단(Always off)" 세 가지 옵션으로 제어할 수 있습니다. 기본값은 "기본 차단(Off by default)"이며, 관리자가 "항상 차단(Always off)"으로 설정하지 않는 한 그룹 및 서브그룹에서 설정을 변경할 수 있습니다.

3. MR 준비 완료 이벤트 트리거

MR 초안(Draft MR)이 리뷰 준비 완료 상태로 전환될 때 GitLab Duo가 설정된 플로 또는 외부 에이전트를 자동으로 실행합니다. AI > Triggers 메뉴에서 설정할 수 있습니다. 이 기능은 merge_request_ready_flow_trigger 피처 플래그 뒤에 게이트되어 있으며, 기본적으로 비활성화되어 있습니다.

4. 셀프 호스팅 Gemini 모델 지원

GitLab Duo Agent Platform Self-Hosted가 Gemini 모델과 호환됩니다. Gemini 모델은 Code Review Flow, SAST Vulnerability Resolution Flow, Fix CI/CD Pipeline Flow 등 여러 플로를 지원합니다.

5. GitLab Duo Agent Platform, 오픈 소스 모델 지원 확장

GitLab Duo Agent Platform이 셀프 호스팅 배포를 위한 추가 오픈소스 모델을 지원합니다. Devstral 2 123B, GLM-5.1-FP8 등이 포함되며, 오프라인 및 네트워크 제한 환경을 포함한 다양한 환경에서 에이전틱 워크플로를 구동할 수 있도록 지원합니다.

6. AI 카탈로그 그룹 계층 제한

최상위 그룹 Owner가 카탈로그 가시성을 자신의 그룹 계층 내 프로젝트가 소유한 에이전트 및 플로로 제한할 수 있습니다. 그룹 계층에 속하지 않은 에이전트, 외부 에이전트, 플로가 표시되거나 활성화되는 것을 차단합니다.

7. Agent Platform 원격 플로 어드민 정의 네트워크 접근 제어

GitLab.com의 최상위 그룹 관리자와 GitLab Self-Managed 및 Dedicated의 인스턴스 관리자가 도메인 차단 목록(Denylist)과 허용 목록(Allowlist)을 중앙에서 정의하면, 모든 프로젝트에 자동으로 적용됩니다. 별도 설정을 통해 프로젝트가 승인된 도메인 목록에 커스텀 항목을 추가하여 확장할 수 있는지 여부를 제어할 수 있습니다.

8. GitLab Duo Core 사용량 기반 과금 전환

GitLab 19.0부터 GitLab Duo Core가 사용량 기반 과금으로 전환됩니다. Web IDE 및 데스크톱 IDE의 Code Suggestions가 GitLab Credits를 소비하는 방식으로 전환됩니다. GitLab Duo Core 사용자의 경우, Chat은 이제 에이전틱(agentic) 방식으로 GitLab Duo Agent Platform에서 실행됩니다. GitLab UI 및 데스크톱 IDE에서 GitLab Duo Chat을 사용하려면 인스턴스 또는 최상위 그룹에 대해 GitLab Duo Agent Platform을 활성화해야 합니다.

9. GitLab Self-Managed Free 티어에서 크레딧 구매

Free 티어 사용자도 Premium 또는 Ultimate 구독 없이 연간 약정으로 월별 크레딧을 구매하여 Agent Platform 기능에 접근할 수 있습니다. 크레딧은 매월 자동으로 갱신되어 팀이 항상 필요한 만큼 사용할 수 있습니다.

10. 리포지터리별 Exact Code Search 결과 필터

repo: 구문으로 특정 리포지터리 또는 패턴에 검색 범위를 지정할 수 있습니다. 개별 프로젝트로 이동하지 않고도 원하는 리포지터리에서 정확한 코드 검색이 가능합니다.

스케일 및 배포

1. PostgreSQL 17 최소 요구사항

지원하는 PostgreSQL 최소 버전이 17로 상향됩니다. GitLab 19.0 설치 전에 패키지형 PostgreSQL 16을 업그레이드해야 합니다.

2. Ubuntu 20.04 Linux 패키지 지원 중단

GitLab 18.11이 Ubuntu 20.04용 Linux 패키지가 제공되는 마지막 릴리즈입니다. Ubuntu 22.04 이상으로 마이그레이션이 필요합니다.

3. Redis 6 지원 제거

외부 Redis 6 배포는 Redis 7.2 또는 Valkey 7.2로 마이그레이션해야 합니다.

4. Linux 패키지에서 Mattermost 제거

번들 Mattermost가 더 이상 포함되지 않습니다. 독립 배포로 마이그레이션이 필요합니다.

5. SUSE 배포판 Linux 패키지 지원 중단

openSUSE Leap 15.6, SUSE Linux Enterprise Server 12.5, 15.6 지원이 중단됩니다. Docker 배포로 전환이 필요합니다.

6. Linux package, GitLab Helm chart에서 Spamcheck 제거

Linux 패키지 및 Helm 차트에서 Spamcheck가 제거되었습니다. Docker로 별도 배포할 수 있습니다.

7. NGINX Ingress, Envoy Gateway 기반 Gateway API로 대체

Helm 차트에서 Gateway API + Envoy Gateway가 기본값이 됩니다. 번들 NGINX Ingress는 GitLab 20.0에서 예정된 제거 전까지 계속 사용할 수 있습니다.

8. Helm 차트, GitLab Operator에서 번들 PostgreSQL, Redis, MinIO 제거

GitLab Helm 차트 및 GitLab Operator에서 Bitnami PostgreSQL, Bitnami Redis, MinIO 차트가 제거됩니다. 업그레이드 전에 외부 서비스를 구성해야 합니다.

9. 대규모 그룹을 위한 안정적인 SCIM 사용자 디프로비저닝

SCIM DELETE 및 PATCH 요청이 즉시 성공 응답을 반환하고, 멤버십 제거는 비동기로 처리됩니다. 대규모 그룹에서의 안정성이 개선됩니다.

통합 DevOps 및 보안

1. 취약 의존성 자동 수정 (실험)

각 파이프라인 실행 후, GitLab이 패치 또는 마이너 버전 업그레이드가 가능한 최고 심각도(highest-severity) 취약점을 식별하여 매니페스트 파일 변경을 생성하고, 안전한 버전으로 업데이트하는 MR을 자동으로 생성합니다. 본 실험에서는 Ruby 프로젝트만 지원됩니다. MR은 서비스 어카운트를 통해 생성되며, 이후 프로젝트의 표준 리뷰 및 승인 워크플로를 거칩니다. 프로젝트당 최대 3개의 자동 수정 MR이 동시에 열려 있을 수 있습니다. 실험 활성화는 GitLab 팀원이 해당 프로젝트에 대해 dependency_management_auto_remediation 피처 플래그를 직접 활성화해야 합니다.

2. 보안 구성 프로필의 의존성 스캐닝

"Dependency Scanning - Default" 프로필이 두 가지 스캔 트리거를 활성화합니다. MR 파이프라인은 열려 있는 MR이 있는 브랜치에 신규 커밋이 푸시될 때마다 자동으로 의존성 스캐닝을 실행하며, 결과에는 해당 MR이 도입한 신규 취약점만 포함됩니다. 브랜치 파이프라인은 기본 브랜치에 대해서만 실행되며, 변경 사항이 기본 브랜치에 merge되거나 푸시될 때 자동 실행되어 기본 브랜치의 의존성 상태에 대한 완전한 뷰를 제공합니다. 수동 CI/CD 구성 없이 통합 SCA 커버리지를 제공합니다.

3. Gradle SBOM 스캐닝 의존성 해석

Gradle 프로젝트에서 gradle.graph.txt가 자동 생성됩니다. Java 및 Kotlin 프로젝트의 수동 의존성 그래프 생성이 불필요해집니다.

4. CI/CD 입력 배열 지원 개선

CI/CD 입력에서 배열 인덱스 연산자 []를 사용하여 배열 입력의 개별 요소에 접근할 수 있습니다.

5. 파이프라인 입력 다중 값 선택

UI 드롭다운에서 복수 값을 선택하여 배열로 결합할 수 있습니다. 이를 활용해 여러 인스턴스를 한꺼번에 재시작하거나 다중 대상 작업 등 복잡한 파이프라인 작업을 수행할 수 있습니다.

6. CI/CD 카탈로그 컴포넌트 사용 분석

컴포넌트 사용 상세 페이지에서 어떤 프로젝트가 어떤 버전의 컴포넌트를 사용하는지 확인할 수 있습니다. 오래된 버전을 사용 중인 프로젝트를 우선적으로 표시해 적시에 업데이트를 진행할 수 있도록 돕습니다.

7. Merge Train 병렬 파이프라인 제한 구성

기존에는 20개로 고정되어 있던 최대값을 이제 프로젝트 또는 인스턴스 단위로 설정할 수 있어, Runner 부하와 merge 처리량의 균형을 맞출 수 있습니다. 제한값을 1로 설정하면 각 Merge request가 하나씩 순서대로 처리되며, 매번 깨끗한 타깃 브랜치를 기준으로 실행됩니다.

8. MR 기본 제목 커스터마이징

프로젝트 수준 제목 템플릿에서 소스 브랜치, 타깃 브랜치, 첫 커밋 주제, 연결된 이슈 ID, 이슈 제목, 사람이 읽기 쉬운 형태의 소스 브랜치명 등의 변수를 사용할 수 있습니다. 예를 들어 Resolve %{issue_id} "%{issue_title}" 템플릿은 Resolve 123 "Fix login bug"와 같은 제목을 생성합니다. Merge request 생성 전에 제목을 직접 편집할 수도 있습니다.

9. HMAC 서명 토큰으로 Webhook 보안 강화

기존 X-Gitlab-Token 헤더는 정적 시크릿을 평문으로 전송하여 가로채기(interception) 및 리플레이 공격에 취약했습니다. 이제 Webhook에 서명 토큰을 추가할 수 있습니다. GitLab이 서명 토큰을 사용하여 webhook ID, 요청 타임스탬프, 페이로드에 대해 HMAC-SHA256 서명을 계산하여 전송합니다. 서명 값은 Standard Webhooks 사양에 따라 webhook-signature 헤더로 전송되며, webhook-id, webhook-timestamp 헤더가 함께 전달됩니다. 수신자는 서명을 재계산하여 요청이 실제로 GitLab에서 발송되었는지, 페이로드가 변경되지 않았는지 검증할 수 있습니다. 타임스탬프를 함께 검증하면 리플레이된 요청을 거부할 수 있습니다.

10. CI/CD Job Token 크로스 프로젝트 푸시

기존에는 CI/CD Job 토큰(CI_JOB_TOKEN)으로 파이프라인이 실행되는 동일 리포지터리에만 푸시할 수 있었으며, 크로스 프로젝트 푸시에는 PAT(Personal Access Token) 또는 deploy 토큰이 필요했습니다. 이제 Job 토큰으로 다른 프로젝트에 푸시할 수 있습니다. 대상 프로젝트가 푸시를 허용하도록 설정되어 있어야 하며, 파이프라인을 실행하는 사용자가 대상 프로젝트에서 Developer 권한 이상을 가지고 있어야 합니다. allow_push_to_allowlisted_projects 피처 플래그 뒤에 게이트되어 있습니다.

11. Mermaid 다이어그램 렌더링 v11 업그레이드

Mermaid 버전 11로 업그레이드되어 새로운 다이어그램 유형, 구문 개선, 버그 수정을 제공하며, 플로차트 및 시퀀스 다이어그램의 향상된 렌더링을 포함합니다.

12. MR 리뷰를 위한 Rapid Diffs (베타)

MR 변경 탭의 초기 로딩 속도 향상, 부드러운 스크롤링, 파일 간 더 반응성 있는 상호작용을 제공합니다. 커밋 페이지에 적용된 기술을 활용하며, 필요시 언제든 클래식 환경으로 되돌릴 수 있습니다.

13. GitLab Runner 19.0

새로운 기능:

• 기능 협상, OTLP 내보내기 클라이언트, 최초의 job_execution 스팬을 포함한 Runner 계측(Instrumentation) 기능
• Runner 구성에서 준비 단계 타임아웃 설정 가능

버그 수정:

• FF_SCRIPTS_TO_STEPS 피처 플래그 구현에 대한 포괄적 수정
• S3 캐시 SignatureDoesNotMatch 오류 해결
• AWS S3 캐시 런타임 오류 수정
• 여러 아키텍처의 RPM S3 다운로드 링크 수정
• Windows 음수 종료 코드 보고 수정
• Kubernetes 실행기 서비스 컨테이너 이름 지정 문서 수정

업그레이드 안내

GitLab을 업데이트하려면 업그레이드 가이드를 참조하세요.

인포그랩은 GitLab의 공식 파트너사로서 릴리즈 노트를 번역하여 제공합니다.

원문 바로가기

GitLab 버전별 상세 기능을 확인하세요.

인포그랩의 기술지원 서비스를 받으세요!

완벽한 GitLab 구축부터 성공적인 DevOps 도입까지! 인포그랩과 DevOps 라이프사이클을 함께하세요.