GitLab 19.0, DevSecOps에 AI 워크플로와 Secrets Manager 도입

AI 기반 머지 요청(MR) 자동화

GitLab 19.0은 머지 요청(Merge Request) 과정 전반에 AI를 적용하는 기능도 강화했다.

GitLab의 ‘Developer Flow’ 자동화는 이제 다음과 같은 작업을 지원한다.

• 리뷰어 피드백 처리
• 머지 충돌 해결
• 자동 리베이스(rebase)
• 원클릭 rebase-and-merge

이 기능들은 GitLab Duo Agent Platform을 기반으로 작동하며, AI 에이전트가 코드 변경을 계획·검토·보안 검사·배포 단계까지 이동시키는 워크플로를 지원한다.

즉, AI가 단순히 코드를 생성하는 데서 끝나는 것이 아니라 코드 리뷰와 배포 준비 과정까지 자동화하려는 접근이다.

규제 환경을 위한 자체 호스팅 AI 모델

금융, 의료, 공공기관 같은 조직은 보안과 규정 준수 때문에 코드를 외부 AI 서비스로 보내는 것을 허용하지 않는 경우가 많다.

GitLab 19.0은 이런 환경을 위해 외부 에이전트를 통해 자체 호스팅 오픈소스 AI 모델을 연결할 수 있도록 했다.

이 방식의 장점은 다음과 같다.

• 조직 내부 인프라에서 AI 모델 실행
• 코드와 프롬프트를 내부 네트워크에 유지
• GitLab 자동화 워크플로에 AI 기능 통합

덕분에 에어갭(air‑gapped) 환경이나 엄격한 규제 환경에서도 AI 기반 개발 도구를 사용할 수 있다.

공급망 보안과 CI/CD 가시성 강화

현대 애플리케이션은 오픈소스 라이브러리와 외부 컴포넌트에 크게 의존한다. 이 때문에 소프트웨어 공급망 보안은 DevSecOps의 핵심 영역이 됐다.

GitLab 19.0에서는 다음과 같은 기능이 추가됐다.

CI/CD Components Analytics

플랫폼 엔지니어링 팀이 조직 전체에서 어떤 CI/CD 카탈로그 컴포넌트와 버전이 사용되는지 파악할 수 있게 해준다. 이를 통해 오래된 컴포넌트나 표준에서 벗어난 파이프라인을 쉽게 발견할 수 있다.

SBOM 기반 의존성 스캔

GitLab은 SBOM(Software Bill of Materials) 기반 의존성 스캔을 도입해 애플리케이션에 포함된 오픈소스 구성 요소와 취약점을 더 빠르게 파악할 수 있도록 했다.

이 기능은 개발 단계 초기에 공급망 위험을 발견하고 대응하는 데 도움을 준다.

GitLab이 말하는 ‘AI 역설’ 해결 전략

GitLab은 현재 소프트웨어 개발 환경의 가장 큰 문제를 **AI 역설(AI Paradox)**로 설명한다.

AI 도구는 코드 작성 속도를 크게 높였지만, 실제 개발 과정에서 많은 시간이 들어가는 리뷰, 보안 검사, 테스트, 규정 준수, 배포 관리는 여전히 여러 도구와 수작업에 의존하고 있다는 것이다.

그 결과 더 많은 코드가 만들어지지만, 전체 소프트웨어 전달 속도는 크게 빨라지지 않는 상황이 발생한다.

GitLab 19.0은 이를 해결하기 위해 **“지능형 오케스트레이션(Intelligent Orchestration)”**이라는 전략을 강조한다. 이는 개발, 보안, CI/CD, 공급망 관리, AI 자동화를 하나의 DevSecOps 플랫폼에서 통합해 워크플로를 연결하는 접근 방식이다.

왜 이번 릴리스가 중요한가

GitLab 19.0은 단순히 AI 코딩 기능을 추가하는 대신, AI 시대의 소프트웨어 전달 파이프라인 전체를 재설계하려는 시도라는 점에서 의미가 있다.

Secrets 관리, 머지 요청 자동화, 공급망 보안, 자체 호스팅 AI 모델 지원을 한 플랫폼에 결합함으로써 GitLab은 AI로 빨라진 코드 생성 속도와 보안·거버넌스 요구 사이의 격차를 줄이려 한다.

이 접근이 실제로 ‘AI 역설’을 해결할 수 있을지는 더 지켜봐야 하지만, GitLab 19.0은 DevSecOps 도구가 AI 기반 통합 플랫폼으로 진화하고 있다는 흐름을 분명히 보여준다.