이 글은 GitLab 19.0 릴리스에서 새롭게 추가되거나 확장된 주요 기능을 정리한 기술 블로그입니다. GitLab 19.0은 단순한 기능 추가를 넘어, 보안(Secrets), 개발자 경험(Developer Flow), AI 에이전트, 공급망 가시성을 하나의 흐름으로 통합해 DevSecOps 전 과정을 더 안전하고 효율적으로 운영할 수 있도록 설계되었습니다. 본문에서는 릴리스의 배경, 핵심 개념, 주요 기능과 특장점을 중심으로 독자가 이해하기 쉽게 설명합니다.
GitLab 19.0 출시 배경: AI 코드 확산과 ‘운영 역설’
AI 기반 코드 생성이 늘어나면서 개발팀은 새로운 과제에 직면했습니다.
AI 코드가 많아질수록 다음과 같은 부담도 함께 커집니다.
- 관리해야 할 자격 증명과 시크릿 증가
- 리뷰 및 머지 요청(MR) 관리 복잡성 확대
- CI/CD 파이프라인 표준과 규정 준수 요구 강화
이처럼 자동화는 늘었지만 관리 부담도 함께 증가하는 상황을 흔히 ‘AI 역설’이라 부릅니다. GitLab 19.0은 이 문제를 해결하기 위해 코드 작성부터 배포, 보안, 거버넌스까지 하나의 플랫폼에서 연결하는 방향으로 설계되었습니다.
GitLab Secrets Manager: 시크릿 관리 방식의 근본적 변화
GitLab 19.0의 핵심 업데이트 중 하나는 Secrets Manager의 퍼블릭 베타 공개입니다.
기존에는 CI/CD 변수에 시크릿을 등록하면, 해당 프로젝트의 모든 잡(Job)이 이를 사용할 수 있었습니다. 이는 시간이 지날수록 불필요한 노출 위험을 키웠습니다.
주요 특징
- 잡 단위 시크릿 스코프
시크릿은 특정 잡, 브랜치, 환경, 보호 여부에 따라 접근이 제한됩니다. - 최소 권한 원칙(Least Privilege) 적용
필요한 작업만 시크릿을 볼 수 있어 침해 범위를 최소화합니다. - 통합 감사 로그(Audit Trail)
시크릿이 사용된 모든 잡과 파이프라인을 GitLab 내부에서 바로 추적할 수 있습니다. - 외부 시크릿 관리자와 병행 사용 가능
HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, Google Cloud Secret Manager와 함께 사용할 수 있습니다.
이 변화는 CI/CD 파이프라인 보안의 기본 전제를 바꾸는 업데이트로 볼 수 있습니다.
Developer Flow 확장: 머지 요청 전 과정을 하나의 흐름으로
GitLab 19.0은 Developer Flow를 머지 요청(MR) 전체 생명주기로 확장했습니다.
이는 단순히 코드를 생성하는 단계를 넘어, 다음 작업까지 지원합니다.
- 리뷰 피드백 반영
- 충돌 해결
- 대규모 MR 분할
- 개발 중 어느 단계에서도 기능 구현 가능
프로젝트 맥락을 이해하는 에이전트
Developer Flow는 커밋 전 AGENTS.md 파일을 읽어 프로젝트별 규칙과 컨텍스트를 반영합니다.
또한 agent-config.yml을 통해 테스트 실행, 의존성 설정, 사전 커밋 훅까지 자동으로 구성할 수 있습니다.
이 방식은 “일반적인 템플릿 기반 자동화”가 아니라, 팀마다 다른 개발 표준을 존중하는 자동화라는 점에서 의미가 있습니다.
오픈소스 모델 4종 추가: 자체 호스팅 AI 선택지 확대
GitLab 19.0은 GitLab Duo Agent Platform(Self-Hosted)에서 사용할 수 있는 오픈소스 모델 4종을 새롭게 지원합니다.
- Mistral Devstral 2 123B
- GLM-5.1
- Kimi-K2.6
- MiniMax-M2.7
이 모델들은 코드 생성 품질, 다단계 도구 활용, 대규모 코드 변경 추론 능력을 기준으로 평가되었습니다.
기대 효과
- 에어갭(air-gapped)·규제 환경에서도 AI 활용 가능
- 온프레미스와 프라이빗 클라우드 지원
- 자체 호스팅 모델과 GitLab 관리형 모델을 혼합하는 하이브리드 구성 가능
이는 보안과 컴플라이언스를 이유로 AI 도입을 망설이던 조직에 현실적인 대안을 제공합니다.
공급망 보안과 가시성 강화
이번 릴리스에는 Components Analytics와 SBOM(Software Bill of Materials) 기반 의존성 스캐닝도 포함됩니다.
- 조직 전체에서 사용 중인 CI/CD 컴포넌트와 버전 가시화
- 서드파티 라이브러리 인벤토리 생성
- GitLab 보안 권고와 연계한 취약점 관리
이를 통해 보안팀은 “모든 패키지”가 아닌 실제로 호출되는 코드와 의존성에 집중할 수 있습니다.
AI 에이전트 시대의 과제: 잊혀진 권한 문제
Sumo Logic의 AI 보안 연구원은 GitLab 19.0의 방향성에 공감하면서도, 에이전트가 한 번 부여받은 권한이 잊혀질 위험을 지적합니다.
AI 에이전트가 파이프라인 전반에서 자율적으로 동작하기 시작하면, 실행 거버넌스와 가시성이 선행되지 않을 경우 예기치 않은 보안 문제가 발생할 수 있습니다.
이 지점은 GitLab 19.0이 제시하는 통합 플랫폼 전략이 앞으로 더욱 중요해질 이유이기도 합니다.
GitLab 19.0은 단순한 기능 묶음이 아니라, DevSecOps 전 과정을 하나의 오케스트레이션으로 묶으려는 시도입니다.
- 시크릿 관리의 기본 전환
- 개발자 흐름을 끊지 않는 AI 에이전트
- 규제 환경을 고려한 오픈소스 AI 선택지
- 공급망과 보안을 함께 보는 가시성
이 릴리스가 의미하는 바는 분명합니다.
AI 코드를 늘리기 전에, AI가 동작할 인프라와 보안, 거버넌스를 먼저 정비하라는 메시지입니다.
앞으로 GitLab 19.0은 개발 속도와 보안 사이의 균형을 고민하는 조직에게 중요한 기준점이 될 것으로 보입니다.
GitLab 19.0 trades its string section for a full DevSecOps orchestra
GitLab 19.0 launches Secrets Manager in public beta, extends Developer Flow agentic workflows, and adds four open source models for self-hosted Duo.
thenewstack.io
'DevOps' 카테고리의 다른 글
| Deno 2.8 업데이트로 달라진 점과 개발자가 주목해야 할 변화 (0) | 2026.05.26 |
|---|---|
| 코드 한 줄 열기 전에 확인해야 할 Git 이력 분석 방법 (0) | 2026.04.09 |
| GitOps 확장의 한계, ‘Argo Ceiling’을 넘는 방법 - Argo CD 환경이 커질수록 복잡해지는 GitOps 운영, 해법은 컨트롤 플레인에 있다 (0) | 2026.01.13 |
| Git 3.0, 왜 기본 브랜치가 ‘main’으로 바뀌는가? 변화의 배경과 핵심 정리 (0) | 2025.11.27 |
| 깔끔한 Git 히스토리를 만드는 가장 쉬운 방법: AI 기반 커밋 메시지 자동 재작성 도구 git-rewrite-commits (0) | 2025.11.26 |
