更新日:2025年6月23日
2分で読めます
GitLab 18.1 リリース
GitLab 18.1でリリースした最新機能をご紹介します。
本ブログは、GitLab 18.1 Releaseの抄訳です。内容に相違がある場合は、原文が優先されます。
Maven仮想レジストリ(ベータ版)とGitLab Duoコードレビュー搭載のGitLab 18.1リリース
このたび、GitLab 18.1のリリースを発表しました。このリリースでは、Maven仮想レジストリ(ベータ版)、GitLab Duoコードレビュー、漏洩パスワードの検出、SLSAレベル1準拠を実現するCI/CDコンポーネントなど、さまざまな機能が追加されました。
これらの機能は、今回のリリースに含まれる110件以上の改善点のほんの一部です。この記事では、お役に立つアップデートをすべてご紹介していますので、ぜひ最後までお読みください。
GitLab 18.1には、GitLabコミュニティのユーザーから311件ものコントリビュートがありました。ありがとうございました!GitLabは誰もがコントリビュートできるプラットフォームであり、今回のリリースもユーザーのみなさまの協力なしには実現しませんでした。
来月のリリースで予定されている内容を先取りするには、今後のリリースページをご覧ください。
GitLab 18.1のリリースでは、Maven仮想レジストリ(ベータ版)とGitLab Duoコードレビューが追加されました。クリックしてSNSで共有しましょう!
今月の注目コントリビューターはChaitanya Sonwaneさんです
Chaitanya Sonwaneさんは、継続的な認証機能の強化により、GitLabのセキュリティ機能向上に貢献しています。2025年に13件のコントリビュートがマージされ、認証情報インベントリのフィルタリング、サービスアカウント管理、作業アイテムの使いやすさが向上しました。以前にはGitLab 17.11の主要機能としてサービスアカウントのトークン統計情報をひと目で確認できる機能を手がけ、サービスアカウントの管理を容易にする「一目でわかる」情報を提供しました。Chaitanyaさんは現在、作業アイテムリストのソート設定をコンテキスト固有にする改善に取り組み、GitLabの製品計画におけるユーザーエクスペリエンスをさらに向上させています。
Chaitanyaさんの活躍により、GitLabを利用する組織のセキュリティが強化され、サービスアカウントの使用状況がプロジェクト全体で把握しやすくなりました。現在では、チームが認証情報をより効果的に追跡、ローテーションできるようになったことで、セキュリティの脆弱性につながりかねない、未管理の認証情報のリスクが軽減されています。
「認証情報インベントリとサービスアカウントに対するChaitanyaさんのコントリビュートは、セキュリティ分野において非常に貴重なものです」とEduardo Sanz-Garcia(ソフトウェアサプライチェーンセキュリティステージの認証グループのシニアフロントエンドエンジニア)は語ります。Eduardoは、GitLabの認証チームによる推薦も後押ししました。
さらに彼は「Chaitanyaさんは、トークン統計のコンセプトの実装に貢献してくれました。認証情報インベントリの取り組みにより、認証情報の追跡とモニタリングを強化する、非常に要望の多かった機能が提供されたのです。非常に素晴らしいコントリビュートでした」とも付け加えています。
ChaitanyaさんはTATA AIGのソフトウェアエンジニアです。セキュリティ上の課題に積極的に取り組み、自らのコントリビュートを改善するための継続的なフォローアップを行っています。
この場を借りて、GitLabのセキュリティ基盤やその他の製品にコントリビュートしてくれたChaitanyaさんに感謝します!
GitLab 18.1リリースの主な改善点
Maven仮想レジストリがベータ版で利用可能に
SaaS: Premium、Ultimate
Self-Managed: Premium、Ultimate
Maven仮想レジストリは、GitLabでのMaven依存関係管理を簡素化するものです。Maven仮想レジストリを使用しない場合、Maven Central、プライベートリポジトリ、GitLabパッケージレジストリからの依存関係にアクセスするための設定を個別に行う必要があります。こうしたアプローチでは、リポジトリへの順次クエリによってビルドが遅くなり、セキュリティ監査とコンプライアンスレポート作成が複雑になります。
Maven仮想レジストリは、複数のアップストリームリポジトリを単一のエンドポイントに集約することで、このような問題に対処します。プラットフォームエンジニアは、1つのURLを介してMaven Central、プライベートレジストリ、GitLabパッケージレジストリを設定できます。インテリジェントキャッシュはビルドパフォーマンスを向上させ、GitLabの認証システムと統合されます。これにより、設定オーバーヘッドの削減、ビルドの高速化、セキュリティとコンプライアンス向上を目的として一元管理されたアクセス制御が実現します。
Maven仮想レジストリは現在、GitLab.comとGitLab Self-Managedの両方で、GitLab PremiumおよびUltimateのお客様にベータ版として提供されています。一般公開リリースには、レジストリ設定用のWebベースUI、共有可能なアップストリーム機能、キャッシュ管理のためのライフサイクルポリシー、強化された分析機能などが追加される予定です。現在のベータ版では、トップレベルグループあたり最大20の仮想レジストリ、仮想レジストリあたり最大20のアップストリームまでと制限されており、ベータ期間中の設定はAPIのみで行えます。
企業のお客様を対象としたMaven仮想レジストリベータプログラムを実施しています。最終リリースの品質向上にご協力をお願いいたします。ベータ版にご参加いただくお客様には、機能への早期アクセス、GitLab製品チームとの直接のやり取り、評価期間中の優先サポートを提供します。ベータプログラムに参加するには、イシュー498139でご興味があることをお知らせいただき、ユースケースの詳細を提供してください。また、フィードバックや提案はイシュー543045にお寄せください。
GitLab Duoコードレビューが一般公開開始
SaaS: Premium、Ultimate、Duo Enterprise
Self-Managed: Premium、Ultimate、Duo Enterprise
GitLab Duoコードレビューが一般公開され、本番環境で使用できるようになりました。AI搭載のこのコードレビューアシスタントは、マージリクエストに対して的確で自動化されたフィードバックを提供し、従来のコードレビュープロセスを変革します。これにより、人間のレビュアーが関与する前に、潜在的なバグ、セキュリティの脆弱性、コード品質の問題を特定できるため、レビュープロセス全体を徹底的かつ効率的に行うことができます。GitLab Duoコードレビューには以下の機能が含まれています。
- 自動初期レビュー:コードの変更内容を分析し、潜在的な問題、改善点、ベストプラクティスに関する包括的なフィードバックを提供します。
- 対話ベースで改善:マージリクエストコメントで
@GitLabDuoをメンションすると、特定の変更や質問に対する的確なフィードバックを受け取ることができます。 - 実行可能な提案:多くの提案をブラウザから直接適用できるため、改善プロセスが効率化されます。
- 文脈を理解した分析:変更されたファイルの内容を理解し、プロジェクトに特化した関連性の高い推奨事項を提供します。
GitLab Duoコードレビューをリクエストするには、次の手順に従います。
- マージリクエストで、
/assign_reviewer@GitLabDuoクイックアクションを使用して@GitLabDuoをレビュアーとして追加するか、GitLab Duoをレビュアーとして直接割り当てます。 - コメントで
@GitLabDuoをメンションすると、ディスカッションスレッドで特定の質問をしたり、詳細なフィードバックをリクエストしたりできます。 - プロジェクト設定で自動レビューを有効にすると、GitLab Duoがすべての新しいマージリクエストを自動的にレビューします。
GitLab Duoコードレビューを活用することで、チームがより高いコード品質基準を維持しながら、手動レビューサイクルに費やす時間を短縮できます。問題を早期に発見し、教育的なフィードバックを提供することで、開発チームにとって品質管理ツールと学習ツールの両方の役割を果たします。
ベータ版時のGitLab Duoコードレビューの動作はこちらをご覧ください。
イシュー517386でご経験やフィードバックをお寄せいただき、本機能の継続的な改善にご協力ください。
ネイティブGitLab認証情報の漏洩パスワード検出
SaaS: Free、Premium、Ultimate
Self-Managed: -
GitLab.comへのサインイン時に、アカウント認証情報の安全なチェックが実行されるようになりました。お使いのパスワードが既知の情報漏洩に含まれている場合、GitLabにバナーが表示され、メール通知が送信されます。これらの通知には、認証情報の更新手順が記載されています。
セキュリティを最大限に高めるために、GitLabでは以下を推奨しています。
- GitLab専用の強力なパスワードの使用
- 2要素認証の有効化
- アカウントアクティビティの定期的な確認
注:この機能はネイティブGitLabのユーザー名とパスワードでのみ利用可能です。SSO認証情報は対象外です。
CI/CDコンポーネントでSLSAレベル1のコンプライアンスに対応
SaaS: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLabの新しいCI/CDコンポーネントを使用することで、SLSAレベル1のコンプライアンスに対応できるようになりました。このコンポーネントは、GitLab Runnerが生成するSLSA準拠の アーティファクトの来歴メタデータに対して署名と検証を実行します。また、Sigstore Cosignの機能を再利用可能なモジュールとして提供し、CI/CDワークフローに簡単に統合できるようにします。
GitLab 18.1リリースに含まれるその他の改善点
コード検索で複数の検索結果の統合表示が可能に
SaaS: Premium、Ultimate
Self-Managed: Premium、Ultimate
完全一致コードの検索(ベータ版)では、同じファイル内の複数の検索結果を単一のビューに統合して表示できるようになりました。この改善により、次のことが可能になります。
- 孤立した行表示ではなく、隣接する一致間のコンテキストを保持
- 一致する内容が近い場合に重複コンテンツを排除し、視覚的な混乱を軽減
- ファイルごとの一致数を明確に表示することで、ナビゲーションを強化
- エディタでの表示と同様にコードを表示することで、可読性を改善
この変更により、リポジトリ全体のコードパターンの発見と理解がより効率的になりました。
権限チェック機能を強化したCODEOWNERSファイル検証
SaaS: Premium、Ultimate
Self-Managed: Premium、Ultimate
GitLabでは、基本的な構文チェックを超えた、CODEOWNERSファイルに対するより強化された検証が提供されるようになりました。CODEOWNERSファイルを表示すると、GitLabが自動的に包括的な検証を実行し、マージリクエストのワークフローに影響を与える前に構文エラーと権限の問題を特定します。
この強化された検証では、CODEOWNERSファイル内の最初の200のユニークなユーザーとグループの参照をチェックし、次のことを検証します。
- 参照されたすべてのユーザーとグループがこのプロジェクトにアクセスできること
- ユーザーに、マージリクエストを承認するために必要な権限があること
- グループに、デベロッパーレベル以上のアクセス権があること
- グループに、マージリクエストの承認権限を持つユーザーが少なくとも1人含まれていること
この事前検証により、設定上の問題を早期に発見して承認ワークフローの中断を防ぎ、マージリクエストが作成されたときにGitLabコードオーナーが実際にレビューの責任を果たせるようにできます。
VS Codeでダウンストリームパイプラインのジョブログを表示
SaaS: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
VS Code用GitLab Workflow拡張機能で、ダウンストリームパイプラインからのジョブログをエディタ内で直接表示できるようになりました。これまで、子パイプラインからログを確認するには、GitLab Webインターフェイスに切り替える必要がありました。
この機能は、GitLab共同開発を通じて開発されました。この場を借りて、コントリビュートしてくれたTim Ryanさんに感謝します!
シークレット検出のデフォルトルールとDAST検出の同等性
SaaS: Ultimate
Self-Managed: Ultimate
DASTアナライザーが、GitLabのシークレット検出アナライザーで使用されるものと同じデフォルトのシークレット検出ルールを自動的に取り込むようになりました。この改善により、両方のアナライザーで検出されるシークレットの種類に一貫性が確保されます。
依存関係リストでコンポーネントバージョンによるフィルタリング
SaaS: Ultimate
Self-Managed: Ultimate
依存関係リストで、コンポーネントのバージョン番号によるフィルタリングがサポートされるようになりました。複数のバージョン(バージョン=1.1、1.2、1.4など)を選択できますが、バージョン範囲指定はサポートされていません。この機能は、グループとプロジェクトの両方で利用できます。
コンプライアンスステータスレポートでコントロールステータスの一覧がポップアップで表示されるように
SaaS: Ultimate
Self-Managed: Ultimate
コンプライアンスステータスレポートのコントロールには、次の3つのステータスがあります。
- 合格
- 失敗
- 保留中
これまでは、要求事項に関連付けられているコントロールの数に関係なく、少なくとも1つのコントロールが「保留中」の場合、要求事項行全体が「保留中」として表示されていました。これは、失敗したコントロールの表示方法とは一貫性がありませんでした。失敗したコントロールが1つでもある場合は、要求事項に関連付けられた全コントロール数と失敗の数が表示されます。
「保留中」のコントロールに関する詳細なコンテキストと情報を提供するため、要求事項行のステータスにカーソルを合わせると、各コントロールのステータスを一覧表示するポップアップが表示されるようになりました。これにより、単に「保留中」という全体ステータスを確認するだけでなく、どのコントロールが保留中で、どのコントロールが合格または失敗しているかを具体的に把握できるようになりました。
ボットユーザーと人間のユーザーのフィルタリング
SaaS: -
Self-Managed: Free、Premium、Ultimate
運用が進んだGitLabインスタンスでは、多くの場合、人間とボットの両方のユーザーが多数存在します。今回のリリースで、管理者エリアのユーザーリストをユーザータイプでフィルタリングできる機能が追加されました。この機能により、以下のことが可能になります。
- 人間のユーザーと自動化アカウントを区別して迅速に特定、管理
- 特定のユーザータイプに絞った管理アクションを実行
- ユーザーの監査と管理のワークフローの効率化
ユーザープロフィールのORCID識別子
SaaS: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
ユーザープロフィールにORCID識別子を設定できるようになり、GitLabが研究者や学術コミュニティにとってより使いやすく価値あるものになりました。ORCID(Open Researcher and Contributor ID)は、研究者に永続的なデジタル識別子を提供し、他の研究者との区別を可能にするとともに、研究者とその業績を自動的に関連付けることで、適切な評価を支援するものです。
この機能は、学術コミュニティからの長年の要望に応えるため、アルトワ大学の修士課程の学生であるThomas LabaletteとErwan HivinがDaniel Le Berreの指導の下、コミュニティに貢献することを目的に開発したものです。
サービスアカウントのパイプライン通知への登録
SaaS: Premium、Ultimate
Self-Managed: Premium、Ultimate
サービスアカウントによってトリガーされたパイプラインイベントの通知を、受信できるようになりました。通知はパイプラインが合格、失敗、または修正された場合に送信されます。これまでは、サービスアカウントに有効なカスタムメールアドレスが設定されている場合にのみ、そのサービスアカウントのメールアドレスに通知が送信されていました。
この場を借りて、コントリビュートしてくれたDensettさん、Gilles Dehaudtさん、Lenainさん、Geoffrey McQuatさん、Raphaël Bihoréさんに感謝します!
無効となっているパーソナルアクセストークンの表示
SaaS: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLabは、有効期限が切れたり、失効したりしたアクセストークンを自動的に無効化します。今回の変更では、無効となっているトークンを確認できるようになりました。これまでは、アクセストークンが無効になると表示されなくなっていました。この変更により、こうしたトークンのトレーサビリティとセキュリティが向上します。
GitLab Query Language(GLQL)ビューでのエピックサポート(ベータ版)
SaaS: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Query Language(GLQL)ビューが大幅に改善されました。今後は、クエリでエピックをタイプとして使用できるようになり、グループ全体のエピック検索や親エピックへのクエリが可能になります。
この機能強化により計画・追跡のワークフローが大きく向上し、エピックレベルでのクエリや整理が格段に効率化されます。
レビューパネルによるマージリクエストのレビューエクスペリエンスの強化
SaaS: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
マージリクエストのレビューを行う際、レビューを送信する前にこれまでのフィードバックを参照すると役立つことがあります。これまでは、最終コメントと保留中コメントが別々のポップアップに分かれていたため、全体像を把握することが困難でした。
コードレビュー時に、保留中の下書きコメントを一箇所にまとめて表示する専用ドロワーが利用できるようになりました。強化されたレビューパネルでは、レビュー送信インターフェイスがよりアクセスしやすい場所に移動し、保留中のコメント数を示す番号付きバッジが表示されます。パネルを開くと、下にスクロールできるリストに下書きコメントがすべて表示されるため、送信前のフィードバックの確認と管理が簡単になります。
GitLab Runner 18.1
SaaS: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GitLab Runner 18.1もリリースされます!GitLab Runnerは、CI/CDジョブを実行し、結果をGitLabインスタンスに送信する、拡張性の高いビルドのエージェントです。GitLabに含まれるオープンソースの継続的インテグレーションサービスであるGitLab CI/CDと連携して動作します。
バグ修正:
すべての変更の一覧は、GitLab Runnerの変更履歴で確認できます。
高度なSASTのPHPサポート
SaaS: Ultimate
Self-Managed: Ultimate
GitLabの高度なSASTにPHPサポートを追加しました。この新しいファイル間、関数間スキャン機能を使用するには、高度なSASTを有効にします。高度なSASTをすでに有効にしている場合、PHPサポートは自動的に有効になります。
高度なSASTが各言語で検出する脆弱性の種類を確認するには、高度なSASTカバレッジページを参照してください。
パイプライン実行ポリシーにおける変数の優先順位制御
SaaS: Ultimate
Self-Managed: Ultimate
多くの場合、セキュリティチームはセキュリティ保証とデベロッパーエクスペリエンスの間で微妙なバランスを取ることになります。セキュリティスキャンが適切に実行されていることを確認するのは重要ですが、セキュリティアナライザーが正常に動作するためには、開発チームからの特定のインプットが必要な場合があります。変数の優先順位制御により、セキュリティチームは新しいvariables_override設定オプションを通じて、パイプライン実行ポリシーにおける変数の処理方法を細かく制御できるようになりました。
この新しい設定を使用すると、次のことが可能になります。
- プロジェクト固有のコンテナイメージパス(
CS_IMAGE)を許可するコンテナスキャンポリシーを適用 SAST_EXCLUDED_PATHSなどの低リスク変数は許可し、SAST_DISABLEDなどの高リスク変数はブロックAWS_CREDENTIALSなどのグローバルCI/CD変数で保護(マスクまたは非表示)されたグローバル共有認証情報を定義しつつ、必要に応じてプロジェクトレベルのCI/CD変数によるプロジェクト固有の上書きを許可
この強力な機能は、次の2つのアプローチをサポートしています。
- デフォルトで変数をロックする(
allow: false):例外として指定した特定の変数を除き、すべての変数をロック - デフォルトで変数を許可する
(allow: true):変数のカスタマイズを許可するが、重大なリスクのある変数を例外として指定することで制限
パイプライン実行ポリシーによってCI/CDジョブが実行される際のトレーサビリティとトラブルシューティングを改善するために、ジョブログ機能も導入されました。これにより、デベロッパーとセキュリティチームは、どのジョブがポリシーによって実行されたかを簡単に特定できますジョブログでは、変数の上書きによる影響の詳細を確認でき、どの変数がポリシーによって上書きまたはロックされているかを把握するのに役立ちます。
実際の影響
この機能強化により、セキュリティ要件とデベロッパーの柔軟性のニーズとの間のギャップが解消されます。
- セキュリティチーム:プロジェクト固有のカスタマイズを許可しつつ、標準化されたスキャンを実行できる
- デベロッパーは:ポリシーの例外をリクエストすることなく、プロジェクト固有の変数を制御できる
- 組織は:開発ワークフローを混乱させることなく、一貫したセキュリティポリシーを実装できる
この重要な変数制御機能により、GitLabは組織が開発の柔軟性を保ちながら強固なセキュリティポリシーを導入できる環境を提供します。
外部カスタムコントロールのNameを定義
SaaS: Ultimate
Self-Managed: Ultimate
これまでは、カスタムコンプライアンスフレームワークを作成する際に外部カスタムコントロールの名前を定義できず、GitLabコントロールと並んでリスト表示される外部コントロールを識別することが困難でした。
今回、外部カスタムコントロールを定義する際のワークフローの一部としてNameフィールドが追加されました。これにより、複数の外部カスタムコントロールを作成し、それぞれに固有の名前を設定して明確に区別できるようになりました。
GitLab Duo脆弱性の修正のためのSASTカバレッジの向上
SaaS: Ultimate
Self-Managed: Ultimate
これまでは、次のCommon Weakness Enumeration(CWE)識別子を持つ検出された脆弱性を手動で解決する必要がありました。
- CWE-78(コマンドインジェクション)
- CWE-89(SQLインジェクション)
現在は、GitLab Duo脆弱性の修正により、これらの脆弱性を自動的に修正できるようになりました。
コンプライアンスフレームワークUIにおける要件のページネーション
SaaS: Ultimate
Self-Managed: Ultimate
コンプライアンスフレームワークを作成する際は、最大50個の要件を指定できます。
ただし、これほど多くの要件があると、UIで大きな表示領域を占めるため、コンプライアンスフレームワークの操作が非常に困難になります。
今回のリリースでは、コンプライアンスフレームワークに多数の要件が含まれている場合でも、ユーザーが要件を簡単に閲覧、検索、選択できるよう、要件のページネーション機能を導入しました。
コンプライアンスセンターのUIパフォーマンスとフィルタリングを改善
SaaS: Ultimate
Self-Managed: Ultimate
コンプライアンスセンターのUIパフォーマンスとフィルタリングオプションの改善を継続しています。今回のリリースでは、次のことを行いました。
- 特に多くの要件とプロジェクトが含まれる場合に、フレームワークの編集ページのUIスピードとパフォーマンスを改善しました。
- コンプライアンスセンターのコンプライアンスステータスレポートタブで、要件、プロジェクト、またはフレームワーク別にグループ化できる新しいフィルタリングオプションを導入しました。
これらの改善を行うことで、コンプライアンスセンターを定期的に利用するお客様に対し、コンプライアンスセンターと関連機能が大規模環境でも継続して高いパフォーマンスを発揮できるようにしています。
GraphQL APIのprojectMembersに新しいaccessLevels引数を追加
SaaS: Free、Premium、Ultimate
Self-Managed: Free、Premium、Ultimate
GraphQL APIのprojectMembersフィールドにaccessLevels引数が追加されました。この引数を使用すると、APIコールから直接アクセスレベル別にプロジェクトメンバーをフィルタリングできます。これまでは、プロジェクトメンバーの全リストを取得してからローカルでフィルターを適用する必要があり、これにより計算オーバーヘッドが大幅に増加していました。現在では、プロジェクトの権限分析や所有権グラフの生成がより高速化し、リソース効率も向上しています。この機能強化は、複雑な権限構造を持つ大規模デプロイを管理する組織にとって特に価値があります。
バグ修正、パフォーマンスの改善、UIの改善
GitLabでは、ユーザーに可能な限り最高の環境をお届けできるよう尽力しています。リリースのたびに、バグを修正し、パフォーマンスを改善し、UIを向上させるためにたゆまぬ努力を続けています。GitLabは、100万人を超えるGitLab.comユーザーをはじめ、GitLabのプラットフォームを利用するすべての人にスムーズでシームレスな体験をお届けすることを約束します。
18.1で提供されたすべてのバグ修正、パフォーマンスの強化、UI改善を確認するには、以下のリンクをクリックしてください。
非推奨事項
新たに非推奨になった機能、および現在非推奨になっているすべての機能の一覧は、GitLabドキュメントで確認できます。今後の破壊的な変更について通知を受け取るには、破壊的な変更のRSSフィードにサブスクライブしてください。
削除された機能と破壊的な変更
削除されたすべての機能の一覧は、GitLabドキュメントで確認できます。今後の破壊的な変更について通知を受け取るには、破壊的な変更のRSSフィードにサブスクライブしてください。
変更履歴
変更内容をすべて表示するには、次のページから変更履歴を確認してください。
インストール
GitLabを新規にインストールする場合は、GitLabのダウンロードページをご覧ください。
更新事項
更新ページをご覧ください。
ご不明な点がある場合
ご質問やご意見をお聞かせください。本リリースについてご不明な点がある場合は、GitLabフォーラムにアクセスして質問を投稿してください。
GitLabサブスクリプションプラン
GitLabのすべての機能を無料でお試しいただけます。
監修:ソリス ジェレズ / Jerez Solis @jerezs (GitLab合同会社 ソリューションアーキテクト本部 ソリューションアーキテクト)