피드로 돌아가기
InfoQInfoQ
DevOps

Agentic AI 기반의 통합 DevSecOps 거버넌스 체계 구축

GitLab 19.0 Embeds Agentic AI in Secrets, Merge Requests, and Supply Chain Security

Mark Silvester2026년 6월 19일3intermediate

Context

코드 생성 중심의 AI 기능만으로는 대규모 시스템의 신뢰성과 보안성을 확보하기 어려운 한계 존재. 분산된 시크릿 관리 및 수동 Merge Request 리뷰 프로세스로 인한 배포 병목과 보안 취약점 노출 위험 증가.

Technical Solution

  • GitLab Secrets Manager 도입을 통한 기존 그룹 및 프로젝트 계층 구조 기반의 통합 권한 제어 및 Audit Trail 추적 체계 구현
  • 외부 Secret Manager(HashiCorp Vault, AWS, Azure, GCP)와의 연동 인터페이스를 통한 하이브리드 시크릿 관리 아키텍처 설계
  • AGENTS.md 파일 기반의 컨텍스트 주입을 통해 팀별 표준을 준수하는 Developer Flow 에이전트 로직 구현
  • SBOM 기반 Dependency Scanner의 GA 전환 및 Manifest Scanning 폴백 메커니즘을 통한 공급망 보안 가시성 확보
  • Air-gapped 환경 대응을 위해 Mistral Devstral 2 등 오픈소스 모델을 지원하는 GitLab Duo Agent Platform 구축
  • Security Configuration Profile 도입으로 개별 프로젝트 CI 설정 없이 정책 기반의 통합 보안 스캔 강제화

1. AI 도입 시 일반적 기본값 대신 AGENTS.md와 같은 설정 파일을 통해 팀 내 컨텍스트를 주입하고 있는지 검토

2. 시크릿 관리 도구 도입 시 기존의 조직 계층 구조와 권한 모델이 일치하여 관리 오버헤드가 없는지 확인

3. SBOM 스캔 시 락파일 부재 상황을 대비한 자동 Dependency Resolution 및 폴백 전략 수립 여부 점검

4. 보안 설정의 파편화를 막기 위해 프로젝트 단위 설정이 아닌 중앙 집중형 정책 기반의 Security Profile 적용 고려

원문 읽기