GitLab Orbit: 코드·SDLC 전체 컨텍스트를 단일 쿼리로
GitLab이 소프트웨어 개발 생명주기(SDLC) 전반의 데이터를 단일 그래프로 연결하는 Orbit을 공개 베타로 출시했다. AI 에이전트가 파이프라인·배포·이슈·소유권을 코드와 연결해 이해하려면 파편화된 컨텍스트를 넘어 전체 SDLC를 그래프로 탐색할 수 있어야 한다는 문제에서 출발한다.
GitLab이 소프트웨어 개발 생명주기(SDLC) 전반의 데이터를 단일 그래프로 연결하는 Orbit을 공개 베타로 출시했다. AI 에이전트가 파이프라인·배포·이슈·소유권을 코드와 연결해 이해하려면 파편화된 컨텍스트를 넘어 전체 SDLC를 그래프로 탐색할 수 있어야 한다는 문제에서 출발한다.
GitLab 취약점 연구팀이 PyPI를 통한 Python 공급망 공격을 탐지했다. 오픈소스 웜 "Shai-Hulud"를 모방한 악성 패키지 5개가 Flask·Requests·NumPy 등 인기 패키지를 타이포스쿼팅해 CI/CD 자격증명을 탈취하려 했다.
AI 코딩 에이전트가 저장소 코드만 보면 팀 요구사항·코드 리뷰 기준을 인식하지 못해 신뢰할 수 없는 변경을 생성한다.
현대 코드베이스의 대부분은 서드파티 라이브러리로 구성되며, 기존 스캐너는 선언된 패키지의 CVE만 확인해 중첩된 추이적 의존성의 취약점을 놓친다.
데이터 레지던시·에어갭·컴플라이언스 환경에서는 소스 코드를 서드파티 API로 전송할 수 없어 AI 개발 지원 기능 사용이 제한된다.
개발자들이 CI/CD 변수·설정 파일·.env 파일에 시크릿을 보관해 과도한 스코핑과 보안 노출이 발생한다.
플랫폼 팀이 공유 파이프라인 컴포넌트를 배포하면 실제 사용 현황을 파악하지 못해 보안 취약 버전이 프로덕션에 잔류할 수 있다.
AI가 코드 작성 속도를 높였지만 MR 라이프사이클(리뷰어 지정·피드백 반영·충돌 해결·리베이스)은 여전히 수동이라 병목이 됐다.
코딩 에이전트가 빠르게 패치를 만들더라도 이슈 맥락, MR 리뷰, CI/CD, 배포 승인까지 이어지지 않으면 실제 출시 흐름이 끊긴다.
AI 에이전트가 CI/CD 파이프라인에서 자율 동작할 때 모델 선택(BYOK)만으로는 에이전트 행동 범위와 보안을 통제하기 어렵다.
AI 보조 개발은 코드 생성과 병합 속도를 높이지만, 보안 정책이 워크플로 밖에 있으면 취약점과 토큰 노출을 놓치기 쉽다.
CVSS 기반 기본 심각도는 배포 위치, 노출 범위, 실제 악용 가능성을 반영하지 못해 취약점 우선순위를 왜곡한다.
마이크로서비스를 GitOps 워크플로우에 새로 등록하려면 여러 프로젝트의 매니페스트, 컨테이너 레지스트리, Kubernetes 설정을 반복적으로 수정해야 해 시간이 오래 걸린다.
기존 GitLab PAT는 사용자의 접근 가능한 모든 프로젝트와 그룹에 광범위한 권한을 부여해, 토큰 하나가 유출되면 전체 자원이 노출된다.
GitLab을 Kubernetes로 운영해도 Gitaly만 VM에 두는 하이브리드 구성이 흔했다. Git 연산의 변동 큰 메모리 사용량과 파드 재시작의 강제 종료가 가용성을 위협했다.
에이전트형 코딩 도구가 코드를 빠르게 만들수록 CI/CD, 보안 스캔, 리뷰, 승인 같은 배포 단계가 병목이 된다.
팀 단위로 AI 에이전트를 쓰면 상태 공유, 업무 라우팅, 권한 통제, 운영 승격이 흩어져 협업 비용이 커진다.
Contagious Interview 공격은 악성 저장소와 VS Code tasks를 이용해 사용자가 워크스페이스를 신뢰하는 순간 백그라운드 명령을 실행한다.
SOC 탐지 규칙은 로그 스키마 변경이나 SIEM 파이프라인 오류로 조용히 깨질 수 있어, 단순 배포 검증만으로는 부족하다.
대형 소프트웨어 수업에서는 과제 배포, 권한 관리, 해설 코드 보호, 코드 피드백을 수작업으로 처리하기 어렵다.