GitLabのAI機能はどこまで開発を支援できるのか？！ハンズオンで試してみました！

はじめに

こんにちは。SB C&Sの佐藤です。

先日、GitLab Duo Agent Platformのハンズオンコンテンツを実際に体験してきました！
本ブログではこの体験を基に、どのような機能を試せるのか、開発現場ではどのような場面で使えそうなのかを、実際に触ってみた感想を交えながら紹介します。

生成AIというと、チャット画面に質問して回答を得る使い方をイメージしやすいと思います。しかし、このハンズオンで体験できるのはチャットだけではありません！
プロジェクト分析、CI/CDパイプライン修正、Work ItemからMerge Request作成、コードレビュー、脆弱性対応までを、GitLab上の開発ワークフローに沿って一通り試せます。
そのためこのハンズオンは「GitLabのAI機能は実際の開発でどこまで使えるのか」「チャット以外にどのような効果があるのか」が気になる方には、特に参考になる内容だと思います。

ハンズオンの流れとあわせて、技術者目線で感じた価値や注意点も整理していきますので、ぜひ最後まで読んでみてください。

ハンズオンコンテンツの概要

今回試したのは、GitLab Learn Labsで公開されている「DAP Swag Shop」のハンズオンです。
このハンズオンでは、既存の本番アプリケーションを担当する開発者になったという想定で、GitLab Duo Agent Platformをもう一人のチームメンバーのように使いながら作業を進めます。

主に体験できる内容は以下です。かなり充実しているのが分かります！

• GitLab Duo Chatによるプロジェクト分析
• Daily Compass AgentによるQuick Winsの確認
• 失敗したCI/CDパイプラインの修正
• Developer FlowによるDark Mode機能の実装
• GitLab DuoによるMerge Requestのコードレビュー
• Security Analyst Agentによる脆弱性の確認とトリアージ
• SAST False Positive Detection Flowによる誤検知確認
• SAST Vulnerability Resolution Flowによる脆弱性修正支援

加えて実際に試して良いと感じたのは、最初からサンプルリポジトリと手順が用意されている点です。
AI機能を検証するときに意外と時間がかかるのが、「試すための題材を用意すること」です。空のリポジトリや小さすぎるサンプルでは、AIがどの程度プロジェクトの文脈を見てくれるのか判断しづらくなります。
その点、このハンズオンでは、アプリケーション、Work Item(Issue)、Merge Request、Pipeline、Vulnerability reportなどが一連の流れで扱われます。準備に時間をかけずに、GitLab Duo Agent Platformが実際の開発プロセスのどこで役立つのかを確認しやすい構成です。

またハンズオンで実際に手を動かす内容以外にも細かいTipsが手順書内に盛りだくさんなので、是非隅々までご覧ください！

それでは各項目でどんな体験ができるのか、コンテ具体的に見ていきましょう。

１．GitLab Duo Chatによるプロジェクト分析

ハンズオンの序盤では、GitLab Duo Chatにプロジェクト構造を分析させます。
具体的には、プロジェクトの構造を見て、保守性やスケーラビリティの観点から改善案を出してもらいます。その後、提案内容をもとにWork Itemを作成する流れも試します。

ここは、GitLab Duo Agent Platformの特徴を最初に体感しやすい部分でした。
単に「このアプリケーションを説明して」と聞くだけではなく、分析結果をWork Item作成につなげられるため、調査で終わらず次の作業へ進められます。実際の開発現場でも、新しく参加したプロジェクトの構造を把握したり、既存プロジェクトの改善候補を洗い出したりする場面は多いと思います。

新しいメンバーがリポジトリを読み解くときや、既存プロジェクトの改善点を棚卸ししたいときに、このような使い方は便利ではないでしょうか。

２．Daily Compass AgentによるQuick Winsの確認

次に、Daily Compass Agentを使ってQuick Winsを確認します。
Quick Winsとは、比較的小さい作業量で効果が見込める改善項目のことです。ハンズオンでは、プロジェクト全体の状況を踏まえて、優先的に対応すべき項目を確認します。

このステップで感じたのは、AIの使い方が「質問への回答」から「次に何をすべきかの整理」に広がっていることです。
開発チームでは、やるべきことがWork Item、Merge Request、Pipeline、Security findingsなどに分散しがちです。作業の優先順位を決めるには、それぞれの情報を見に行き、影響範囲や緊急度を判断する必要があります。

Daily Compass Agentのように、プロジェクトの状態をもとに次の作業候補を提示してくれると、開発者は「どこから手を付けるか」を判断しやすくなります。特に、複数の作業が並行しているチームでは、日々の作業開始時の整理に役立ちそうです。

３．失敗したCI/CDパイプラインの修正

ハンズオンの中でも、実務に近いと感じたのがFix CI/CD Pipeline Flowです。
CI/CDパイプラインの失敗は、開発現場ではよく発生します。テストの失敗、依存関係の問題、設定ミス、スクリプトのエラーなど、原因はさまざまです。問題自体は小さくても、原因調査に時間がかかると、Merge Requestが止まり、後続作業にも影響します。

ハンズオンでは、失敗したPipelineを確認し、「Fix pipeline with Duo」から修正フローを開始します。GitLab Duoは失敗ログや関連する変更内容を確認し、修正案を提示します。ハンズオンの流れでは、その提案をもとに修正用のMerge Requestを確認します。
実際に試してみると、Pipelineの画面からAIによる診断と修正支援に進める点が分かりやすく感じました。

開発者がエラーログをコピーして別のAIツールに貼り付けるのではなく、GitLab上の失敗したPipelineを起点に操作できるため、作業の文脈が切れにくくなります。これは、日常的にCI/CDを使っているチームほど効果を感じやすい部分だと思います。
ただし、AIが提示した修正案は必ず確認が必要です。Pipelineを通すことだけを目的にすると、本来必要なテストやチェックを弱めてしまう可能性もあります。修正内容が妥当か、既存の開発ルールに沿っているかを人間が確認する前提で使うべきだと感じます。

Developer FlowによるDark Mode機能の実装

次に、Dark Mode機能の実装を題材に、Developer Flowを試します。
ハンズオンでは、Dark Modeの要件をWork Itemとして作成し、そのWork Itemから「Generate MR with Duo」を実行します。GitLab DuoはWork Itemの内容をもとにRepositoryを読み取り、必要なコード変更を行い、Merge Requestを作成します。

ここで体験できるのは、「要件から実装への橋渡し」です。
実際の開発では、Work Itemを読んで、関連ファイルを探し、既存実装のパターンを確認し、コードを書き、テストを用意し、Merge Requestを作成するという作業が必要です。Developer Flowは、この一連の初動を支援します。

もちろん、複雑な機能をすべて任せられるわけではありません。
しかし、既存パターンに沿った機能追加や、小さめの改善であれば、実装のたたき台を作る用途として有効だと感じました。

特に良い点は、作成されたMerge RequestをそのままGitLab上で確認できることです。
差分、Pipeline、コメント、関連Work Itemを見ながら、人間がレビューして調整できます。AIが作ったコードをそのまま受け入れるのではなく、GitLabの通常のレビューサイクルに載せられる点は重要です。

GitLab DuoによるMerge Requestのコードレビュー

GitLab DuoをReviewerとして追加し、AIによるコードレビューも試します。
コードレビューは品質を保つために重要ですが、レビュー担当者に負荷が集中しやすい工程でもあります。特に、スタイルの揺れ、テスト不足、単純な見落とし、セキュリティ上の懸念などは、レビュー担当者の時間をじわじわ消費します。

GitLab Duoによるコードレビューでは、Merge Requestの差分に対してコメントや提案を返します。さらに、リポジトリ内にレビュー指示ファイルを用意しておくことで、プロジェクト固有のコーディングルールや確認観点を反映しやすくなります。

この体験で印象的だったのは、AIレビューが単なる一般論ではなく、Merge Requestという作業単位に紐づいている点です。
コードの差分を見て、指摘をMerge Request上に残し、その後の議論や修正につなげる。これは、開発チームが普段行っているレビューの流れに近い形です。AIの指摘をきっかけに、人間のレビュアーが設計判断や業務要件との整合性に集中できれば、レビューの質と速度の両方に良い影響が期待できます。

またコードレビューに関しては定額化の嬉しいアップデートもありますので、是非こちらも併せてご確認ください。始めるなら今！

Security関連項目

今回のハンズオンで特に試してみてほしいと感じたのが、セキュリティ関連の内容です！昨今のITインシデントの多さから、ブログをご覧の皆様の中にもこの辺りに注目されている方が多いと思われます。
ハンズオンでは、Vulnerability reportを確認し、重大度がCriticalやHighの脆弱性をSecurity Analyst Agentに整理させます。その後、検出された脆弱性をトリアージし、誤検知かどうかの確認や、対応が必要な項目の整理を行います。
この章ではSecurity Analyst Agentによる脆弱性の確認とトリアージ、SAST False Positive Detection Flowによる誤検知確認、SAST Vulnerability Resolution Flowによる脆弱性修正支援の3項目をまとめて解説します。

セキュリティスキャンは、導入するだけでは十分ではありません。実際の現場では、検出結果が多すぎて確認が追いつかない、誤検知か本当に対応が必要な問題か判断しづらい、修正方針を決めるまでに時間がかかる、といった課題が起きやすいです。
Security Analyst Agentを使うと、脆弱性の一覧化、優先順位付け、リスク評価、対応方針の整理をGitLab上で進めやすくなります。

また、ハンズオンではSAST False Positive Detection FlowやSAST Vulnerability Resolution Flowも扱います。誤検知の確認や、SQL Injectionのような脆弱性に対する説明、修正用Merge Requestの生成まで体験できるため、単なるスキャン結果の確認にとどまりません。

今回のハンズオンでは、実際の環境でも発生しそうな内容が題材になっています。セキュリティスキャン結果をどう扱うかに課題を感じている方には、特に試してみてほしい部分です。
GitLabが掲げるセキュリティ対策については別ブログでも紹介しておりますので、是非こちらも併せてご覧ください。

実際に体験した感想

全体として、GitLab Duo Agent Platformの価値を理解するには、機能説明を読むだけでなく、今回のようなハンズオンを一度試すのが有効だと感じました。
特に良かった点は、開発ワークフローに沿って一連の機能を試せることです。
AI機能は、単体で見ると「便利そうだが、どの場面で使うのか分かりづらい」と感じることがあります。しかし、今回のハンズオンでは、プロジェクト分析から始まり、作業の優先順位付け、Pipeline修正、Work ItemからMerge Request作成、コードレビュー、脆弱性対応までを順番に体験できます。
そのため、「この機能はこの場面で使える」というイメージを持ちやすくなります。

また、リポジトリが用意されているため、すぐに始められる点も大きなメリットです。AI機能の検証では、準備段階でつまずくと、本来確認したい機能にたどり着く前に時間を使ってしまいます。今回のハンズオンは、手順に沿って進めることで、GitLab Duo Agent Platformの主要な機能を効率よく確認できます。

もう一つ印象的だったのは、フローやエージェントを試せる点です。
単純なチャットであれば、どのAIツールでも似た体験になりがちです。しかし、GitLab Duo Agent Platformでは、Pipelineを修正する、Work ItemからMerge Requestを作る、脆弱性を分析するといった、GitLab上の具体的な作業と結びついています。
この点は、GitLabの中でAIを使う意味を考えるうえで重要です。AIが単に回答するだけでなく、開発プロセスの中でどの作業を支援できるのかを体験できます。

そして特にAI製品ではトークン上限や機能制限により十分な試用ができないこともありますが、GitLabハンズオンではハンズオン期間中であれば環境は自由に使用することができます！
そのためコンテンツ外の機能や自分自身で考えたプロンプトを実行することも可能であるため、ツールの有用性を十分に確認できる環境が整っています。

コンテンツも実施結果も、本当に満足感の高い内容でした！

その他、ハンズオンコンテンツからは少々反れますが、実施中に個人的に感動した点があります。
コンテンツ実施に辺り同じプロンプトを連続で2度流してしまい、トークン消費のことも考慮して慌てて取り消そうとしたところ、以下の内容が返ってきました。

同一セッションであったためということもあると思いますが、「すでに実施済みのため実施しません」と返ってきたことにとても感心してしまいました。
GitLabのAI、侮れません。

利用時の注意点

一方で、いくつか注意点もあります。

まず、ハンズオンを進めるうえでは、GitLab自体の基本的な知識もある程度必要になります。
コンテンツ内で細かく指示をしてくれますが、Repository、Work Item、Merge Request、Pipeline、Vulnerability reportなどの画面を行き来するため、コードのリポジトリ管理やGitLab上での開発フローを知っていると、内容をより理解しやすくなります。
公式ドキュメントはもちろん、本サイトのブログでも紹介しておりますので、是非ご活用ください。
※ご希望があればGitLabの機能説明も含めた講師付き開催も可能となっておりますので、是非ご相談ください！

加えて、AIが出力した内容を読み解くためのコード読解力も前提になり得ます。
GitLab Duoが修正案やレビューコメントを提示してくれるとしても、その変更が本当に妥当か、既存の実装と矛盾しないか、満足のいく内容となっているかを判断するには、ある程度コードを読む力が必要です。

ただし、これらをすべて完璧に理解していないと進められないわけではありません。
分からない画面や用語、AIが出力したコードの意図については、GitLab Duo Chatに質問しながら確認できます。たとえば「このMerge Requestの変更内容を説明して」「このPipelineのエラーは何を意味していますか」「この脆弱性はなぜ問題になりますか」といった形で聞くことで、理解を補いながらハンズオンを進められますのでご安心ください。

まとめ

今回のハンズオンは、GitLab Duo Agent Platformを「チャットAI」としてではなく、「開発ワークフローに組み込まれたAI」として理解するのに適した内容だと、実際に体験してみて強く感じました。
プロジェクト分析、Quick Winsの確認、Pipeline修正、Work ItemからMerge Request作成、コードレビュー、脆弱性対応までを一連の流れで試せるため、GitLab上でAIをどのように使うのかを具体的にイメージできます。

このハンズオンの価値を技術者目線で見ると、大きく三つあると感じます。

一つ目は、AIが扱うコンテキストの範囲を確認できることです。
コード単体ではなく、Work Item、Merge Request、Pipeline、Security findingsといった開発データをまたいでAIを使うことで、単発の回答ではなく、作業の流れに沿った支援が可能になります。これは、AIを開発現場に組み込むうえで非常に重要な観点です。

二つ目は、人間がどこで判断すべきかを確認できることです。
GitLab Duo Agent Platformは、分析、提案、Merge Request作成、レビュー支援などを行いますが、最終的な承認や判断は人間が行います。AIを自動化の道具としてだけ見るのではなく、開発者の判断を補助する仕組みとして捉えられる点に、このハンズオンの実務的な価値があります。

三つ目は、ソフトウェア開発ライフサイクル全体でAIを使う設計を体感できることです。
AIコード補完のように実装中だけを支援するのではなく、計画、実装、CI/CD、レビュー、セキュリティまでをGitLab上でつなげて考えられます。技術者にとっては、「どの工程をAIに任せられるか」だけでなく、「どの工程で人間がレビューすべきか」「どの情報をWork ItemやMerge Requestに残すべきか」を考えるきっかけにもなります。
特に、セキュリティやCI/CDのように、問題が起きると開発全体を止めやすい領域でAIを活用できる点は、実運用を考えるうえで見逃せません。

AIを日々の開発にどう組み込むべきかを考えている方にとって、このハンズオンは良い入口になると強く感じています。
本ブログをお読みになりハンズオンコンテンツを「体験してみたい！」と感じられましたら、是非お気軽にお問合せください！

関連リンク

GitLab公式ブログ：https://about.gitlab.com/ja-jp/blog/
GitLab Duo 公式ドキュメント：https://docs.gitlab.com/ja-jp/user/gitlab_duo/
DevOps Hub GitLab関連ブログ： /devops-hub/blog/gitlab/