GitLab Workshop 精華：AI 驅動 DevSecOps 與 Duo Agent 平台解析

Devops Tec.
37false22 GMT+0000 (Coordinated Universal Time)
讀畢需時 6 分鐘

前言：為什麼這場 Workshop 值得分享？

近期戴博斯科技團隊受邀參加 GitLab 原廠舉辦的 Workshop，深入接觸 GitLab 在 AI 驅動 DevSecOps 領域的最新進展。對於正在評估開發平台轉型、或苦於 Bitbucket Data Center 即將 EOL（End of Life）的企業與政府單位而言，這場 Workshop 提供了非常完整且務實的觀點。

身為 GitLab 在台灣的合作夥伴，戴博斯科技將這次原廠交流的精華整理成本篇文章，期望協助客戶快速掌握 GitLab 平台的價值定位、AI 功能落地方式，以及 Duo Agent Platform 帶來的全新工作流程。

「AI 的價值，不只是寫出程式碼；而是貫穿 Idea to Production 的每一個階段。」— GitLab Workshop

GitLab Duo Agent Platform：AI 驅動的開發新典範

這次 Workshop 最受矚目的主題之一，是 GitLab Duo Agent Platform（DAP）。透過 GitLab 自有的 AI Gateway，企業可以將 AI 能力嵌入到完整的研發生命週期，並透過 GitLab Flows 自動化串接多個 Agent 完成複雜任務。

Workshop 中特別強調，GitLab 提供完整的報表，協助客戶呈現價值流（Value Stream）或者也完整提供GitLab Duo的 AI 使用率，讓 AI 不再只是「黑盒子」，而是可衡量的投資。

GitLab Duo 的五大主要功能

Duo Code Review：自動化程式碼審查，協助開發者快速釐清變更影響範圍。
專案上下文分析：Duo 能解讀整個專案脈絡，回答開發疑慮，根據原廠資訊可達 3 倍 ROI。
Duo SAST：協助進行安全靜態分析，將資安檢測內建於開發流程中。
從 Work Item 到 MR：Duo 自動分析上下文並協助處理簡易的程式撰寫或修正作業，壓縮大量開發時間。
精細的存取控制：限制特定 Group 才能使用 AI，符合企業治理與合規需求。

GitLab Credit：透明、彈性的 AI 計費模式

不同於 Claude 等 LLM 以 token 計費，GitLab 採用 Credit 制度，並允許客戶自行選擇要使用的 LLM 模型，依照不同模型計算對應的 Credit 消耗量。這對於企業而言，意味著：可以根據成本與精度的平衡，自由選擇最適合的 AI 模型。

兩種購買方式

On-demand Credits：每月依實際使用後計費，適合用量彈性大的團隊。
Pre-Commit Pool：年度（12 個月一次）購買固定額度，享有更優惠的單價，適合用量穩定的企業。

GitLab 另外提供 Credit Usage Dashboard，協助管理者隨時掌握 AI 使用情形。值得一提的是，若客戶選擇自建（Self-Hosted）LLM，將以最低的 Credit 計費方式計算，鼓勵企業善用既有的 AI 投資。

Included Credits 已涵蓋在兩個GitLab付費版本之中，建議客戶可以直接善加運用，先體驗 AI 帶來的生產力提升。

GitLab Orbit：Knowledge Graph as a Service

Orbit 是 GitLab 新一代的知識圖譜服務，透過將專案結構、語意關係、相依性整理為 Knowledge Graph，能夠減少對 LLM 的請求次數，同時提高 AI 回答的精準度與處理速度。目前 Orbit 仍以分析 GitLab 內部資料為主，未來可望延伸至更廣的整合場景。

資料留在 GitLab，AI 就越聰明。Knowledge Graph 是讓 AI 真正理解組織的關鍵。

Agents 與 Flows：建構企業級 AI 工作流程

GitLab 將 Agent 視為 AI 能力的基礎單元，並透過 Flow 將 Agent 串接為可被事件驅動的完整工作流程。Workshop 中介紹了多種類型的 Agent 與 Flow，讓企業能根據實際需求彈性組合。

Agent 的三大類型

Foundational Agents：包含 Planner Agent、Security Analyst Agent、Data Analyst Agent、CI Expert Agent，能立即提供價值，針對特定情境最佳化，落地時間短。
Custom Agents：企業可依內部規範與流程自定義。
External Agents：可接入外部系統的 Agent。

補充說明：Agent 執行作業會使用「使用者本身的權限」，因此涉及高風險操作時會需要 approval，符合最小權限原則。

Flow 的兩大類型

Foundational Flows：原廠提供的標準工作流程模板。
Custom Flows：企業自訂的事件驅動流程。

特別注意：Flow 擁有自己的權限執行作業，與單純的 Agent 權限模型不同，能更精細地控制自動化流程的執行範圍。

Trigger 與 AI Catalog：中央治理 AI 的關鍵

Trigger 是驅動 Agent 與 Flow 的事件入口，例如 MR 建立、Pipeline 完成、Issue 更新等。GitLab 進一步提供 AI Catalog，作為中央管理所有 Agent 與 Flow 的目錄，並支援限制 AI 對指定檔案或目錄的讀取權限。對於有嚴格資安與合規需求的企業而言，這意味著 AI 的使用範圍是可被精確管控的。

有了 AI Catalog，AI 不再是失控的副手，而是被治理的生產力工具。

業界肯定：Leader in the 2025 Gartner® Magic Quadrant™ for DevOps Platforms

2025 年 Gartner 在 Critical Capabilities for DevOps Platforms 報告中，將 GitLab 評為Leader。這項評價對應到企業在選型時最在意的能力指標：完整性、安全性、AI 整合度、與企業治理能力。

GitLab 的價值定位

Workshop 中的最後，原廠團隊也針對市場上常見的疑問與競爭比較進行了深入說明，戴博斯科技在此整理重點，協助客戶在評估時做出決策。

為什麼選擇 GitLab？

單一完整平台 vs 多個工具自行整合：減少串接成本、降低風險。
更低的 TCO（Total Cost of Ownership）：包含人力、維運、授權都更具優勢。
佈署彈性高：SaaS、Self-Managed、Air-Gapped 全支援。
完整的 MCP 串接：同時支援 MCP Client 與 MCP Server，能讀取專案上下文，使 AI 真正理解整個專案。

面對其他 AI 競爭者的優勢

AI 不只寫程式：GitLab 將 AI 應用到稽核、掃描、佈署、治理等 Idea to Production 全流程，效益更廣。
相較於 Azure DevOps：GitLab 在佈署整合、資安能力上更具優勢。
專案上下文完整性：只要資料都在 GitLab，Agent 就能完整讀懂整個專案脈絡。
Self-Hosted AI 完整整合：支援全地端、全離線環境，善用 AI 而不妥協於資安。

戴博斯科技的觀點與未來展望

綜合本次 Workshop 的內容，戴博斯科技認為 GitLab 已不再只是「Git 程式碼倉儲平台」，而是進入了「AI 驅動的全方位 DevSecOps 平台」的新階段。並且近年台灣多個政府機關或者高科技產業在評估開發平台時，特別重視「全離線環境（air-gapped）」的部署能力。GitLab 能完整支援 100% 離線部署，從原始碼管理、CI/CD、SAST 掃描，到 AI 功能皆可於內網運作 (P.S. GitLab 可以介接自建的 LLM AI Gateway)，這成為政府單位與高度敏感產業（金融、國防、關鍵基礎設施）導入的關鍵原因。

此外，Atlassian 已宣布Jira Data Center 將於 2029 年 EOL，許多企業正在尋找下一代平台。GitLab 提供了完整的從工作管理、版本控管到 DevSecOps 一站式解決方案，相信將成為遷移時的首選選項。

以上幾個重點，相信對台灣的企業與政府機關而言，代表下方三個重要的策略意涵：