GitLab hat zusammen mit The Harris Poll 251 deutsche DevSecOps-Profis aus verschiedenen Branchen zur Rolle von Künstlicher Intelligenz im IT-Bereich befragt. Die Ergebnisse der Studie zeigen, wie KI-Integration, Rollenveränderungen und neue Risiken die Arbeitswelt im DevSecOps-Umfeld in Deutschland prägen und welche Implikationen sich daraus für Unternehmen ergeben.

Den vollständigen Report zu KI im DevSecOps in Deutschland findest du hier.

Kennzahlen unserer Studie

Der aktuelle Stand von DevSecOps und Softwareentwicklung

• DevSecOps-Profis verbringen dennoch nur einen kleinen Teil ihrer Arbeitszeit mit neuer Softwareentwicklung: Im Schnitt entfallen lediglich 16 % auf das Schreiben von neuem Code, während Meetings und administrative Aufgaben mit 18 % den größten Anteil ausmachen. Weitere relevante Zeitfresser sind Security-Arbeit (13 %), die Verbesserung bestehenden Codes (12 %), Tests und Qualitätssicherung (12 %) sowie Codeverständnis und -pflege mit jeweils 10 %.
• Als wichtigsten Faktoren, die die Zusammenarbeit im SDLC einschränken, geben 32 % der Befragten organisatorische Silos und veraltete Dokumentationen an. Ein fehlender Wissensaustausch (30 %) und unklare/ineffiziente Prozesse bzw. Tool-Fragmentierung (jeweils 29 %) spielen ebenfalls eine große Rolle. Insgesamt gehen dadurch im Schnitt sieben Arbeitsstunden pro Woche verloren.
• Trotz moderner Entwicklungsansätze ist kontinuierliches Deployment noch nicht flächendeckend etabliert: Nur 27 % der Unternehmen deployen täglich oder mehrmals täglich. Gleichzeitig zeigen sich im Bereich Compliance-Anforderungen große strukturelle Bremsen, die für Verzögerungen bei 13 % der Releases verantwortlich sind.

Der Einsatz von KI im Software Development Lifecycle

• Künstliche Intelligenz ist bereits im Status quo der Softwareentwicklung angekommen. 68 % der Befragten verwenden KI bereits im Lebenszyklus der Softwareentwicklung, bei 17 % steht die Etablierung von KI im Jahr 2026 an.
• Dabei kommt KI derzeit bei 63 % der Befragten in der Dokumentation zum Einsatz. Aber auch für Tests (62 %) und die Programmierung selbst (60 %) wird sie bereits genutzt.
• 76 % der Befragten stimmen zu, dass die Integration von KI in den SDLC ihres Unternehmens schneller voranschreitet als zunächst angenommen.
• 98 % der DevSecOps-Profis berichten dabei, dass ihnen KI-Tools bereits Effizienzgewinne gebracht haben. Die größten Effekte entstehen durch die Automatisierung repetitiver Aufgaben (41 %), Unterstützung bei Tests und Qualitätssicherung (39 %), beim Erkennen von Bugs (38 %) sowie beim Erstellen von Code (36 %).
• Im Durchschnitt arbeiten die Befragten der Studie an einem Codebestand, der zu 32 % KI-generiert ist. 38 % des Codes werden noch immer von Grund auf neu geschrieben, während 30 % aus bestehenden externen Quellen wie Foren oder Suchergebnissen (ohne KI) kopiert werden.

Sicherheit, Compliance und Risiken im Zeitalter von KI

• In deutschen Unternehmen tragen vor allem Sicherheitsingenieur(innen) (38 %) und IT-Betriebsteams (33 %) die Hauptverantwortung für Application Security. Platform Engineers werden von 12 %, Entwickler(innen) selbst nur von 10 % der Befragten genannt.
• Zu den größten Sorgen im Zusammenhang mit KI- und agentischen Systemen zählen Security-Risiken (40 %), Qualitätskontrollen und die Einhaltung gesetzlicher Vorschriften (38 %), aber auch Datenschutz- und Datensicherheitsfragen (33 %).
• In Compliance-Aktivitäten investieren DevSecOps-Teams derzeit im Durchschnitt elf Stunden pro Monat und weitere zehn Stunden in die Behebung von Sicherheitsproblemen nach dem Release. Im Schnitt sind die Teams an acht Compliance-Audits pro Jahr beteiligt.
• Mit 76 % wird aktuell noch ein Großteil der Compliance-Anforderungen in der Softwareentwicklung manuell umgesetzt – 77 % erwarten aber, dass sich bis 2027 „Compliance as Code“ etabliert, bei dem Vorgaben automatisiert im Entwicklungsprozess verankert sind.

Der Blick nach vorn: DevSecOps, KI und Arbeit ab 2026

• DevSecOps-Profis stehen künstlicher Intelligenz trotz bewusster Risiken positiv gegenüber: 78 % der Befragten geben an, sich grundsätzlich zuversichtlich in Bezug auf den Ansatz ihres Unternehmens zur Anwendungssicherheit zu fühlen. Der gleiche Anteil meint allerdings auch, dass agentische KI „beispiellose Sicherheitsherausforderungen“ mit sich bringt.
• Zudem vertrauen DevSecOps-Teams darauf, dass KI etwa ein Drittel der täglichen Aufgaben ohne menschliche Überprüfung übernehmen kann. Am häufigsten gaben Befragte dafür Tätigkeiten wie die Dokumentation (53 %), das Schreiben von Tests (51 %) und Code-Reviews (49 %) an.
• Als Tätigkeiten, die dauerhaft in Menschenhand bleiben werden, gelten hingegen vorrangig Zusammenarbeit (43 %), Innovation (42 %) und strategisches Denken sowie Kommunikation (37 %). Daran anknüpfend erwarten 80 % der DevSecOps-Profis, dass KI ihre Rolle in den kommenden fünf Jahren erheblich verändern wird.

KI wird zum festen Bestandteil moderner Softwareentwicklung

Der Report macht deutlich, dass künstliche Intelligenz die Softwareentwicklung bereits heute messbar verändert und im DevSecOps-Alltag eingebunden ist. Unternehmen nutzen KI, um Effizienzverluste auszugleichen und Entwicklungsprozesse zu beschleunigen – gleichzeitig stoßen sie jedoch zunehmend auf neue Anforderungen in den Bereichen Sicherheit, Compliance und Governance.

Der Erfolg von KI ist dabei weniger von einzelnen Tools als von ihrer strategischen Einbettung abhängig. Rollen verschieben sich, menschliche Kontrolle bleibt in vielen Belangen aber zentral, und Platform Engineering entwickelt sich zur Voraussetzung für skalierbare KI-Nutzung.

Langfristig entscheidet also nicht der Einsatz von KI an sich über Wettbewerbsfähigkeit – denn sie ist längst etabliert. Vielmehr wird die Fähigkeit richtungsweisend, künstliche Intelligenz strukturiert und verantwortungsvoll in das eigene Unternehmen zu integrieren.

Lade den vollständigen Report zu KI im DevSecOps in Deutschland jetzt herunter.

KI-Tools verbessern rapide die Fähigkeit von Entwicklungsteams, Code zu schreiben, und in einigen Fällen berichten Teams von 10-facher Produktivitätssteigerung. Leider verbringen Entwickelnde nur etwa 20 % ihrer Zeit mit dem Schreiben von Code, sodass die damit verbundene Verbesserung der gesamten Innovationsgeschwindigkeit und Lieferung durch KI nur inkrementell ist. Dies wird oft als KI-Paradoxon in der Softwarebereitstellung beschrieben.

Außerdem hat die erhöhte Geschwindigkeit beim Code-Schreiben für viele Teams zu neuen Engpässen geführt, darunter ein größerer Rückstand an Code-Reviews, Sicherheitslücken, Compliance-Prüfungen und nachgelagerten Fehlerbehebungen.

GitLab Duo Agent Platform löst das KI-Paradoxon durch intelligente Orchestrierung und KI-Automatisierung mit Agenten im gesamten Software-Lebenszyklus.

Erfahre mehr in diesem Video und lies unten weiter.

💡 Nimm am 10. Februar an GitLab Transcend teil und erfahre, wie KI mit Agenten die Softwarebereitstellung transformiert. Höre von Kunden und entdecke, wie du deine eigene Modernisierungsreise starten kannst. Jetzt registrieren.

Wir freuen uns außerdem bekannt zu geben, dass GitLab-Kunden mit aktiven GitLab Premium- und Ultimate-Abonnements ohne zusätzliche Kosten $12 bzw. $24 in GitLab Credits pro Nutzer(in) gutgeschrieben bekommen.* Diese Credits werden jeden Monat erneuert und geben Zugang zu allen GitLab Duo Agent Platform Features.

Hier ist eine einfache Erklärung, wie GitLab Credits funktionieren: Ein GitLab Credit ist eine virtuelle Währung für GitLabs nutzungsbasierte Produkte. Die Nutzung der GitLab Duo Agent Platform verbraucht verfügbare Credits, beginnend mit den oben genannten inkludierten Credits. Von dort aus können Kunden entscheiden, sich zu einem gemeinsamen Credit-Pool für ihre gesamte Organisation zu verpflichten oder sie monatlich nach Bedarf zu bezahlen. Für weitere Informationen lies unseren Artikel zur Einführung von GitLab Credits.

Kunden von GitLab Duo Pro oder Duo Enterprise Abonnements können diese Produkte weiterhin nutzen oder jederzeit zu Duo Agent Platform migrieren. Der verbleibende Wert deines Duo Enterprise Vertrags kann jederzeit in GitLab Credits umgewandelt werden. Kontaktiere deine GitLab-Ansprechperson, um mehr zu erfahren.

Hier sind spannende Anwendungsfälle und Funktionen, die du heute ausprobieren kannst:

Eine einheitliche Erfahrung für die Zusammenarbeit von Menschen und Agenten

GitLab Duo Agent Platform führt eine einheitliche Benutzererfahrung ein, die für nahtlose Integration zwischen Menschen und ihren KI-Agenten innerhalb von GitLab entwickelt wurde. Entwicklungsteams können Duo Agentic Chat auf fast jeder Seite nutzen, kontextbezogene Fragen stellen, asynchrone Agenten-Sessions verfolgen und mit Agenten innerhalb vertrauter Workflows wie Issues, Merge Requests und Pipeline-Aktivitäten interagieren – wodurch KI-Aktionen transparent und einfach durch alltägliche Arbeit zu steuern sind.

Agentic Chat: Intelligente, kontextbewusste Unterstützung

GitLab Duo Agentic Chat bringt echtes mehrstufiges Reasoning über die GitLab Web-UI und IDEs, unter Nutzung des vollständigen Lebenszyklus-Kontexts aus Issues, Merge Requests, Pipelines, Sicherheitsfunden und mehr. Aufbauend auf dem zuvor veröffentlichten Duo Chat kann Agentic Chat autonom Aktionen in deinem Namen ausführen und dir helfen, komplexe Fragen umfassender zu beantworten. Es gibt jedem Mitglied des Software-Teams genaue, kontextbewusste Anleitung, die hilft, Onboarding, Code-Qualität und Liefergeschwindigkeit zu verbessern.

GitLab Duo Agentic Chat unterstützt zahlreiche Anwendungsfälle, um die Zusammenarbeit zwischen Entwickelnden und KI zu ermöglichen. Für weitere Details zum Einstieg siehe unseren „Erste Schritte mit GitLab Duo Agent Platform" Leitfaden und schau dir diese wachsende Sammlung vorgeschlagener Prompts an.

• Analysieren In der Web-UI kann Agentic Chat Issues, Epics, Merge Requests erstellen und Zusammenfassungen bereitstellen, wichtige Erkenntnisse hervorheben und umsetzbare Anleitungen basierend auf Echtzeit-Kontext aus dem spezifischen Projekt, Issue, Epic, Merge Request und mehr bieten. Agentic Chat hilft Entwicklungsteams, unbekannten Code, Abhängigkeiten, Architektur und Projektstruktur zu verstehen, in der IDE oder innerhalb eines GitLab-Repos.
• Programmieren Agentic Chat kann Code, Konfigurationen und Infrastructure-as-Code über eine breite Palette von Sprachen und Frameworks generieren. Es kann helfen, Bugs zu beheben, Architektur und Code zu modernisieren, Tests zu generieren und Dokumentation für schnelleres Onboarding zu erstellen. Direkt zur Hand haben Entwickelnde Agentic Chat als Kollaborationspartner in VS Code, JetBrains IDEs, Cursor und Windsurf, mit optionalen Regeln auf Nutzer- und Workspace-Ebene zur Anpassung von Antworten.
• CI/CD Agentic Chat kann dir helfen, bestehende Pipelines besser zu verstehen, zu konfigurieren und Fehler zu beheben oder neue von Grund auf zu erstellen.
• Sichern Agentic Chat kann Schwachstellen erklären, Issues basierend auf Erreichbarkeit priorisieren und Fixes empfehlen, die dir Zeit sparen können.

Agenten: Spezialisten, die bei Bedarf zusammenarbeiten

GitLab Duo Agent Platform ermöglicht es Entwicklungsteams, Aufgaben an spezialisierte Agenten zu delegieren. Die Plattform bietet eine einzigartige Kombination aus grundlegenden, benutzerdefinierten und externen Agenten, die alle nahtlos in die GitLab-Benutzeroberfläche integriert sind, wodurch es einfach wird, den richtigen Agenten für jede Aufgabe zu wählen.

Grundlegende Agenten werden von GitLab-Expert(innen) vorgefertigt und sind sofort einsatzbereit, um die komplexesten Aufgaben im Software-Lieferzyklus zu bewältigen. Die folgenden grundlegenden Agenten sind als Teil der allgemeinen Verfügbarkeit von GitLab Duo Agent Platform enthalten, weitere befinden sich derzeit in der Beta-Phase und kommen bald.

• Planner Agent hilft Teams, Arbeit direkt in GitLab zu strukturieren, zu priorisieren und aufzuteilen, sodass die Planung klarer, schneller und einfacher umzusetzen wird.
• Security Analyst Agent überprüft Schwachstellen und Sicherheitssignale, erklärt ihre Auswirkungen in verständlicher Sprache und hilft Teams zu verstehen, was zuerst angegangen werden sollte.

Benutzerdefinierte Agenten können mit dem AI Catalog erstellt werden, einem zentralen Repository, in dem Teams benutzerdefinierte Agenten und Flows erstellen, veröffentlichen, verwalten und in der gesamten Organisation teilen können. Teams können Agenten und Flows mit spezifischem Kontext und Fähigkeiten erstellen, um die Arbeitsweise ihres Engineering-Teams zu replizieren – und Probleme mit den Engineering-Standards und Leitplanken lösen, die ihre Teams verwenden.

Externe Agenten sind nahtlos in GitLab integriert und umfassen einige der besten verfügbaren KI-Tools, darunter Claude Code von Anthropic und Codex CLI von OpenAI. Nutzer(innen) erhalten nativen GitLab-Zugang zu diesen Tools für Anwendungsfälle wie Code-Generierung, Code-Review und Analyse mit transparenter Sicherheit und eingebetteten LLM-Abonnements.

Zusammen geben diese Ansätze Teams Flexibilität bei der Einführung von KI mit Agenten, von spezialisierten Agenten über organisationsspezifische Automatisierung bis hin zur Integration externer KI-Tools – alles innerhalb einer einzigen, verwalteten Plattform.

Flows: Mehrstufige Arbeit in wiederholbaren, geführten Fortschritt verwandeln

Flows automatisieren komplexe Aufgaben mit mehreren Agenten-Workflows von Anfang bis Ende.

Unser Engineering-Team hat mehrere Flows erstellt, die bei GA enthalten sind, weitere sind unterwegs:

• Developer (Issue to Merge Request) Flow erstellt einen strukturierten MR aus einem gut definierten Issue, sodass Teams sofort mit der Arbeit beginnen können.
• Convert to GitLab CI/CD Flow hilft Teams, Pipeline-Konfigurationen ohne manuelles Umschreiben zu migrieren oder zu modernisieren.
• Fix CI/CD pipeline Flow analysiert Fehler, identifiziert wahrscheinliche Ursachen und bereitet empfohlene Änderungen vor.
• Code Review Flow analysiert Code-Änderungen, Merge Request Kommentare und mehr, um Code-Reviews mit KI-nativer Analyse und Feedback zu optimieren.
• Software development in IDE Flow führt durch alltägliche Entwicklungs- und Review-Phasen.

MCP Client: Verbinde GitLab Duo Agent Platform mit den Tools, die deine Teams bereits nutzen

Der MCP Client ermöglicht GitLab Duo Agent Platform in IDEs, sich sicher mit externen Systemen wie Jira, Slack, Confluence und anderen MCP-kompatiblen Tools zu verbinden, um Kontext einzuholen und Aktionen über deine DevSecOps-Toolchain hinweg auszuführen.

Anstatt dass KI-Unterstützung in einzelnen Tools isoliert ist, ermöglicht der MCP Client GitLab Duo Agent Platform, über die Systeme hinweg zu verstehen und zu arbeiten, in denen Planung, Zusammenarbeit und Ausführung tatsächlich stattfinden. Dies reduziert manuelles Kontextwechseln und ermöglicht vollständigere, durchgängige KI-gestützte Workflows, die widerspiegeln, wie Teams in der Praxis arbeiten.

Bei GA enthalten:

• Verbindung zu externen MCP-kompatiblen Systemen wie Jira, Confluence, Slack, Playwright und Grafana
• Konfiguration auf Workspace- und Nutzerebene
• Kontrollen auf Gruppenebene zur Aktivierung oder Einschränkung der MCP-Nutzung
• Nutzer-Genehmigungsflow für Tool-Zugriff
• Unterstützung über Agentic Chat in den IDE-Erweiterungen

Wir planen, weitere Features zur GitLab MCP Server-Funktion hinzuzufügen, die sich derzeit in der Beta-Phase befindet, und sie in kommenden Releases allgemein verfügbar zu machen.

Wähle das richtige Modell für dein Team und deine Workloads

GitLab Duo Agent Platform basiert auf einem flexiblen Modellauswahl-Framework, das es Teams ermöglicht, die Plattform an ihre Datenschutz-, Sicherheits- und Compliance-Anforderungen anzupassen. GitLab verwendet standardmäßig ein optimales LLM für jede Funktion, aber Administrator(inn)en haben die Möglichkeit, aus unterstützten Modellen wie OpenAI GPT-5 Varianten, Mistral, Meta Llama und Anthropic Claude zu wählen. Dies gibt Teams präzisere Kontrolle und Flexibilität darüber, was für Chat, Programmieraufgaben und Agenten-Interaktionen für jeden spezifischen Anwendungsfall verwendet wird, basierend auf den Standards deiner Organisation. Für eine vollständige Liste unterstützter Modelle und Details zur Modellauswahl-Konfiguration siehe den Abschnitt Model Selection unserer Dokumentation.

Governance, Sichtbarkeit und Deployment-Flexibilität

Die GitLab Duo Agent Platform gibt Organisationen die Kontrolle und Transparenz, die sie benötigen, um KI verantwortungsvoll einzuführen, während sie flexible Deployment-Optionen bietet, die in verschiedenen Umgebungen funktionieren.

Bei GA enthalten:

• Auf allen Plattformen verfügbar: GitLab.com, GitLab Self-Managed und GitLab Dedicated als Teil des GitLab 18.8 Release-Zyklus.
• Governance und Sichtbarkeit: Teams können sehen, wie Agenten genutzt werden, welche Aktionen sie ausführen und wie sie zur Arbeit beitragen. Nutzungs- und Aktivitätsdetails helfen Führungskräften, die Einführung zu verstehen, Auswirkungen zu messen und sicherzustellen, dass KI angemessen genutzt wird. Diese Kontrollen erleichtern die KI-Einführung im großen Maßstab mit Vertrauen.
• Gruppenbasierte Zugriffskontrollen: Administrator(inn)en können Namespace-basierte Regeln definieren, die steuern, welche Nutzer(innen) auf GitLab Duo Agent Platform Features zugreifen können, und unterstützen flexible Einführung von sofortiger organisationsweiter Aktivierung bis zu phasenweisen Rollouts. Mit LDAP- und SAML-Integration können sie Governance im großen Maßstab ohne manuelle Konfiguration ermöglichen.
• Modellauswahl und selbst-gehostete Optionen: LLM-Auswahl ist für alle GA-Features über GitLab.com, Self-Managed und Dedicated verfügbar. Top-Level-Namespace-Besitzer(innen) wählen das Modell, und Untergruppen erben diese Einstellungen automatisch. Für Organisationen, die mehr Kontrolle wünschen, unterstützt die Plattform selbst-gehostete Modelle für GitLab Self-Managed Deployments.

Sieh dir eine Demo von GitLab Duo Agent Platform in Aktion an:

Bleibe auf dem neuesten Stand mit GitLab

Um sicherzustellen, dass du die neuesten Features, Sicherheitsupdates und Leistungsverbesserungen erhältst, empfehlen wir, deine GitLab-Instanz auf dem neuesten Stand zu halten. Die folgenden Ressourcen können dir bei der Planung und Durchführung deines Upgrades helfen:

• Upgrade Path Tool – gib deine aktuelle Version ein und sieh die genauen Upgrade-Schritte für deine Instanz
• Upgrade Documentation – detaillierte Anleitungen für jede unterstützte Version, einschließlich Anforderungen, Schritt-für-Schritt-Anleitungen und Best Practices

Durch regelmäßige Upgrades stellst du sicher, dass dein Team von den neuesten GitLab-Funktionen profitiert und sicher und unterstützt bleibt.

Für Organisationen, die einen wartungsfreien Ansatz wünschen, solltest du GitLabs Managed Maintenance Service in Betracht ziehen. Managed Maintenance kann deinem Team helfen, sich auf Innovation zu konzentrieren, während GitLab-Expert(inn)en deine Self-Managed-Instanz zuverlässig aktualisiert, sicher und bereit halten, in DevSecOps zu führen. Frage deine Account-Manager(in) für weitere Informationen.

* GitLab-Kunden mit aktiven Premium- und Ultimate-Abonnements erhalten automatisch $12 bzw. $24 an inkludierten Credits pro Nutzer(in), die jeden Monat zurückgesetzt werden. Diese Credits sind für begrenzte Zeit verfügbar und können sich ändern (siehe Promo-Bedingungen).

Dieser Blogbeitrag enthält „zukunftsgerichtete Aussagen" im Sinne von Section 27A des Securities Act von 1933 in der geänderten Fassung und Section 21E des Securities Exchange Act von 1934. Obwohl wir glauben, dass die in diesen Aussagen widergespiegelten Erwartungen angemessen sind, unterliegen sie bekannten und unbekannten Risiken, Unsicherheiten, Annahmen und anderen Faktoren, die dazu führen können, dass die tatsächlichen Ergebnisse oder Resultate wesentlich abweichen. Weitere Informationen zu diesen Risiken und anderen Faktoren finden sich unter der Überschrift „Risikofaktoren" in unseren Einreichungen bei der SEC. Wir verpflichten uns nicht, diese Aussagen nach dem Datum dieses Blogbeitrags zu aktualisieren oder zu überarbeiten, es sei denn, dies ist gesetzlich vorgeschrieben.

Hinzu kommt, dass GitLab Duo Agent Platform sich von Duo Pro, Duo Enterprise und anderen KI-Entwicklertools auf dem Markt unterscheidet. Agenten und Agenten-Workflows können von deinem Team aufgerufen werden, wenn sie KI-Unterstützung benötigen, und durch SDLC-Events im Hintergrund ausgelöst werden. Mit Duo Agent Platform ist KI mit Agenten nicht mehr nur an Nutzer-Seats gebunden.

GitLab Credits löst diese Probleme als unsere neue virtuelle Währung für nutzungsbasierte Preise, beginnend mit GitLab Duo Agent Platform. Das bedeutet, dass jedes Mitglied deiner Organisation mit einem GitLab-Konto (Premium oder Ultimate) jetzt KI-Agenten-Fähigkeiten nutzen kann, ohne dass du für einen KI-Seat bezahlst – egal ob von ihnen aufgerufen oder als Hintergrund-Agenten eingerichtet.

Wie GitLab Credits funktionieren

GitLab Credits werden über deine gesamte Organisation gepoolt. Deine GitLab Duo Agent Platform-Nutzung wird von GitLab Credits abgezogen. Das umfasst sowohl synchrone als auch asynchrone Nutzung von Agenten und Agenten-Flows. Dazu gehören:

• Grundlegende Agenten wie Security Analyst, Planner und Data Analyst
• Grundlegende Flows wie Code Review, Developer und Fix CI/CD Pipeline
• Externe Agenten wie Anthropic Claude Code und OpenAI Codex
• Benutzerdefinierte Agenten und Flows, die du in deinem GitLab AI Catalog erstellst und veröffentlichst
• Agentic Chat in der GitLab-UI und in der IDE, die von deinen Entwicklungsteams genutzt wird

Hinweis: Externe Agenten können in 18.8 kostenlos getestet werden und verbrauchen keine GitLab Credits. Wir werden nächsten Monat mit unserem 18.9 Release Preise einführen. Benutzerdefinierte Flows befinden sich derzeit in der Beta-Phase und verbrauchen keine GitLab Credits.

Die Anzahl der abgezogenen Credits basiert auf der Anzahl der Agenten-Anfragen an große Sprachmodelle (weitere Details hier). Wenn weitere LLMs verfügbar werden, werden wir sie für die Nutzung mit GitLab Duo Agent Platform zertifizieren und zu dieser Liste hinzufügen, um Kunden einen transparenten Überblick über deren Verbrauch zu geben.

Die Gesamtzahl der GitLab Credits wird am Ende des Monats basierend auf der tatsächlichen Nutzung berechnet. Dieses Modell gleicht auch automatisch die Nutzung von Power-Usern mit der von leichteren Nutzern aus, wodurch deine Gesamtkosten für KI für jede Person effektiv gesenkt werden (im Vergleich zur Zahlung pro Seat für jede Person).

Der Einfachheit halber hat jeder GitLab Credit einen On-Demand-Listenpreis von $1. Du kannst GitLab Duo Agent Platform ohne Verpflichtungen nutzen und die Nutzung wird monatlich abgerechnet (am Ende jedes Monats). Für Unternehmenskunden, die sich für Jahresverpflichtungen anmelden, bieten wir Mengenrabatte für monatliche Credits.

Als zeitlich begrenzte Aktion* erhalten alle GitLab-Kunden mit aktiven Premium- und Ultimate-Abonnements automatisch $12 bzw. $24 an inkludierten Credits pro Nutzer(in). Diese Credits werden jeden Monat bis zum Ende des Aktionszeitraums erneuert und geben deinem Team kostenlos Zugang zu allen GitLab Duo Agent Platform Features. Wenn du unsere Abrechnungsbedingungen akzeptierst, wird jede Nutzung über diese inkludierten Credits hinaus über zugesagte monatliche Credits oder On-Demand-Credits abgerechnet.

Kostenkontrolle mit GitLab Credits

GitLab Credits dimensionieren: Dein Account-Team hat einen Dimensionierungsrechner als Teil der GA von GitLab Duo Agent Platform, um die Anzahl der GitLab Credits zu schätzen, die du jeden Monat benötigst. Dieser Rechner wurde mit Nutzungsmustern erstellt, die wir während der Beta-Phase beobachtet haben. Zusätzlich kannst du als Bestands- oder Neukunde eine kostenlose Testversion anfordern, um deine geschätzte tatsächliche Nutzung zu bestätigen.

Nutzungssichtbarkeit: Mit dem 18.8 Release hast du detaillierte Nutzungsinformationen über zwei sich ergänzende Dashboards – eines im GitLab Customers Portal für Abrechnungsmanager mit Fokus auf finanzielle Übersicht und eines im Produkt für Administrator(inn)en mit Fokus auf operative Überwachung. Beide bieten Zuordnung der Nutzung, Kostenaufschlüsselung und historische Trends, sodass du immer genau weißt, wie deine Credits verbraucht werden. Wenn du intern eine Querverrechnung praktizierst, kannst du Projekt- und Gruppenebenen-Rollups für Kostenzuordnungen verwenden.

Nutzungskontrollen: Du kannst den Zugriff auf GitLab Duo Agent Platform für bestimmte Teams oder Projekte aktivieren oder deaktivieren und sicherstellen, dass nur genehmigte Nutzung zu deinen Credits gezählt wird. Wir planen auch, kurz nach GA Kontrollen auf Nutzerebene hinzuzufügen, um dir zu helfen zu verwalten, wer GitLab Duo Agent Platform-Fähigkeiten nutzen und Credits verbrauchen kann.

Automatisierte Nutzungsbenachrichtigungen: Wir halten dich proaktiv über deine GitLab Credit-Nutzung per E-Mail-Benachrichtigungen auf dem Laufenden, wenn du 50 %, 80 % und 100 % deiner zugesagten monatlichen Credits erreichst, was dir Zeit gibt, die Nutzung anzupassen, zusätzliche Verpflichtungen zu kaufen oder für On-Demand-Abrechnung zu planen.

Upgrade von Seat-basierten GitLab Duo Pro/Enterprise zu GitLab Credits für Duo Agent Platform

Wenn du GitLab Duo Pro und Duo Enterprise gekauft hast und nutzt, kannst du diese Funktionen als unterstützte Optionen weiterhin verwenden. Du kannst jederzeit auf GitLab Duo Agent Platform upgraden und das tun, was du mit „klassischem" Duo kannst, und auf neue Funktionen wie Agentic Chat, zusätzliche grundlegende Agenten, benutzerdefinierte Agenten und Flows, externe Agenten und mehr zugreifen.

Zum Zeitpunkt des Upgrades übertragen wir deine Investition in Seats für GitLab Duo Pro und Duo Enterprise auf GitLab Credits für Duo Agent Platform. Der verbleibende Dollar-Betrag der Seat-Verpflichtungen wird gegen monatliche GitLab Credits mit volumenbasierten Rabatten getauscht. Die monatlichen GitLab Credits können dann von jedem Teammitglied in deiner Organisation geteilt werden, das du zulässt, nicht nur von den Nutzern, die vorher zugewiesene Duo Seats hatten.

Wettbewerbsvergleich: GitLab Credits vs. Seat-basierte Preise

Erste Schritte

1. Für bestehende Premium/Ultimate-Kunden: Mit GA wird GitLab Duo Agent Platform für Kunden mit aktiven Premium- und Ultimate-Lizenzen verfügbar sein**. GitLab.com SaaS-Kunden erhalten automatisch Zugriff. GitLab Self-Managed-Kunden erhalten Zugriff, wenn sie auf GitLab 18.8 Release upgraden (mit der geplanten allgemeinen Verfügbarkeit von Duo Agent Platform). GitLab Dedicated-Kunden werden während ihres geplanten Wartungsfensters im Februar auf GitLab 18.8 aktualisiert und können Duo Agent Platform ab diesem Zeitpunkt nutzen.
2. GitLab Duo aktivieren: Stelle sicher, dass GitLab Duo Agent Platform in deinen Namespace-Einstellungen aktiviert ist.
3. Mit der Erkundung beginnen: Nutze deine inkludierten monatlichen GitLab Credits, um GitLab Duo Agent Platform-Funktionen auszuprobieren.
4. Über inkludierte Credits hinausgehen: Du kannst dich für GitLab Credits für erweiterte Nutzung über inkludierte Credits hinaus zum On-Demand-Listenpreis anmelden. Für Mengenrabatte mit Verpflichtung kontaktiere uns, um ein Angebot für dein spezifisches Nutzungsniveau zu erhalten.

Besuche unsere GitLab Duo Agent Platform Dokumentation, um mehr über die ersten Schritte zu erfahren.

Hinweise

* Diese inkludierten Aktions-Credits sind für begrenzte Zeit bei GA verfügbar und können nach GitLabs Ermessen geändert werden.

** Ausgenommen sind GitLab Duo mit Amazon Q und GitLab Dedicated für Regierungskunden.

Um mehr über GitLab Duo Agent Platform zu erfahren und alle Möglichkeiten, wie KI-Agenten die Arbeitsweise deines Teams transformieren können, besuche unsere GitLab Duo Agent Platform Seite. Wenn du bestehender GitLab-Kunde bist, wende dich an deinen GitLab Account Manager oder Partner, um eine Live-Demonstration unserer Plattform-Funktionen zu vereinbaren.

GitLab Credits FAQ

1. Was sind GitLab Credits und warum hat GitLab sie eingeführt?

GitLab Credits ist eine neue virtuelle Währung für nutzungsbasierte GitLab-Funktionen, beginnend mit GitLab Duo Agent Platform. GitLab hat dieses Modell eingeführt, weil Seat-basierte Preise Organisationen zwangen, KI-Zugriff innerhalb von Engineering-Teams zu rationieren, und die Nutzung von Duo Agent Platform nicht nur an Seats gebunden ist. Credits werden über deine gesamte Organisation gepoolt, sodass du jedem Teammitglied Zugriff auf KI-Funktionen geben oder Hintergrund-Agenten-Workflows einrichten kannst, ohne individuelle Seat-Käufe im Voraus zu benötigen.

2. Wie funktioniert der Credit-Verbrauch?

Credits werden basierend auf der Anzahl der gestellten Agenten-Anfragen abgezogen, mit unterschiedlichen Raten je nachdem, welches LLM verwendet wird. Zum Beispiel erhältst du zwei Modell-Anfragen pro Credit für Claude-sonnet-4.5 (der Standard für die meisten Features) und 20 Anfragen pro Credit für Modelle wie gpt-5-mini oder claude-3-haiku.

3. Was ist für bestehende Premium- und Ultimate-Kunden enthalten?

Als zeitlich begrenzte Aktion erhalten Kunden mit aktiven Premium- und Ultimate-Abonnements automatisch inkludierte Credits kostenlos zusammen mit der GA-Veröffentlichung von Duo Agent Platform in GitLab 18.8:

• $12 an Credits pro Nutzer/in pro Monat für Premium * $24 an Credits pro Nutzer/in pro Monat für Ultimate

Inkludierte Credits sind auf Pro-Nutzer-Ebene, werden monatlich erneuert und ermöglichen Zugriff auf alle GitLab Duo Agent Platform Features ohne zusätzliche Kosten. Die Nutzung über diese inkludierten Credits hinaus wird separat abgerechnet. Diese inkludierten Aktions-Credits sind für begrenzte Zeit nach GA verfügbar und können nach GitLabs Ermessen geändert werden.

4. Wie kann ich den Credit-Verbrauch kontrollieren und überwachen?

GitLab bietet mehrere Governance-Tools: detaillierte Nutzungs-Dashboards sowohl im Customers Portal als auch im Produkt, die Möglichkeit, den Zugriff für bestimmte Teams oder Projekte zu aktivieren/deaktivieren, kommende Kontrollen auf Nutzerebene und automatisierte E-Mail-Benachrichtigungen bei 50%, 80% und 100% der zugesagten monatlichen Credits. Wir erwarten auch, einen Dimensionierungsrechner anzubieten, um deinen monatlichen Credit-Bedarf zu schätzen.

5. Wie beginne ich mit GitLab Duo Agent Platform?

Sobald GA, ist der Zugriff für bestehende Premium/Ultimate-Kunden automatisch auf GitLab.com SaaS. Self-Managed-Kunden erhalten Zugriff beim Upgrade auf GitLab 18.8 mit der geplanten allgemeinen Verfügbarkeit von Duo Agent Platform. Aktiviere einfach GitLab Duo Agent Platform in deinen Namespace-Einstellungen und beginne mit der Erkundung unter Verwendung deiner inkludierten monatlichen Credits. Für die Nutzung über inkludierte Credits hinaus kannst du dich für On-Demand-Abrechnung anmelden oder GitLab für Mengenrabatte mit jährlichen Verpflichtungen kontaktieren.

Dieser Blogbeitrag enthält „zukunftsgerichtete Aussagen" im Sinne von Section 27A des Securities Act von 1933 in der geänderten Fassung und Section 21E des Securities Exchange Act von 1934. Obwohl wir glauben, dass die in diesen Aussagen widergespiegelten Erwartungen angemessen sind, unterliegen sie bekannten und unbekannten Risiken, Unsicherheiten, Annahmen und anderen Faktoren, die dazu führen können, dass die tatsächlichen Ergebnisse oder Resultate wesentlich abweichen. Weitere Informationen zu diesen Risiken und anderen Faktoren finden sich unter der Überschrift „Risikofaktoren" in unseren Einreichungen bei der SEC. Wir verpflichten uns nicht, diese Aussagen nach dem Datum dieses Blogbeitrags zu aktualisieren oder zu überarbeiten, es sei denn, dies ist gesetzlich vorgeschrieben.

In diesem Artikel:

• Was ist der AI Catalog?
• Agenten und Flows durchsuchen und aktivieren
• Erstellen, Teilen und Sichtbarkeit verwalten
• Versionierung verstehen

🎯 Probiere GitLab Duo Agent Platform noch heute aus!

Einführung in den AI Catalog

Der AI Catalog ist ein zentrales Repository zum Entdecken, Erstellen und Teilen von Agenten und Flows über deine Organisation hinweg. Er fördert Konsistenz, Wiederverwendbarkeit und Zusammenarbeit, indem er Teams ermöglicht, vorgefertigte Lösungen und Best Practices zu nutzen.

Was du tun kannst:

• Entdecken: Durchsuche Agenten und Flows, die von GitLab und der Community erstellt wurden.
• Erstellen: Erstelle und pflege Custom Agents und Flows in einer einzigen Oberfläche.
• Aktivieren: Aktiviere Agenten und Flows auf Top-Level-Group-Ebene und nutze sie dann in deinen Projekten.
• Teilen: Veröffentliche deine Agenten und Flows zur Nutzung durch andere (Public oder Private).
• Duplizieren: Kopiere und passe bestehende Agenten und Flows an.

Zugriff auf den AI Catalog und Arbeiten damit

Navigiere zu Explore → AI Catalog.

Der Catalog bietet derzeit zwei Typen:

• Agents – Custom Agents für On-Demand-, interaktive oder kontextspezifische Aufgaben.
• Flows – Custom Flows für wiederholbare, mehrstufige Automatisierungen, die ein Team von Agenten orchestrieren.

Für detaillierte Informationen siehe die AI Catalog Dokumentation.

Agenten und Flows entdecken

Der AI Catalog macht es einfach, Agenten und Flows zu finden, die zu deinen Anforderungen passen:

Wie du durchsuchst:

1. Navigiere zu Explore → AI Catalog.
2. Wähle entweder den Agents- oder Flows-Tab.
3. Durchsuche die verfügbaren Agenten oder Flows und prüfe Titel, Beschreibung und Sichtbarkeitsstatus.
4. Klicke auf einen beliebigen Agenten oder Flow, um mehr Details zu sehen.

Agenten und Flows aktivieren:

Sobald du einen Agenten oder Flow gefunden hast, den du verwenden möchtest:

1. Klicke auf den Agenten oder Flow, um Details anzuzeigen.
2. Klicke den Enable in group-Button, um den Agenten oder Flow zu deiner Top-Level-Group hinzuzufügen.
3. Aktiviere ihn in deinem Projekt, um ihn zu verwenden.

Erstellen, Teilen und Sichtbarkeit verwalten

Agenten und Flows erstellen

Hier sind Schritt-für-Schritt-Anweisungen zum Erstellen von Agenten und Flows.

Agenten erstellen:

Navigiere zu Explore → AI Catalog → Agents → New agent.

1. Brainstorme und definiere eine spezifische Aufgabe oder Spezialisierung für diesen Agenten, zum Beispiel einen Debugging- und Troubleshooting-Agenten.
2. Füge einen Display-Namen und eine Beschreibung hinzu, damit andere den Zweck identifizieren können und verstehen, warum sie den Agenten verwenden möchten, zum Beispiel troubleshoot-debugger.
3. Spezifiziere Sichtbarkeit und Zugriff. Wähle ein privates Projekt und setze die Sichtbarkeit auf privat, um mit Experimenten zu starten.
4. Definiere das Agentenverhalten, die Fähigkeiten und die Spezialisierung im System Prompt. Für Details zum Erstellen effektiver System Prompts siehe Teil 3: Agenten verstehen.
5. Optional: Wähle und begrenze den Tool-Zugriff für Agenten. Zum Beispiel benötigt ein Debugging-Agent Lesezugriff auf Code, Issues und Merge Requests, aber möglicherweise keinen Schreibzugriff zum Vornehmen von Änderungen.

Flows erstellen:

Navigiere zu Explore → AI Catalog → Flows → New flow.

1. Brainstorme und definiere eine komplexe mehrstufige spezifische Aufgabe, zum Beispiel einen CI/CD-Pipeline-Optimizer-Flow.
2. Füge einen Display-Namen und eine Beschreibung hinzu, damit andere den Zweck identifizieren können und verstehen, warum sie den Flow verwenden möchten, zum Beispiel ci-cd-optimizer.
3. Spezifiziere Sichtbarkeit und Zugriff. Wähle ein privates Projekt und setze die Sichtbarkeit auf privat, um mit Experimenten zu starten.
4. Definiere das Flow-Verhalten und seine Agent-Komponenten, Prompts und Router. Für Details zur Flow-YAML-Struktur siehe Teil 4: Flows verstehen.

Für mehr Details siehe:

• Custom Agents Dokumentation
• Custom Flows Dokumentation

Deine Arbeit teilen und Sichtbarkeit festlegen

Beim Erstellen von Agenten oder Flows kannst du zwischen Private- und Public-Sichtbarkeit wählen, um zu kontrollieren, wer darauf zugreifen und sie verwenden kann.

Private:

• Kann nur von Mitgliedern des verwaltenden Projekts mit mindestens Developer-Rolle oder von Nutzer(innen) mit Owner-Rolle für die Top-Level-Group eingesehen werden.
• Kann nicht in anderen Projekten aktiviert werden.
• Nützlich für teamspezifische oder sensible Workflows.

Public:

• Von jedem auf der Instanz einsehbar.
• Kann in jedem Projekt aktiviert werden, das die Voraussetzungen erfüllt.
• Erscheint im AI Catalog zur Entdeckung.

Best Practices für das Teilen

Wenn du Agenten und Flows im AI Catalog veröffentlichst, folge diesen Richtlinien:

Benennung:

• Verwende klare, beschreibende Namen (z.B. security-code-review, api-documentation-generator).
• Vermeide generische Namen wie agent1 oder my-flow.
• Füge den Zweck in den Namen ein, wenn möglich.

Dokumentation:

• Biete eine klare Beschreibung dessen, was der Agent oder Flow macht.
• Füge Use Cases und Beispiele hinzu.
• Dokumentiere alle Voraussetzungen oder Abhängigkeiten.

Qualität:

• Teste gründlich vor der Veröffentlichung.
• Stelle sicher, dass der Agent oder Flow ein echtes Problem löst.
• Halte ihn wartbar und gut dokumentiert.
• Berücksichtige Edge Cases und Error Handling.

Sichtbarkeitsentscheidungen:

• Starte mit Private, um mit deinem Team zu testen.
• Wechsle zu Public, sobald validiert und dokumentiert.
• Veröffentliche nur, wenn es anderen einen Mehrwert bietet.
• Berücksichtige die Zielgruppe und Use Cases.

Versionierung verstehen

Custom Agents und Flows im AI Catalog pflegen eine Versionshistorie, um Änderungen nachzuverfolgen.

Wie Versionierung funktioniert:

• GitLab erstellt automatisch eine neue Version, wenn du den System Prompt eines Agenten aktualisierst oder die Konfiguration eines Flows änderst.
• Versionen verwenden Semantic Versioning (z.B. 1.0.0, 1.1.0).
• GitLab verwaltet Semantic Versioning automatisch – Updates erhöhen immer die Minor Version.
• Versionen sind unveränderlich, was konsistentes Verhalten sicherstellt.

Versions-Pinning:

Wenn du einen Agenten oder Flow aktivierst:

• In einer Group: GitLab pinnt ihn auf die neueste Version.
• In einem Projekt: GitLab pinnt ihn auf dieselbe Version wie deine Top-Level-Group.

Das bedeutet:

• Deine Projekte verwenden eine feste, stabile Version des Agenten oder Flows.
• Updates im AI Catalog beeinflussen deine Konfiguration nicht automatisch.
• Du musst dich für Updates auf neue Versionen entscheiden – Updates sind niemals automatisch.
• Du behältst volle Kontrolle darüber, wann du neue Versionen übernimmst.

Versionen anzeigen:

• Navigiere zu Automate → Agents oder Automate → Flows.
• Wähle den Agenten oder Flow aus, um seine Version auf der rechten Seite im About-Bereich anzuzeigen.

Auf die neueste Version aktualisieren

Wenn eine neue Version eines Agenten oder Flows im AI Catalog verfügbar ist, kannst du deine Projekte aktualisieren, um sie zu verwenden.

1. Navigiere zu Automate → Agents oder Automate → Flows.
2. Klicke auf den Agenten oder Flow, den du aktualisieren möchtest.
3. Klicke den Update-Button (erscheint, wenn eine neuere Version verfügbar ist).
4. Überprüfe die Änderungen in der neuen Version.
5. Bestätige das Update, um dein Projekt auf die neueste Version zu pinnen.

Was kommt als Nächstes?

Du verstehst jetzt, wie du Agenten und Flows über den AI Catalog entdecken, erstellen und teilen kannst. Als Nächstes lernst du in Teil 6, wie du Agent- und Flow-Aktivität über Sessions überwachst, Event-gesteuerte Trigger einrichtest und deine KI-Workflows verwaltest.

Ressourcen

• AI Catalog Dokumentation
• Custom Agents Dokumentation
• Custom Flows Dokumentation

Nächster: Teil 6: KI-Workflows überwachen, verwalten und automatisieren

Vorheriger: Teil 4: Flows verstehen

In diesem Artikel:

• Einführung in die Anpassung
• Agent-Verhalten anpassen
• Funktionen mit MCP erweitern
• Custom Agents und Flows erstellen

🎯 GitLab Duo Agent Platform heute ausprobieren!

Einführung in die Anpassung

Die GitLab Duo Agent Platform bietet sofort leistungsstarke Funktionen. Durch Anpassung an die spezifischen Team-Anforderungen lässt sich noch größerer Nutzen erzielen. GitLab bietet flexible Anpassungsoptionen auf mehreren Ebenen:

• User-Level: Persönliche Präferenzen über alle Projekte hinweg (Custom Rules, AGENTS.md, MCP-Config)
• Workspace-Level: Projektspezifische Konfigurationen (Custom Rules, AGENTS.md, MCP-Config)
• Project-Level: Custom Agents und Flows, die innerhalb eines spezifischen Projekts erstellt und verwaltet werden

Teil 1: Agent-Verhalten anpassen

Custom Rules

Custom Rules liefern Anweisungen für Agents und Flows und gewährleisten konsistentes Verhalten im Team ohne Wiederholungen – beispielsweise für Entwicklungs-Style-Guides oder Test-Ausführung.

Navigation: IDE-Workspace oder User-Konfigurationsverzeichnis.

Custom Rules auf User-Level

User-Level-Regeln gelten für alle Projekte und Workspaces.

Detaillierte Anweisungen zum Erstellen von User-Level Custom Rules finden sich in der GitLab-Dokumentation. Datei erstellen: ~/.gitlab/duo/chat-rules.md im Home-Verzeichnis. Beispielregeln:

- JSDoc-Kommentare für alle Funktionen inkludieren
- Einfache Anführungszeichen für Strings nutzen
- Bestehenden Code-Style im Repository befolgen
- Prägnante Erklärungen verfassen, ausführliche Beschreibungen vermeiden
- Tests für alle Code-Änderungen vorschlagen
- async/await anstatt Promises verwenden

Custom Rules auf Workspace-Level

Workspace-Regeln gelten nur für ein spezifisches Projekt und überschreiben User-Level-Regeln für dieses Projekt.

Datei erstellen: .gitlab/duo/chat-rules.md im Projekt-Root.

Beispielregeln für ein Vue.js-Projekt:

- Vue 3 Composition API mit `<script setup>` verwenden
- Immer TypeScript-Typen für Props inkludieren
- Scoped Styles mit SCSS nutzen
- Slippers UI Design System befolgen
- Komponenten unter 300 Zeilen halten
- Kebab-Case für Komponentennamen verwenden
- Accessibility-Attribute inkludieren (aria-*, role)

Best Practices für Custom Rules

• Spezifisch sein: „Einfache Anführungszeichen verwenden" ist besser als „Style Guide befolgen".
• Priorisieren: Wichtigste Regeln zuerst auflisten.
• Team-Fokus: Regeln sollten Team-Standards widerspiegeln, nicht persönliche Präferenzen.
• Umsetzbar: Regeln sollten klar genug für KI-Agents sein.
• Wartbar: Regeln aktualisieren, wenn sich Standards ändern.
• Konflikte vermeiden: Nicht dem tatsächlichen Code-Style der Codebase widersprechen.

Tipp: Code Owners nutzen, um zu verwalten, wer Änderungen an .gitlab/duo/chat-rules.md genehmigt.

Ein detailliertes Use-Case-Tutorial für Custom Rules findet sich im Custom Rules in GitLab Duo Agentic Chat Deep-Dive-Blogpost.

AGENTS.md für Agent-Verhalten-Anpassung

AGENTS.md ist eine Industrie-Standard-Datei zur Anpassung von Agent-Verhalten. Sie ermöglicht die Definition, wie sich Agents in Chat-Konversationen, Foundational Flows und Custom Flows verhalten sollen, ohne die Agents selbst zu modifizieren.

Unterschied zu Custom Rules: AGENTS.md wird von allen Agents und Flows (foundational und custom) genutzt. Die Datei folgt einem Industrie-Standard, den auch andere KI-Tools verwenden können – beispielsweise Claude Code als External Agent. AGENTS.md nutzen, wenn Anweisungen über mehrere Kontexte hinweg gelten sollen.

User-Level (gilt für alle Projekte und Workspaces):

• macOS/Linux: ~/.gitlab/duo/AGENTS.md
• Windows: %APPDATA%\GitLab\duo\AGENTS.md

Workspace-Level (gilt für ein spezifisches Projekt):

• AGENTS.md im Projekt-Root erstellen.

Subdirectory-Level (gilt für spezifische Verzeichnisse in Monorepos):

• AGENTS.md in Subdirectories für kontextspezifische Anweisungen erstellen.

Funktionsweise:

• User-Level AGENTS.md gilt global über alle Projekte hinweg.
• Workspace-Level AGENTS.md gilt für ein spezifisches Projekt.
• Subdirectory-Level AGENTS.md-Dateien liefern Kontext für spezifische Codebase-Teile.
• Agents und Flows kombinieren Anweisungen von allen anwendbaren Ebenen.
• Neu hinzugefügte oder aktualisierte AGENTS.md-Anweisungen erfordern das Auslösen neuer Flows oder das Starten eines neuen Chats mit einem (Custom) Agent.

Was AGENTS.md steuert

• Agent-Persönlichkeit und Ton
• Projektspezifische Anweisungen
• Coding-Standards und Konventionen
• Tool-Nutzungspräferenzen
• Output-Formatierungsanforderungen
• Repository-Struktur und Organisation

AGENTS.md-Beispiel

# Agent-Anpassung für unser Projekt
## Allgemeine Richtlinien
- Code-Qualität immer über Geschwindigkeit priorisieren
- Architektur-Patterns des Projekts befolgen
- Bestehende Code-Beispiele bei Änderungsvorschlägen referenzieren
- Bei mehrdeutigen Anforderungen um Klärung bitten
## Code-Style
- TypeScript für neuen Code verwenden
- ESLint-Konfiguration im Projekt befolgen
- Unit-Tests für alle neuen Funktionen inkludieren
- Beschreibende Variablennamen nutzen (keine Einzelbuchstaben außer Schleifen)
## Dokumentation
- JSDoc-Kommentare zu allen öffentlichen Funktionen hinzufügen
- README.md bei neuen Features aktualisieren
- Beispiele in Code-Kommentaren inkludieren
## Sicherheit
- Nie Secrets oder API-Keys hartcodiert vorschlagen
- User-Input immer validieren
- Parametrisierte Queries für Datenbankoperationen verwenden
- Potenzielle Sicherheitsprobleme sofort kennzeichnen

Best Practices für AGENTS.md

• Spezifisch sein: Konkrete Beispiele aus dem Projekt inkludieren.
• Prägnant halten: Fokus auf das Projektspezifische.
• Versionskontrolle: Im Repository committen und Änderungen nachverfolgen.
• Team-Alignment: Mit dem Team diskutieren, bevor finalisiert wird.
• Regelmäßig aktualisieren: Bei Projekt-Evolution verfeinern.
• Repository-Struktur dokumentieren: Agents helfen, die Codebase-Organisation zu verstehen.

Anforderungen

• GitLab 18.8 oder höher
• Für VS Code: GitLab Workflow Extension 6.60 oder höher
• Für JetBrains: GitLab Plugin 3.26.0 oder höher
• Für Flows: Flow-Konfiguration aktualisieren, um auf user_rule-Kontext zuzugreifen

Mehr über AGENTS.md erfahren.

Custom Review Instructions

Custom Review Instructions liefern spezifische Richtlinien für den Code Review Foundational Flow. Die Instructions gewährleisten konsistente Code-Review-Standards und lassen sich auf spezifische Dateitypen im Projekt anpassen.

Datei erstellen: .gitlab/duo/mr-review-instructions.yaml im Projekt-Root.

Beispiel Review Instructions:

instructions:
  - name: Ruby Style Guide
    fileFilters:
      - "*.rb"           # Ruby-Dateien im Root-Verzeichnis
      - "lib/**/*.rb"    # Ruby-Dateien in lib und Subdirectories
      - "!spec/**/*.rb"  # Test-Dateien ausschließen
    instructions: |
      1. Alle Methoden mit ordnungsgemäßer Dokumentation sicherstellen
      2. Ruby-Style-Guide-Konventionen befolgen
      3. Symbols gegenüber Strings für Hash-Keys bevorzugen

  - name: TypeScript Source Files
    fileFilters:
      - "**/*.ts"        # TypeScript-Dateien in beliebigem Verzeichnis
      - "!**/*.test.ts"  # Test-Dateien ausschließen
    instructions: |
      1. Ordnungsgemäße TypeScript-Typen sicherstellen ('any' vermeiden)
      2. Namenskonventionen befolgen
      3. Komplexe Funktionen dokumentieren

Best Practices für Custom Review Instructions:

• Spezifisch und umsetzbar: Klare, nummerierte Anweisungen funktionieren am besten.
• Glob-Patterns nutzen: Spezifische Dateitypen mit fileFilters gezielt ansprechen.
• Auf wichtige Standards fokussieren: Kritischste Review-Punkte priorisieren.
• Das „Warum" erklären: Reviewern helfen, die Begründung zu verstehen.
• Patterns testen: Sicherstellen, dass Glob-Patterns die beabsichtigten Dateien matchen.

Tipp: Code Owners nutzen, um Änderungen an .gitlab/duo/mr-review-instructions.yaml zu schützen.

Detaillierte Setup-Anleitungen und Beispiele finden sich in der Custom Review Instructions-Dokumentation.

Teil 2: Funktionen mit MCP erweitern

Model Context Protocol (MCP) ermöglicht Agents den Zugriff auf externe Systeme wie Jira, Slack, AWS und mehr. Dieser Abschnitt behandelt MCP-Konfiguration zur Erweiterung von Agent-Funktionen.

🎯 Jetzt ausprobieren: Interaktive MCP-Demo – Model Context Protocol erkunden.

MCP-Konfiguration für externe Integrationen

Model Context Protocol (MCP) ermöglicht Agents den Zugriff auf externe Systeme wie Jira, Slack, AWS und mehr.

Scope: User-Level (gilt für alle Workspaces) oder Workspace-Level (projektspezifisch, überschreibt User-Config)

User-Konfiguration erstellen:

• macOS/Linux: ~/.gitlab/duo/mcp.json
• Windows: C:\Users\<username>\AppData\Roaming\GitLab\duo\mcp.json
• VS Code: Command ausführen: GitLab MCP: Open User Settings (JSON)

Workspace-Konfiguration erstellen:

• Datei erstellen: .gitlab/duo/mcp.json im Projekt-Root

Best Practices:

• Security First: MCP-Server verwenden, die OAuth erfordern, nicht Plaintext-Password-Tokens.
• Minimaler Scope: Nur MCP-Server aktivieren, die tatsächlich genutzt und denen vertraut wird.
• Lokal testen: MCP-Verbindungen und Autorisierung verifizieren, bevor Team-übergreifend geteilt wird.
• Integrationen dokumentieren: Erklären, was jeder MCP-Server bereitstellt.
• Versionskontrolle: Konfiguration in .gitlab/duo/mcp.json mit Code-Owners-Approval speichern.

Detaillierte Setup-Anleitungen und Konfigurationsbeispiele finden sich in Teil 7: Model Context Protocol (MCP) Integration.

Teil 3: Custom Agents und Flows erstellen

Custom Agents und Flows ermöglichen die Automatisierung teamspezifischer Workflows. Bevor in die Anpassung eingestiegen wird, ist es hilfreich zu verstehen, was sie sind und wie sie funktionieren. Diese Teile des GitLab Duo Agent Platform-Leitfadens helfen dabei:

• Teil 3: Agents verstehen — Foundational, Custom und External Agents kennenlernen und wann welcher Typ genutzt wird.
• Teil 4: Flows verstehen — Erfahren, wie Flows mehrere Agents orchestrieren, um komplexe Probleme zu lösen.
• Teil 5: AI Catalog — Lernen, wie Agents und Flows organisations-übergreifend entdeckt, erstellt und geteilt werden. Sobald die Grundlagen verstanden sind, liefert dieser Abschnitt einen Überblick über Anpassungsoptionen mit Links zu detaillierten Leitfäden.

System-Prompts für Custom Agents

System-Prompts definieren Persönlichkeit, Expertise und Verhalten eines Agents. Ein gut gestalteter Prompt macht Agents effektiver und auf Team-Anforderungen ausgerichtet.

Was sind System-Prompts? System-Prompts sind Anweisungen, die einem Agent mitteilen, wie er sich verhalten, welche Expertise er hat und wie er auf Requests reagieren soll. Sie sind die Grundlage für Custom Agent-Verhalten.

Schlüsselelemente eines starken System-Prompts:

• Rollendefinition: Was der Agent ist und was er tut
• Expertise-Bereiche: Spezifische Domänen oder Technologien
• Verhaltensrichtlinien: Wie er interagieren und reagieren soll
• Output-Format: Struktur der Antworten
• Einschränkungen: Was er vermeiden soll

Best Practices:

• Detailliert sein: Spezifischere Prompts erzeugen bessere Ergebnisse.
• Beispiele nutzen: Dem Agent zeigen, wie guter Output aussieht.
• Scope definieren: Klar aussprechen, was der Agent tun und nicht tun soll.
• Iterativ testen: Prompts basierend auf Agent-Verhalten verfeinern.
• Versionskontrolle: Prompt-Änderungen im Repository nachverfolgen.

Detaillierte Anleitungen zum Erstellen von System-Prompts und Custom Agents finden sich in Teil 3: Agents verstehen.

Custom Agents und Flows

Es gibt viel zu lernen, und für einfacheres Lesen sind die Tutorials aufgeteilt:

Custom Agents:

• Lernen, wie Agents mit Custom System-Prompts erstellt, Tools konfiguriert und Berechtigungen verwaltet werden.
• Siehe Teil 3: Agents verstehen – Custom Agents-Abschnitt.

Custom Flows:

• Lernen, wie mehrstufige Workflows erstellt, Komponenten konfiguriert und eventgesteuerte Automatisierung eingerichtet wird.
• Siehe Teil 4: Flows verstehen – Custom Flows-Abschnitt.

Agent-Tools:

• Tools bestimmen, welche Aktionen Agents durchführen können. Tools basierend auf Agent-Zweck und Sicherheitsanforderungen konfigurieren.
• Siehe Teil 3: Agents verstehen für Tool-Konfigurationsdetails.

Schnellreferenz: Wann welche Anpassung nutzen

Was als Nächstes kommt

Herzlichen Glückwunsch! Die gesamte GitLab Duo Agent Platform-Serie ist abgeschlossen. Du verstehst jetzt:

• Wie Agents und Flows über den gesamten SDLC hinweg genutzt werden, angepasst an Use Cases
• Wie Lösungen im AI Catalog entdeckt und geteilt werden
• Wie KI-Workflows überwacht und verwaltet werden
• Wie Funktionen mit MCP-Integrationen erweitert werden
• Wie jeder Aspekt der GitLab Duo Agent Platform für das Team angepasst wird

Zur vollständigen Serienübersicht zurückkehren, um alle Teile zu überprüfen und spezifische Themen vertieft zu erkunden.

Ressourcen

• Custom Rules-Dokumentation
• AGENTS.md-Dokumentation
• Custom Review Instructions-Dokumentation
• Custom Agents-Dokumentation
• Custom Flows-Dokumentation
• MCP Clients-Dokumentation

Vorheriger Teil: Teil 7: Model Context Protocol-Integration

Zurück zum Start: Komplette Serienübersicht

In diesem Artikel:

• Was ist GitLab Duo Agentic Chat?
• GitLab Duo Agentic Chat aufrufen
• Model-Auswahl
• Agent-Auswahl
• Häufige Use Cases
• Troubleshooting

Was ist GitLab Duo Agentic Chat?

GitLab Duo Agentic Chat ist die primäre Schnittstelle zur Interaktion mit KI-Agents über den Development Workflow hinweg. Anders als einfache Q&A-Chatbots, die nur Fragen beantworten, ist es ein autonomer KI-Kollaborationspartner, der in deinem Namen Aktionen durchführen kann: Code erstellen und modifizieren, Merge Requests öffnen, Issues/Epics triagen und aktualisieren sowie Workflows mit vollem SDLC-Plattformkontext ausführen. Dabei bleibt man bei jedem Schritt informiert.

🎯 GitLab Duo Agent Platform heute ausprobieren!

Schlüsselfunktionen:

• Code-Operationen: Dateien erstellen, Code editieren und Merge Requests öffnen.
• Projekt-Insights: Issues, Epics, Merge Requests, Git Commits, CI/CD-Pipelines, Analytics (GLQL) und Security Scans abfragen.
• Umsetzbare Aufgaben: Issues und Epics triagen, aktualisieren oder erstellen, Vulnerabilities beheben, Dokumentation und Tests generieren, fehlerhafte CI/CD-Pipelines fixen.
• Kontext-Awareness: Konversationshistorie merken, Projekt-Architektur verstehen sowie Codebase, Wiki und GitLab Docs durchsuchen.
• Erweiterbarkeit: Mit externen Services über Model Context Protocol (MCP) integrieren.
• Multi-Agent-Support: Spezialisierte Agents für unterschiedliche Aufgaben nutzen.

🎯 Jetzt ausprobieren: Interaktive Demo von GitLab Duo Agentic Chat — Chat-Interface und Features erkunden.

GitLab Duo Agentic Chat aufrufen

Web-UI-Panel-Features

• Collapsed: Icon oben rechts sichtbar
• Panel open: Sidebar schiebt sich aus (~400px Breite)
• Maximized: Expandiert für detaillierte Antworten

Model-Auswahl

Large Language Models (LLMs) zeichnen sich bei unterschiedlichen Aufgaben und Wissensanforderungen aus. Bei Bedarf das richtige Model für die Anforderungen wählen.

Konfigurationsebenen

• Group-Level: Vom Group Owner festgelegt, gilt für alle User
• User-Level: Individuelle Kontrolle, wenn Group es erlaubt

Agent-Auswahl

Agents sind spezialisierte KI-Kollaborationspartner für spezifische Aufgaben. Zwischen ihnen wechseln basierend auf den Anforderungen:

Agent-Auswahl

Agents wechseln

1. GitLab Duo Agentic Chat öffnen.
2. IDE: Agent-Dropdown klicken (unter Model Selector).
3. Web UI: Neuen Chat erstellen.
4. Benötigten Agent auswählen.

Häufige Use Cases

Issue Management und Triage

Für Issue-Management- und Planungs-Workflows den Planner Agent nutzen – einen spezialisierten Agent für Produktmanagement-Aufgaben.

Beispiel-Prompts:

• "List all open issues labeled 'bug' and 'high-priority' created in the last 30 days."
• "Create an issue for implementing user authentication with OAuth2, include acceptance criteria and technical requirements."
• "Analyze Issue #456 and suggest related issues that might have the same root cause."
• "Break down Epic #123 into smaller tasks with estimated complexity."

Vulnerability-Analyse und Remediation

Für Security-Workflows den Security Analyst Agent nutzen – einen spezialisierten Agent für Vulnerability Management und Remediation.

Beispiel-Prompts:

• "Show me all critical vulnerabilities in the latest pipeline scan."
• "Triage all vulnerabilities from the latest security scan and identify which are false positives."
• "Explain vulnerability #789 in simple terms and show me where it's located in the code."
• "What's the recommended fix for the SQL injection vulnerability in the user search endpoint?"
• "Create an MR to fix the XSS vulnerability found in src/components/UserProfile.vue."

Code-Verständnis und Dokumentation

Antworten zur Codebase erhalten, ohne Dateien manuell durchsuchen zu müssen – mit dem GitLab Duo Agent.

Beispiel-Prompts:

• "How does the authentication flow work in this application?"
• "Find all places where the sendEmail function is called."
• "Explain what the calculateDiscount method does in src/pricing/calculator.ts."
• "Generate documentation for the API endpoints in src/api/routes/."
• "What design patterns are used in the src/services/ directory?"

Onboarding in ein neues Projekt

Schnell in einem neuen Projekt auf den neuesten Stand kommen durch Verstehen von Architektur, Setup und Dependencies – mit dem GitLab Duo Agent.

Beispiel-Prompts:

• "Give me an overview of this project's architecture and main components."
• "Where is the database schema defined?"
• "How do I set up my local development environment?"
• "What are the main dependencies and what do they do?"

Debugging und Pipeline-Troubleshooting

Probleme in Code und CI/CD-Pipelines schnell identifizieren und lösen mit KI-gestützter Analyse – mittels GitLab Duo Agent.

Beispiel-Prompts:

• "Why is the CI/CD pipeline failing on the test stage?"
• "Analyze the error logs from Job #12345 and suggest fixes."
• "Why did Pipeline #9876 fail? Show me the error logs from the failed deployment job."
• "The application crashes when processing large files. Help me debug this."
• "Review the recent commits that might have caused the performance regression."
• "How can I optimize the build time for this pipeline?"
• "Create a new CI/CD job to run security scans on every MR."

Code Review und Quality Improvement

KI-Assistenz bei Code Reviews erhalten, um Probleme zu erkennen und Code-Qualität zu verbessern – mit einem Custom Agent, der auf Team-Coding-Standards und Best Practices trainiert ist.

Beispiel-Prompts:

• "Review MR !234 for potential bugs and security issues."
• "Suggest performance optimizations for the database queries in this MR."
• "Check if MR !456 follows our coding standards and best practices."
• "Identify any accessibility issues in the new UI components."

Feature-Implementation

Entwicklung beschleunigen durch Generieren von Code, Tests und Dokumentation – mit dem GitLab Duo Agent.

Beispiel-Prompts:

• "Create a REST API endpoint for user registration with validation."
• "Generate unit tests for the OrderService class with 80% coverage."
• "Implement pagination for the product listing page."
• "Add error handling and logging to the file upload functionality."

Refactoring und Code-Improvement

Bestehenden Code modernisieren und verbessern mit KI-Anleitung – mittels GitLab Duo Agent.

Beispiel-Prompts:

• "Refactor the UserController to follow SOLID principles."
• "Convert this JavaScript file to TypeScript with proper type definitions."
• "Suggest improvements to make this function more testable."
• "Identify code duplication in the src/utils/ directory and suggest how to consolidate it."
• "Modernize the project from Java 8 to 21. Follow the guidance in Epic 188."
• "Create a migration plan for modernizing the COBOL mainframe code, and evaluate Java/Python."

Troubleshooting

Weitere Troubleshooting-Tipps finden sich in der Dokumentation.

Was als Nächstes kommt

GitLab Duo Agentic Chat wird in IDEs und der GitLab UI unterstützt. Künftige Releases bringen Terminal-Support mit GitLab Duo CLI, aktuell in Entwicklung. Das Product Epic für weitere Einblicke verfolgen. Nachdem du GitLab Duo Agentic Chat kennengelernt hast, erkunde die verschiedenen Agent-Typen und wie Custom Agents erstellt werden – in Teil 3: Agents verstehen. Foundational Agents erkunden, Custom Agents für das Team erstellen und External Agents wie Claude Code und OpenAI Codex integrieren.

Ressourcen

• GitLab Duo Agentic Chat-Dokumentation
• GitLab Duo Agent Platform-Dokumentation

Nächster Teil: Teil 3: Agents verstehen

Vorheriger Teil: Teil 1: Einführung in GitLab Duo Agent Platform

Routineaufgaben – von Code-Refactoring und Security-Scans bis hin zu Recherchen – lassen sich an spezialisierte KI-Agenten delegieren, sodass sich das Entwicklungsteam auf die Lösung komplexer Probleme und Innovation konzentrieren kann.

Die Plattform nutzt GitLabs Rolle als zentrale DevSecOps-Plattform (umfasst Code-Management, CI/CD-Pipelines, Issue-Tracking, Testergebnisse, Security-Scans und mehr), um diesen Agenten vollständigen Projektkontext bereitzustellen. So können sie einen sinnvollen Beitrag leisten und gleichzeitig die Standards und Praktiken deines Teams einhalten.

Dieser umfassende achtteilige Leitfaden führt dich von deiner ersten Interaktion bis zu produktionsreifen Automatisierungs-Workflows mit vollständiger Anpassung.

💡 Nimm am 10. Februar an GitLab Transcend teil und erfahre, wie Agentic AI die Software-Bereitstellung transformiert. Höre von Kunden und entdecke, wie du deine eigene Modernisierungsreise starten kannst. Jetzt registrieren.

Entwicklung von GitLab Duo Pro/Enterprise zur Duo Agent Platform

GitLab Duo Agent Platform ist eine Weiterentwicklung, kein Ersatz für Duo Pro und Enterprise. Es ist ein Superset, das von 1:1-Entwickler-KI-Interaktionen zu Viele-zu-Viele-Team-Agent-Zusammenarbeit übergeht.

• Duo Pro hat die individuelle Produktivität von Entwickler(innen) in der IDE mit KI-gestützten Code-Vorschlägen und Chat verbessert.
• Duo Enterprise ging über das Coding hinaus und lieferte umfassende KI-Fähigkeiten über den gesamten Lebenszyklus der Software-Entwicklung. Aber es war immer noch hauptsächlich ein Ansatz, der 1:1-Interaktion zwischen Nutzer(in) und KI-Assistent ermöglichte – meist eine Q&A-Erfahrung mit jeweils einem Use Case.
• Duo Agent Platform bewegt sich von 1:1-Interaktionen zu Viele-zu-Viele-Team-Agent-Zusammenarbeit, bei der spezialisierte Agenten autonom Routineaufgaben über den Software-Lifecycle hinweg übernehmen.

Die vollständige Serie

Referenz zu Schlüsselkonzepten

Kernkomponenten

Wichtige Terminologie

Bereit loszulegen?

Beginne deine Reise mit Teil 1: Einführung in GitLab Duo Agent Platform, um die Plattform-Grundlagen zu lernen.

Feedback

Du hast einen Fehler gefunden oder einen Vorschlag zum Thema? Wir würden gerne von dir hören!

• Issue öffnen
• Beitragen
• Diskutieren

GitLab Duo Agent Platform stellt einen fundamentalen Wandel dar, wie Entwickler(innen) während des Software Development Lifecycle mit KI interagieren. Die Plattform geht über Code hinaus in den vollen SDLC-Kontext und ermöglicht mehreren spezialisierten KI-Agents, neben dem Team zu arbeiten – komplexe Aufgaben asynchron zu handhaben, während der Fokus auf Innovation und Problemlösung liegt.

GitLab Duo Agent Platform transformiert traditionelle lineare Entwicklungsworkflows in dynamische Multi-Agent-Kollaborationssysteme.

Was ist GitLab Duo Agent Platform?

Die GitLab Duo Agent Platform ist eine KI-Orchestrierungsschicht, die Folgendes ermöglicht:

• Asynchrone Kollaboration zwischen Entwickler(inne)n und spezialisierten KI-Agents
• Vollen SDLC-Kontext über Code, Issues, Epics, Merge Requests, CI/CD-Pipelines, Wikis, Analytics und Security Scans hinweg
• Multi-Agent-Flows, bei denen viele Agents parallel an komplexen Aufgaben kollaborieren
• Intelligente Automatisierung, die Standards, Praktiken und Compliance-Anforderungen der Organisation versteht

Betrachte es als Hinzufügen von KI-Team-Mitgliedern, die ganze Workflows übernehmen können – von Requirements-Verstehen bis zum Erstellen von Merge Requests – bei voller Sichtbarkeit und Kontrolle.

🎯 GitLab Duo Agent Platform heute ausprobieren!

Plattform-Architektur

GitLab Duo Agent Platform besteht aus mehreren vernetzten Komponenten, die zusammenarbeiten, um umfassende KI-Assistenz bereitzustellen. Das Diagramm unten zeigt die Nutzer-Interaktionsmethoden mit GitLab Duo Agent Platform. Es illustriert die vier Wege, wie Nutzer(innen) mit Agents interagieren können:

Wie Teams mit GitLab Duo Agent Platform interagieren

Vier Wege, Agents zu nutzen

1. GitLab Duo Agentic Chat – Chat-Panel in GitLab UI oder IDE öffnen für interaktive Konversationen mit Foundational und Custom Agents. Aus verfügbaren KI-Models wählen und Echtzeit-Hilfe erhalten.
2. Custom Flows auslösen – Flows in Issue- oder Merge-Request-Kommentaren erwähnen oder Reviewer zuweisen, um Custom Flows automatisch auszulösen. Diese laufen asynchron via Runner-Execution.
3. Foundational Flows auslösen – Von GitLab erstellt und gepflegt, einschließlich Developer, Code Review, Fix CI/CD Pipeline, Convert Jenkins to GitLab CI/CD und Software Development Flow.
4. External Agents auslösen – External AI Agents (wie Claude Code oder OpenAI Codex) in Issue- oder Merge-Request-Kommentaren zuweisen oder erwähnen, um sie automatisch auszulösen. Diese laufen asynchron via Runner-Execution.

Wo verwalten und entdecken

• AI Catalog – Agents und Flows organisations-übergreifend durchsuchen, erstellen und teilen. Von GitLab und dem Team erstellte Agents und Flows entdecken, dann zu Projekten hinzufügen. Eigene Custom Agents und Flows für andere erstellen und veröffentlichen.
• Automate Capabilities – Zentrale Anlaufstelle zur Verwaltung von allem. Agents anzeigen und verwalten, Flows konfigurieren und überwachen, alle Aktivität in Sessions reviewen (einschließlich Pipeline-Status) und Trigger für eventbasierte Automatisierung einrichten.

Jede Komponente kurz erkunden (in nachfolgenden Posts tiefer eintauchen):

GitLab Duo Agentic Chat

Primäre Schnittstelle zur Interaktion mit Agents. Verfügbar als persistentes Panel in GitLab UI und in der IDE. Mehr in Teil 2: GitLab Duo Agentic Chat – Erste Schritte](/de-de/blog/getting-started-with-gitlab-duo-agentic-chat/).

Agents

Agents sind spezialisierte KI-gestützte Assistenten zum Handhaben spezifischer Aufgaben über den Development Workflow hinweg. Als Team-Mitglieder mit einzigartiger Expertise und Capabilities betrachten.

Über External Agents

External Agents laufen im Hintergrund auf GitLab Platform Compute, wenn durch Mentions (z. B. @ai-codex) oder Assignments in Issues und Merge Requests ausgelöst. Anders als Foundational und Custom Agents, die synchrone Feedback-Loops nutzen, führen External Agents asynchron aus und ermöglichen leistungsstarke Automatisierung mit spezialisierten KI-Providern.

Was Agents leistungsstark macht

• Spezialisierte Prompts: Jeder Agent hat einen einzigartigen System-Prompt, der Expertise, Verhalten und Kommunikationsstil definiert.
• Zugriff auf Tools: Agents können Dateien lesen, auf Issues/MRs/Epics zugreifen, Code durchsuchen, CI/CD-Job-Logs und Vulnerability-Reports analysieren und mehr – basierend auf ihrer Konfiguration.
• Projekt-Kontext: Zugriff auf Issues, Merge Requests, Code, CI/CD-Pipelines und Security Vulnerabilities.

Mehr in Teil 3: Agents verstehen. Erfahren, wie Custom Agents erstellt, externe KI-Provider integriert und Agent-Prompts sowie -Tools für teamspezifische Anforderungen konfiguriert werden.

Flows

Flows sind mehrstufige Workflows, die mehrere Aktionen kombinieren, um komplexe Probleme zu lösen. Anders als Agents, die auf Fragen reagieren, führen Flows komplette Workflows autonom via Runner-Execution aus.

Was Flows leistungsstark macht

• Mehrstufige Execution: Mehrere Operationen in einem einzigen Workflow kombinieren
• Asynchrones Processing: Im Hintergrund laufen, während weitergearbeitet wird
• Voller Pipeline-Zugriff: Via Runner-Execution mit komplettem Projekt-Kontext ausführen
• Eventgesteuert: Automatisch durch GitLab-Events ausgelöst

Mehr in Teil 4: Flows verstehen, einschließlich Multi-Agent-Workflows.

Agents vs. Flows: Was ist der Unterschied?

Verstehen, wann ein Agent vs. ein Flow genutzt wird, ist entscheidend für effektive Arbeit mit GitLab Duo Agent Platform.

Schnelle Entscheidungshilfe

• Interaktiv arbeiten oder sofortiges Feedback gewünscht? → Chat nutzen
• Hintergrund-Automatisierung, MR-Review oder komplexe Multi-File-Aufgaben benötigt? → Flow nutzen

Wichtige Erkenntnis

Sowohl Agents als auch Flows können Aktionen durchführen und Code erstellen. Der Hauptunterschied liegt in der Interaktion und Ausführung: Agents kommunizieren interaktiv im Chat-Interface, während Flows asynchron im Hintergrund auf Platform Compute laufen.

AI Catalog

Eine zentralisierte Bibliothek zum Durchsuchen, Entdecken, Erstellen und Teilen von Agents und Flows über die Organisation hinweg – detailliert in Teil 5: AI Catalog.

Automate Capabilities

Zentrale Anlaufstelle zur Verwaltung von Agent- und Flow-Workflows:

• Agents: Agents im Projekt anzeigen und verwalten, detailliert in Teil 3.
• Flows: Flows im Projekt anzeigen, erstellen und verwalten, detailliert in Teil 4.
• Sessions: Agent-Activity-Logs
• Triggers: Eventbasiertes Automatisierungsmanagement für Flows im Projekt

Sessions verstehen

Jede Agent- und Flow-Execution erstellt eine Session, die agentische Aktivitäten loggt. Sessions bieten volle Transparenz darüber, was passiert ist – einschließlich Agent-Reasoning, Execution-Details, Tool Calling, Outputs und dem kompletten Decision Trail.

Sessions anzeigen: Navigation zum Projekt > Automate > Sessions. Von dort aus lässt sich auf die Pipeline-Console zugreifen, um detaillierte Execution-Logs einzusehen.

Model-Auswahl

Eine der leistungsstarken Funktionen von GitLab Duo Agent Platform ist die Möglichkeit zu wählen, welches KI-Model die Konversation antreibt.

Verfügbar in: GitLab 18.4 und höher

Auswählen:

1. GitLab Duo Agentic Chat öffnen.
2. Nach Model-Dropdown suchen.
3. Klicken, um verfügbare Models anzuzeigen.
4. Model auswählen, das am besten zur Aufgabe passt.

Hinweis: Model-Auswahl ist aktuell nur in Web UI verfügbar. IDE-Integration nutzt das Default-Model, das für die Group ausgewählt wurde.

Erste Agent-Interaktion

Eine einfache erste Interaktion mit GitLab Duo Agentic Chat durchgehen:

Beispiel 1: Projekt verstehen (Agent)

Szenario: Du bist gerade einem Projekt beigetreten und musst dessen Struktur und Architektur verstehen.

Schritte:

1. GitLab Duo Chat Panel öffnen (Duo-Icon oben rechts klicken).
2. Sicherstellen, dass Agentic Mode (Beta) eingeschaltet ist.
3. Duo Agent auswählen (Default).
4. Eingeben: „Give me an overview of this project's architecture."
5. Enter drücken.

Was passiert:

Der Agent:

• Analysiert Repository-Struktur
• Reviewt README, Code-Organisation und Dokumentation
• Liefert umfassende Übersicht mit Schlüsselkomponenten

Follow-up-Fragen zur Klärung stellen.

Beispiel 2: Merge Request generieren (Flow)

Szenario: Ein Issue muss mit Code-Änderungen gelöst werden.

Schritte:

1. Issue in GitLab öffnen.
2. Generate MR with Duo-Button klicken.
3. Eine Agent-Session startet.
4. Innerhalb weniger Minuten wird ein MR erstellt mit:
   • Code-Änderungen über mehrere Dateien hinweg
   • Beschreibender Commit-Message
   • Erklärung der Änderungen in MR-Description

Was passiert:

Der Developer Flow:

• Analysiert das Issue
• Versteht Repository-Struktur, Design-Patterns und SDLC-Kontext
• Führt angemessene Code-Änderungen durch
• Öffnet einen review-bereiten MR


Häufige Fragen

Frage: Sind meine Konversationen mit Agents privat?

Antwort: Ja. Konversationen folgen GitLabs Standard-Privacy- und Security-Models. Mehr erfahren.

Frage: Kann ich GitLab Duo Agent Platform mit self-hosted Models nutzen?

Antwort: Ja, ab GitLab 18.8 – erfordert zusätzliches Setup. Siehe GitLab-Dokumentation.

Was als Nächstes kommt

Nachdem du die Grundlagen von GitLab Duo Agent Platform verstanden hast, bist du bereit, tiefer in jede Komponente einzutauchen:

• Teil 2: GitLab Duo Agentic Chat – Erste Schritte – Persistentes Chat-Panel meistern, Model-Selection-Strategien lernen, Agent-Switching verstehen und Chat effektiv über Web UI und alle unterstützten IDEs hinweg nutzen.
• Teil 3: Agents verstehen – Foundational Agents von GitLab erkunden, Custom Agents mit spezialisierten Prompts für Team-Workflows erstellen und externe CLI-Agents von Providern wie Claude Code und OpenAI Codex integrieren.
• Teil 4: Flows verstehen – Erfahren, wie Flows mehrere Agents orchestrieren, um komplexe Probleme zu lösen, Custom YAML-definierte Workflows erstellen und externe KI-Provider für automatisierte Pipeline-Execution nutzen.
• Teil 5: AI Catalog – Zentralisiertes Repository durchsuchen, um von GitLab und der Community erstellte Agents und Flows zu entdecken, sie zu Projekten hinzuzufügen und eigene Lösungen für andere zu veröffentlichen.
• Teil 6: KI-Workflows überwachen, verwalten und automatisieren – Alle Agent- und Flow-Aktivität über Sessions überwachen, eventgesteuerte Trigger zur Workflow-Automatisierung einrichten und das gesamte GitLab Duo Agent Platform-Ökosystem von einer zentralen Stelle aus verwalten.
• Teil 7: Model Context Protocol-Integration – GitLab Duo-Capabilities erweitern durch Verbinden mit externen Tools wie Jira, Slack und AWS über den offenen MCP-Standard sowie externen KI-Tools Zugriff auf GitLab-Daten ermöglichen.
• Teil 8: GitLab Duo Agent Platform anpassen – Custom Chat-Regeln konfigurieren, System-Prompts für Agents erstellen, Agent-Tools einrichten, externe Systeme mit MCP integrieren und Flows für teamspezifische Anforderungen anpassen.

Ressourcen

• GitLab Duo Agent Platform-Dokumentation
• GitLab Duo Agent Platform-Site
• GitLab Community Forum

Nächster Teil: Teil 2: GitLab Duo Agentic Chat – Erste Schritte

In diesem Artikel:

• Einführung in die Automate-Funktionen
• Agents im Projekt verwalten
• Flows im Projekt verwalten
• Eventgesteuerte Trigger einrichten
• Flow-Aktivität mit Sessions überwachen

🎯 GitLab Duo Agent Platform heute ausprobieren!

Einführung in die Automate-Funktionen

Die Automate-Funktionen sind die zentrale Anlaufstelle für die Verwaltung von KI-Workflows in GitLab. Sie bieten Transparenz über Agent- und Flow-Aktivität und ermöglichen eventgesteuerte Automatisierung.

Navigation: Projekt → Automate.

Das Automate-Menü bietet diese Hauptabschnitte:

• Agents: Agents im Projekt anzeigen, erstellen und verwalten
• Flows: Flows im Projekt anzeigen, erstellen und verwalten
• Triggers: Eventbasierte Automatisierung für Flows konfigurieren
• Sessions: Agent- und Flow-Ausführung mit detaillierten Logs überwachen

Agents verwalten

Der Agents-Abschnitt ermöglicht das Anzeigen, Erstellen und Verwalten von Agents im Projekt.

Navigation: Automate → Agents.

Sowohl Agents- als auch Flows-Abschnitte bieten zwei Tabs zur Organisation der Ressourcen:

• Enabled: Agents/Flows, die für das Projekt verfügbar sind
• Managed: Agents/Flows, die vom Projekt erstellt und verwaltet werden

Verfügbare Agents erweitern:

• Neue Custom Agents erstellen, auf Top-Level-Group-Ebene aktivieren, dann im Projekt aktivieren.
• AI Catalog durchsuchen und bestehende Agents zuerst in der Top-Level-Group aktivieren, dann im Projekt.

Details zum Erstellen von Custom Agents finden sich in Teil 3: Agents verstehen.

Flows verwalten

Der Flows-Abschnitt ermöglicht das Anzeigen, Erstellen und Verwalten von Flows im Projekt.

Navigation: Automate → Flows.

Verfügbare Flows erweitern:

• Neue Custom Flows erstellen, auf Top-Level-Group-Ebene aktivieren, dann im Projekt aktivieren.
• AI Catalog durchsuchen und bestehende Flows zuerst in der Top-Level-Group aktivieren, dann im Projekt.

Details zum Erstellen von Custom Flows finden sich in Teil 4: Flows verstehen.

Mit Triggern automatisieren

Trigger ermöglichen eventgesteuerte Automatisierung durch automatisches Ausführen von Agents oder Flows bei spezifischen GitLab SDLC-Events.

Navigation: Automate → Triggers.

Verfügbare Trigger-Event-Typen:

• Mention: Erwähnung in einem Kommentar, beispielsweise @ci-cd-optimizer.
• Assign: Zuweisung zu einem Issue oder MR, beispielsweise in der UI oder Quick Action /assign @ci-cd-optimizer.
• Assign Reviewer: Zuweisung als MR-Reviewer, beispielsweise in der UI oder Quick Action /assign_reviewer @ci-cd-optimizer.

Funktionsweise von Triggern:

1. Event tritt ein (z. B. @ci-cd-optimizer in MR-Kommentar erwähnt)
2. Trigger identifiziert den auszuführenden Flow
3. Flow läuft und startet eine Session
4. Ergebnisse werden zurück zum Issue/MR gepostet

Setup-Anleitungen finden sich in der Triggers-Dokumentation.

Mit Sessions überwachen

Sessions bieten Transparenz über Agent- und Flow-Ausführung, einschließlich Reasoning, ausgeführter Tools und Outputs. Jede Ausführung erstellt eine Session mit Activity Log.

Navigation: Automate → Sessions. Sessions zeigen:

• Ausführungsstatus (Created, Running, Finished, Failed, Input Required und mehr)
• Schrittweiser Fortschritt und durchgeführte Aktionen
• Agent-Reasoning und Entscheidungsprozess
• Link zu Runner-Job-Logs (Details-Tab)

Activity-Tab

Der Activity-Tab zeigt den schrittweisen Ausführungsfluss: jede vom Agent durchgeführte Aktion, die genutzten Tools und die Ergebnisse dieser Aktionen.

Details-Tab

Der Details-Tab bietet Zugriff auf die vollständigen Runner-Job-Logs und ermöglicht die Einsicht in den kompletten Ausführungskontext und alle System-Level-Informationen über die Flow-Ausführung.

Die Job-Logs enthalten den vollständigen Ausführungs-Output, einschließlich aller System-Messages, Tool-Invocations und detaillierter Informationen darüber, was der Flow ausgeführt hat.

Weitere Details finden sich in der Sessions-Dokumentation.

Was als Nächstes kommt

Du verstehst jetzt, wie Agent- und Flow-Aktivität über Sessions überwacht, eventgesteuerte Automatisierung mit Triggern eingerichtet und KI-Workflows über die Automate-Funktionen verwaltet werden. Als Nächstes erfährst du, wie GitLab Duo mit externen Tools und Datenquellen erweitert wird – in Teil 7: Model Context Protocol-Integration.

Ressourcen

• Sessions-Dokumentation
• Triggers-Dokumentation
• Custom Flows-Dokumentation
• Custom Agents-Dokumentation

Nächster Teil: Teil 7: Model Context Protocol-Integration

Vorheriger Teil: Teil 5: AI Catalog

In diesem Artikel:

• Was sind Agenten?
• Agententypen
• Häufige Use Cases
• Wie du einen Custom Agent erstellst
• Best Practices

🎯 Probiere GitLab Duo Agent Platform noch heute aus!

Was sind Agenten?

Agenten sind spezialisierte KI-Kollaborationspartner innerhalb der GitLab Duo Agent Platform. Jeder Agententyp dient verschiedenen Zwecken und läuft in unterschiedlichen Kontexten.

Agententypen

Foundational Agents

Von GitLab entwickelt und gewartet sind diese Agenten sofort verfügbar, ohne dass ein Setup erforderlich ist. Die Verfügbarkeit von Foundational Agents kann von Namespace-Eigentümer(innen) oder Instanz-Administratoren verwaltet werden. Starte die Interaktion mit Foundational Agents, indem du GitLab Duo Agentic Chat in der IDE oder Web-UI öffnest.

GitLab Duo

Dies ist der Standard-Agent, dein universeller Entwicklungs-Kollaborationspartner für das Erstellen und Ändern von Code, Öffnen von Merge Requests, Triaging und Aktualisieren von Issues/Epics sowie das Ausführen von Workflows mit vollständigem SDLC-Plattform-Kontext.

Beispiel-Prompts:

• "Erkläre, wie das Authentifizierungssystem funktioniert."
• "Wo befindet sich die Benutzerprofil-Logik?"
• "Wie sollte ich Feature X implementieren?"

Planner Agent

Hilft bei der Produktplanung, beim Aufteilen von Epics und beim Erstellen strukturierter Issues.

Beispiel-Prompts:

• "Erstelle ein Epic für das neue Payment-System mit Subtasks."
• "Teile Issue #789 in kleinere Tasks auf."
• "Generiere Akzeptanzkriterien für dieses Feature."

Mehr über Planner Agent erfahren.

Security Analyst Agent

Triaged Schwachstellen, identifiziert False Positives und priorisiert Sicherheitsrisiken.

Beispiel-Prompts:

• "Triage alle Schwachstellen aus dem letzten Scan."
• "Welche SAST-Findings sind False Positives?"
• "Priorisiere Security-Issues nach tatsächlichem Risiko."

Mehr über Security Analyst Agent erfahren.

Data Analyst Agent

Führt Abfragen durch, visualisiert Daten und macht Daten über die GitLab-Plattform zugänglich, indem er GitLab Query Language (GLQL) verwendet, um umsetzbare Einblicke in deine Projekte und Teams zu liefern.

Beispiel-Prompts:

• "Wie viele Merge Requests wurden im letzten Quartal erstellt?"
• "Zeig mir, woran jedes Teammitglied diesen Monat gearbeitet hat."
• "Was sind die Trends bei Issue-Lösungszeiten?"
• "Finde alle offenen Issues mit dem Label 'bug' in meinem Projekt."
• "Generiere eine GLQL-Query, um Merge Requests nach Autor zu zählen."

Mehr über Data Analyst Agent erfahren.

Custom Agents

Erstelle eigene Agenten, die auf die spezifischen Workflows und Standards deines Teams zugeschnitten sind.

Häufige Use Cases

• Troubleshooting and Debugging Agent: Debugge Software-Bugs und Regressionen, analysiere Deployment-Fehler.
• Documentation Agent: Pflege Docs gemäß deinen Konventionen.
• Onboarding Assistant: Hilf neuen Teammitgliedern mit unternehmensspezifischen Praktiken.
• Compliance Monitor: Stelle sicher, dass regulatorische Anforderungen erfüllt werden.
• Localized Support Agent: Triage Support-Issues in einer lokalisierten Sprache, zum Beispiel Deutsch.

Sieh dir die Aufzeichnung des GitLab DACH Roadshow Vienna 2025 Duo Agent Platform Use Cases Talks an:

🎯 Jetzt ausprobieren: Interaktive Demo von Custom Agents – Erkunde, wie du Custom Agents erstellen und konfigurieren kannst.

Wie du einen Custom Agent erstellst

Custom Agents werden über deine Projekt- oder Gruppeneinstellungen konfiguriert. Die Schlüsselkomponente ist der System Prompt, der das Verhalten und die Expertise deines Agenten definiert.

System Prompt Beispiel vom Custom Agent devops-debug-failures-agent: You are an expert in Dev, Ops, DevOps, and SRE, and can debug code and runtime failures. Your speciality is that you can correlate static SDLC data with runtime data from CI/CD pipelines, logs, and other tool calls necessary. Expect that the user has advanced knowledge, but always provide commands and steps to reproduce your analysis so they can learn from you. Start with a short summary and suggested actions, and then go into detail with thoughts, analysis, suggestions. Think creative and consider unknown unknowns in your debug journey.

Sichtbarkeitsoptionen:

• Private: Nur für Mitglieder des verwaltenden Projekts sichtbar (Developer-Rolle+). Kann nicht in anderen Projekten aktiviert werden.
• Public: Kann von jedem eingesehen und in jedem Projekt aktiviert werden, das die Voraussetzungen erfüllt. Erscheint im AI Catalog zur Entdeckung.

Vollständige Setup-Anleitung in der Dokumentation verfügbar.

Best Practices

System Prompt Tipps:

• Sei spezifisch über die Rolle und Verantwortlichkeiten des Agenten.
• Definiere klare Qualitätsstandards und Einschränkungen.
• Füge Beispiele für erwartete Outputs hinzu.
• Halte Prompts auf eine Hauptaufgabe fokussiert.

Klein anfangen:

• Beginne mit Read-only-Berechtigungen.
• Teste gründlich, bevor du Schreibzugriff gewährst.
• Sammle Team-Feedback und iteriere.

External Agents

External Agents laufen im Hintergrund auf der GitLab-Plattform, wenn sie durch Mentions (z.B. @ai-codex) oder Zuweisungen in Issues und Merge Requests ausgelöst werden. Anders als Foundational und Custom Agents, die interaktiv im Chat arbeiten, werden External Agents asynchron ausgeführt, was leistungsstarke Automatisierung mit spezialisierten KI-Anbietern ermöglicht.

Credential-Management: Ab der General Availability der GitLab Duo Agent Platform werden GitLab-verwaltete Credentials verwendet, um External Agents zu unterstützen, sodass Kunden keine API-Keys selbst verwalten und rotieren müssen.

Wann du External Agents verwenden solltest

• Du benötigst spezifisches Agentic-AI-Verhalten oder LLMs für spezialisierte Aufgaben.
• Du möchtest Event-gesteuerte Automatisierung (nicht interaktiven Chat).
• Du musst spezifische Compliance- oder Daten-Residency-Anforderungen erfüllen.

Warum External Agents verwenden?

• Nutze spezialisierte KI-Modelle: Greife auf providerspezifische Fähigkeiten zu, wie Claude Codes Code-Analyse oder OpenAI Codex' Task-Delegation.
• Erfülle Compliance-Anforderungen: Halte Daten innerhalb genehmigter KI-Anbieter für regulatorische oder Sicherheitsrichtlinien.
• Experimentiere mit Providern: Teste verschiedenes Agentic-AI- und LLM-Verhalten, um die beste Lösung für deine Workflows zu finden.
• Greife auf einzigartige Features zu: Nutze providerspezifische Tools wie Claude Codes Code-Analyse oder OpenAI Codex' Task-Delegation.

Real-World-Beispiel

Ein Entwicklungsteam nutzt OpenAI Codex als External Agent für Code Review. Wenn Entwickler(innen) Merge Requests erstellen, weisen sie Codex als Reviewer zu. Der Agent:

1. Analysiert die Code-Änderungen im MR.
2. Überprüft auf Best Practices und Code-Quality-Issues.
3. Schlägt Verbesserungen und Optimierungen vor.
4. Postet detaillierte Review-Kommentare mit spezifischen Empfehlungen.
5. Verlinkt zu relevanter Dokumentation.

All dies geschieht automatisch im Hintergrund, während das Entwicklungsteam weiterarbeitet, und die Ergebnisse werden direkt im Merge Request gepostet.

Unterstützte External Agents

Die folgenden Integrationen wurden getestet und sind verfügbar:

• Anthropic Claude – Code-Generierung, Review und Analyse
• OpenAI Codex – GPT-gestützte Code-Unterstützung

Beispiel-Verwendung: @ai-codex Please implement this issue

Dies löst einen Runner-Execution-Job aus, der das externe KI-Tool ausführt und Ergebnisse zurück zu GitLab postet.

External Agents einrichten

Vollständige Setup-Anweisungen inklusive Service Accounts, Triggers und Konfigurationsbeispiele findest du in der External Agents Dokumentation.

Agentenverhalten mit AGENTS.md anpassen

Passe an, wie Agenten sich verhalten, indem du AGENTS.md-Dateien gemäß dem agents.md-Standard verwendest. Mehr dazu erfährst du in Teil 8: GitLab Duo Agent Platform anpassen: Chat-Regeln, Prompts und Workflows.

Den besten Agententyp für deine Use Cases wählen

Zusammenfassung

GitLab Duo Agent Platform bietet diese Agententypen:

• Foundational: Sofort einsatzbereite Agenten für gängige Aufgaben (Chat, Planner, Security Analyst, Data Analyst)
• Custom: Erstelle teamspezifische Agenten mit Custom Prompts und Verhaltensweisen
• External: Integriere externe KI-Tools

Starte mit Foundational Agents, erstelle Custom Agents für teamspezifische Anforderungen und erkunde External Agents, wenn du spezialisierte KI-Anbieter benötigst.

Nächster: Teil 4: Flows verstehen

Vorheriger: Teil 2: GitLab Duo Agentic Chat

In diesem Artikel:

• Was sind Flows und wie funktionieren sie?
• Foundational Flows von GitLab
• Custom Flows erstellen
• Flow-Ausführung und Orchestrierung
• Real-World-Beispiele und Use Cases

🎯 Probiere GitLab Duo Agent Platform noch heute aus!

Einführung in Flows

Flows sind Kombinationen aus einem oder mehreren Agenten, die zusammenarbeiten. Sie orchestrieren mehrstufige Workflows, um komplexe Probleme zu lösen, und werden auf der GitLab-Plattform-Compute ausgeführt.

Hauptmerkmale von Flows:

• Multi-Agent-Orchestrierung: Kombiniere mehrere spezialisierte Agenten
• Built-in: Laufen auf Plattform-Compute, keine zusätzliche Umgebung erforderlich
• Event-gesteuert: Ausgelöst durch Mention, Assignment oder Assign as Reviewer
• Asynchron: Laufen im Hintergrund, während du weiterarbeitest
• Vollständige Workflows: Erledigen End-to-End-Aufgaben von Analyse bis Implementierung

Denke an Flows als autonome Workflows, die Kontext sammeln, Entscheidungen treffen, Änderungen ausführen und Ergebnisse liefern können, während du dich auf andere Arbeit konzentrierst.

Flows vs. Agents: Den Unterschied verstehen

Agenten arbeiten interaktiv mit dir. Flows arbeiten autonom für dich.

Flow-Typen im Überblick

Foundational Flows

Foundational Flows sind produktionsreife Workflows, die von GitLab erstellt und gewartet werden. Sie sind über dedizierte UI-Controls oder IDE-Interfaces zugänglich.

Aktuell verfügbare Foundational Flows

Custom Flows

Custom Flows sind YAML-definierte Workflows, die du für die spezifischen Anforderungen deines Teams erstellst. Sie laufen in GitLab Runner und können durch GitLab-Events ausgelöst werden.

🎯 Jetzt ausprobieren: Interaktive Demo von Custom Flows – Erkunde, wie du Custom Flows erstellen und konfigurieren kannst.

Warum Custom Flows erstellen?

Custom Flows automatisieren sich wiederholende mehrstufige Aufgaben, die spezifisch für den Workflow deines Teams sind. Anders als Foundational Flows, die allgemeinen Zwecken dienen, sind Custom Flows auf die Prozesse, Tools und Anforderungen deiner Organisation zugeschnitten.

Häufige Use Cases:

• Automatisierter Code Review: Mehrstufiger Review-Prozess (Security Scan → Quality Check → Style Validation)
• Compliance Checking: Überprüfe regulatorische Anforderungen, Lizenz-Compliance oder Sicherheitsrichtlinien bei jedem MR
• Dokumentationsgenerierung: Automatisches Update von API-Docs, README-Dateien oder Changelogs basierend auf Code-Änderungen
• Dependency Management: Wöchentliche Security-Scans, automatisierte Updates und Schwachstellenberichte
• Custom Testing: Spezialisierte Test-Suites für deinen Tech-Stack oder Integrationstests

Real-World-Beispiel

Ein Fintech-Unternehmen erstellt einen Compliance-Flow, der bei jedem Merge Request läuft. Wenn er durch @compliance-flow ausgelöst wird, führt der Flow folgende Schritte aus:

1. Security Agent scannt Code auf PCI-DSS-Verstöße und prüft auf exponierte sensible Daten.
2. Code Review Agent verifiziert, dass Änderungen sicheren Coding-Standards und Best Practices folgen.
3. Documentation Agent prüft, dass API-Änderungen aktualisierte Dokumentation enthalten.
4. Summary Agent aggregiert Findings und postet einen Compliance-Report mit Pass/Fail-Status.

Die gesamte Compliance-Überprüfung erfolgt automatisch in 5-10 Minuten und bietet konsistente Checks über alle Merge Requests hinweg.

Wie du Custom Flows auslöst

Custom Flows können auf mehrere Arten ausgelöst werden:

1. Via Mentions in Issues/MRs: Erwähne den Flow in einem Kommentar, um ihn auszulösen. Beispiel für einen Dokumentationsgenerierungs-Flow: @doc-generator Generate API documentation for this feature

2. Durch Zuweisen des Flows zu einem Issue oder MR: Weise den Flow über eine der folgenden Methoden zu:

• GitLab UI: Klicke den „Assign"-Button auf dem Issue/MR und wähle den Flow
• Command: Verwende den /assign-Befehl in einem Kommentar. Beispiel: /assign @doc-generator

3. Durch Zuweisen des Flows als Reviewer: Weise den Flow als Reviewer auf einem Merge Request über eine der folgenden Methoden zu:

• GitLab UI: Klicke den „Assign reviewer"-Button auf dem Merge Request und wähle den Flow
• Command: Verwende den /assign_reviewer-Befehl in einem Kommentar. Beispiel: /assign_reviewer @doc-reviewer Jede dieser Methoden löst den Flow automatisch aus, um seine Aufgaben auszuführen.

Wie du Custom Flows erstellst

Custom Flows werden über die GitLab UI unter Automate → Flows → New flow in deinem Projekt oder über Explore → AI Catalog → Flows → New flow erstellt. Du definierst deinen Flow mithilfe einer YAML-Konfiguration, die Komponenten, Prompts, Routing und Ausführungsablauf spezifiziert. Das YAML-Schema ermöglicht es dir, ausgeklügelte Multi-Agent-Workflows mit präziser Kontrolle über Agentenverhalten und Orchestrierung zu erstellen.

Schlüsselelemente eines Custom Flows:

• Components: Definiere die Agenten und Schritte in deinem Workflow
• Prompts: Konfiguriere KI-Modellverhalten und Anweisungen
• Routers: Steuere den Flow zwischen Komponenten
• Toolsets: Spezifiziere, welche GitLab-API-Tools Agenten verwenden können

Beispiel Custom Flow YAML

Hintergrund: Dieses Beispiel zeigt einen Feature-Implementierungs-Flow für eine Reisebuchungsplattform. Wenn ein(e) Entwickler(in) ein Issue mit Feature-Anforderungen erstellt, kann dieser Flow ausgelöst werden, um automatisch die Anforderungen zu analysieren, die Codebasis zu überprüfen, die Lösung zu implementieren und einen Merge Request zu erstellen, alles ohne manuelle Intervention. Hier ist die YAML-Konfiguration:

version: "v1"
environment: ambient
components:
  - name: "implement_feature"
    type: AgentComponent
    prompt_id: "implementation_prompt"
    inputs:
      - from: "context:goal"
        as: "user_goal"
      - from: "context:project_id"
        as: "project_id"
    toolset:
      - "get_issue"
      - "get_repository_file"
      - "list_repository_tree"
      - "find_files"
      - "blob_search"
      - "create_file"
      - "create_commit"
      - "create_merge_request"
      - "create_issue_note"
    ui_log_events:
      - "on_agent_final_answer"
      - "on_tool_execution_success"
      - "on_tool_execution_failed"

prompts:
  - name: "Cheapflights Feature Implementation"
    prompt_id: "implementation_prompt"
    unit_primitives: []
    prompt_template:
      system: |
        You are an expert full-stack developer specializing in travel booking platforms, specifically Cheapflights.

        Your task is to:
        1. Extract the issue IID from the goal (look for "Issue IID: XX")
        2. Use get_issue with project_id={{project_id}} and issue_iid to retrieve issue details
        3. Analyze the requirements for the flight search feature
        4. Review the existing codebase using list_repository_tree, find_files, and get_repository_file
        5. Design and implement the solution following Cheapflights best practices
        6. Create all necessary code files using create_file (call multiple times for multiple files)
        7. Commit the changes using create_commit
        8. Create a merge request using create_merge_request
        9. Post a summary comment to the issue using create_issue_note with the MR link

        Cheapflights Domain Expertise:
        - Flight search and booking systems (Amadeus, Sabre, Skyscanner APIs)
        - Fare comparison and pricing strategies
        - Real-time availability and inventory management
        - Travel industry UX patterns
        - Performance optimization for high-traffic flight searches

        Code Standards:
        - Clean, maintainable code (TypeScript/JavaScript/Python/React)
        - Proper state management for React components
        - RESTful API endpoints with comprehensive error handling
        - Mobile-first responsive design
        - Proper timezone handling (use moment-timezone or date-fns-tz)
        - WCAG 2.1 accessibility compliance

        Flight-Specific Best Practices:
        - Accurate fare calculations (base fare + taxes + fees + surcharges)
        - Flight duration calculations across timezones
        - Search filter logic (price range, number of stops, airlines, departure/arrival times)
        - Sort algorithms (best value, fastest, cheapest)
        - Handle edge cases: date line crossing, daylight saving time, red-eye flights
        - Currency amounts use proper decimal handling (avoid floating point errors)
        - Dates use ISO 8601 format
        - Flight codes follow IATA standards (3-letter airport codes)

        Implementation Requirements:
        - No TODOs or placeholder comments
        - All functions must be fully implemented
        - Include proper TypeScript types or Python type hints
        - Add JSDoc/docstring comments for all functions
        - Comprehensive error handling and input validation
        - Basic unit tests for critical functions
        - Performance considerations for handling large result sets

        CRITICAL - Your final comment on the issue MUST include:
        - **Implementation Summary**: Brief description of what was implemented
        - **Files Created/Modified**: List of all files with descriptions
        - **Key Features**: Bullet points of main functionality
        - **Technical Approach**: Brief explanation of architecture/patterns used
        - **Testing Notes**: How to test the implementation
        - **Merge Request Link**: Direct link to the created MR (format: [View Merge Request](MR_URL))

        IMPORTANT TOOL USAGE:
        - Extract the issue IID from the goal first (e.g., "Issue IID: 12" means issue_iid=12)
        - Use get_issue with project_id={{project_id}} and issue_iid=<extracted_iid>
        - Create multiple files by calling create_file multiple times (once per file)
        - Use create_commit to commit all files together with a descriptive commit message
        - Use create_merge_request to create the MR and capture the MR URL from the response
        - Use create_issue_note with project_id={{project_id}}, noteable_id=<issue_iid>, and body=<your complete summary with MR link>
        - Make sure to include the MR link in the comment body so users can easily access it

      user: |
        Goal: {{user_goal}}
        Project ID: {{project_id}}

        Please complete the following steps:
        1. Extract the issue IID and retrieve full issue details
        2. Analyze the requirements thoroughly
        3. Review the existing codebase structure and patterns
        4. Implement the feature with production-ready code
        5. Create all necessary files (components, APIs, tests, documentation)
        6. Commit all changes with a clear commit message
        7. Create a merge request
        8. Post a detailed summary comment to the issue including the MR link

      placeholder: history
    params:
      timeout: 300

routers:
  - from: "implement_feature"
    to: "end"

flow:
  entry_point: "implement_feature"

Was dieser Flow macht: Dieser Flow orchestriert einen KI-Agenten, um automatisch ein Feature zu implementieren, indem er Issue-Anforderungen analysiert, die Codebasis überprüft, produktionsreifen Code mit Domain-Expertise schreibt und einen Merge Request mit einem detaillierten Summary-Kommentar erstellt.

Für vollständige Dokumentation und Beispiele siehe:

• Custom Flows Dokumentation
• Flow Registry Framework (YAML Schema)

Flow-Ausführung

Flows laufen auf GitLab-Plattform-Compute. Wenn sie durch ein Event (Mention, Assignment oder Button-Click) ausgelöst werden, wird eine Session erstellt und der Flow beginnt mit der Ausführung.

Verfügbare Umgebungsvariablen

Flows haben Zugriff auf Umgebungsvariablen, die Kontext über den Trigger und das GitLab-Objekt bereitstellen:

• AI_FLOW_CONTEXT – JSON-serialisierter Kontext inklusive MR-Diffs, Issue-Beschreibungen, Kommentaren und Discussion-Threads
• AI_FLOW_INPUT – Der Prompt- oder Kommentartext des Nutzers, der den Flow ausgelöst hat
• AI_FLOW_EVENT – Der Event-Typ, der den Flow ausgelöst hat (mention, assign, assign_reviewer)

Diese Variablen ermöglichen es deinem Flow zu verstehen, was ihn ausgelöst hat, und auf relevante GitLab-Daten zuzugreifen, um seine Aufgabe zu erfüllen.

Multi-Agent-Flows

Custom Flows können mehrere Agent-Komponenten enthalten, die sequenziell zusammenarbeiten. Die YAML-Konfiguration des Flows definiert:

• Components: Ein oder mehrere Agenten (AgentComponent) oder deterministische Schritte
• Routers: Definieren den Flow zwischen Komponenten (z.B. von Komponente A zu Komponente B zu Ende)
• Prompts: Konfigurieren das Verhalten und Modell jedes Agenten

Beispielsweise könnte ein Code-Review-Flow einen Security Agent, dann einen Quality Agent, dann einen Approval Agent haben, mit Routern, die sie sequenziell verbinden.

Flow-Ausführung überwachen

Um Flows anzuzeigen, die für dein Projekt laufen:

1. Navigiere zu Automate → Sessions.
2. Wähle eine beliebige Session aus, um mehr Details zu sehen.
3. Der Details-Tab zeigt einen Link zu den CI/CD-Job-Logs.

Sessions zeigen detaillierte Informationen inklusive Schritt-für-Schritt-Fortschritt, Tool-Aufrufe, Reasoning und Entscheidungsprozess.

Wann Flows verwenden

• Komplexe mehrstufige Aufgaben
• Hintergrund-Automatisierung
• Event-gesteuerte Workflows
• Multi-File-Änderungen
• Zeitaufwändige Aufgaben
• Automatisierte Reviews/Checks

Was kommt als Nächstes?

Du verstehst jetzt Flows, wie man sie erstellt und wann man sie im Vergleich zu Agenten verwendet. Als Nächstes lerne, wie du Agenten und Flows über deine Organisation hinweg entdecken, erstellen und teilen kannst in Teil 5: AI Catalog. Erkunde den AI Catalog, um verfügbare Flows und Agenten zu durchsuchen, sie zu deinen Projekten hinzuzufügen und deine eigenen Agenten und Flows zu veröffentlichen.

Ressourcen

• GitLab Duo Agent Platform Flows
• Foundational Flows Dokumentation
• Custom Flows Dokumentation
• Flow Execution Konfiguration
• GitLab CI/CD Variables Guide
• Service Accounts

Nächster: Teil 5: AI Catalog

Vorheriger: Teil 3: Agenten verstehen

Laut unserem brandneuen Global DevSecOps Report mit Zahlen für Deutschland macht KI-generierter Code mittlerweile 32 Prozent aller Entwicklungsarbeit aus. Dennoch berichten 75 Prozent der deutschen DevSecOps-Expert(inn)en, dass KI das Compliance-Management erschwert, und 78 Prozent sagen, dass agentische KI beispiellose Sicherheitsherausforderungen schaffen wird.

Das ist das KI-Paradoxon: KI beschleunigt das Programmieren, aber die Software-Auslieferung verlangsamt sich, weil Teams damit kämpfen, den Code zu testen, abzusichern und zu deployen.

Lade dir unseren DevSecOps Report für Deutschland kostenlos herunter!

Produktivitätsgewinne treffen auf Workflow-Engpässe

Das Problem ist nicht die KI selbst. Es liegt daran, wie Software heute entwickelt wird. Der traditionelle DevSecOps-Lebenszyklus enthält Hunderte kleiner Aufgaben, die Entwickler(innen) manuell bewältigen müssen: Tickets aktualisieren, Tests ausführen, Reviews anfordern, auf Freigaben warten, Merge-Konflikte beheben, Sicherheitsprobleme angehen. Diese Aufgaben kosten laut unserer Forschung jedes Teammitglied durchschnittlich sieben Stunden pro Woche.

Entwicklungsteams produzieren Code schneller als je zuvor, aber dieser Code kriecht immer noch durch fragmentierte Toolchains, manuelle Übergaben und unverbundene Prozesse. Tatsächlich verwenden nahezu 60 Prozent der deutschen DevSecOps-Teams mehr als fünf Tools für die Softwareentwicklung insgesamt, und 45 Prozent nutzen mehr als fünf KI-Tools. Diese Fragmentierung schafft Kollaborationsbarrieren – 97 Prozent der deutschen DevSecOps-Fachleute erleben Faktoren, die die Zusammenarbeit im Software-Entwicklungszyklus einschränken.

Die Antwort sind nicht noch mehr Tools. Es ist intelligente Orchestrierung, die Software-Teams und ihre KI-Agenten über Projekte und Release-Zyklen hinweg zusammenbringt – mit eingebauter Sicherheit, Governance und Compliance auf Enterprise-Niveau.

Auf der Suche nach tieferen Mensch-KI-Partnerschaften

DevSecOps-Profis wollen nicht, dass KI übernimmt – sie wollen verlässliche Partnerschaften. Die große Mehrheit (81 Prozent) sagt, dass die Nutzung agentischer KI ihre Arbeitszufriedenheit erhöhen würde, und 38 Prozent stellen sich eine ideale Zukunft mit einer 50/50-Aufteilung zwischen menschlichen und KI-Beiträgen vor. Sie sind bereit, KI rund ein Drittel ihrer täglichen Aufgaben ohne menschliche Überprüfung anzuvertrauen, besonders bei Dokumentation, Test-Erstellung und Code-Reviews.

Was wir deutlich von deutschen DevSecOps-Expert(inn)en gehört haben, ist, dass KI sie nicht ersetzen wird; vielmehr wird sie ihre Rollen grundlegend verändern. 80 Prozent der DevSecOps-Fachleute glauben, dass KI ihre Arbeit innerhalb von fünf Jahren erheblich verändern wird, und bemerkenswert ist, dass drei Viertel denken, dies wird mehr Engineering-Jobs schaffen, nicht weniger. Da das Programmieren mit KI einfacher wird, werden Ingenieur(inn)en, die Systeme entwerfen, Qualität sicherstellen und geschäftlichen Kontext anwenden können, sehr gefragt sein.

Entscheidend ist, dass 84 Prozent zustimmen, dass es wesentliche menschliche Qualitäten gibt, die KI niemals vollständig ersetzen wird, einschließlich Kreativität, Innovation, Zusammenarbeit und strategische Vision.

Wie können Organisationen also die Lücke zwischen dem Versprechen der KI und der Realität fragmentierter Workflows überbrücken?

Komm zur GitLab Transcend: Erfahre, wie du mit agentischer KI echten Wert schaffst

Am 10. Februar 2026 veranstaltet GitLab Transcend, wo wir zeigen werden, wie intelligente Orchestrierung die KI-gestützte Softwareentwicklung transformiert. Du erhältst einen ersten Blick auf GitLabs kommende Produkt-Roadmap und erfährst, wie Teams reale Herausforderungen lösen, indem sie Entwicklungs-Workflows mit KI modernisieren.

Organisationen, die in dieser neuen Ära gewinnen, balancieren KI-Einführung mit Sicherheit, Compliance und Plattform-Konsolidierung. KI bietet echte Produktivitätsgewinne, wenn sie durchdacht implementiert wird – nicht indem sie menschliche Entwickler(innen) ersetzt, sondern indem sie DevSecOps-Profis befreit, sich auf strategisches Denken und kreative Innovation zu konzentrieren.

Registriere dich jetzt für unser Event in München oder die Online-Konferenz

Hier geht's zur digitalen Transcend und hier zum Live-Event in München. Sichere dir deinen Platz und erfahre, wie intelligente Orchestrierung deinen Software-Teams helfen kann, im Flow zu bleiben. Die Transcend in München wird auf Englisch stattfinden.

Was SSO und SCIM bieten

Single Sign-On (SSO) mit SAML ermöglicht Benutzern, sich einmal bei einem zentralen Identity Provider – wie Azure Entra ID – zu authentifizieren und dann auf mehrere verbundene Anwendungen zuzugreifen, ohne erneute Anmeldung. SCIM automatisiert die Benutzerverwaltung: Wenn Benutzer im Identity Provider erstellt, Gruppen zugewiesen oder deaktiviert werden, synchronisiert SCIM diese Änderungen automatisch mit GitLab – einschließlich Berechtigungen basierend auf Gruppenmitgliedschaften.

Vorteile für Unternehmen

Sicherheit: Zentralisierte Authentifizierung reduziert Passwort-Müdigkeit und Credential-Stuffing-Risiken. Multi-Faktor-Authentifizierung lässt sich auf Identity-Provider-Ebene erzwingen und gilt automatisch für alle verbundenen Anwendungen. Wenn ein Benutzer das Unternehmen verlässt, entfernt die Deaktivierung im Identity Provider sofort den Zugriff auf alle Systeme.

Effizienz: Automatisierte Benutzerbereitstellung reduziert Onboarding-Zeit von Stunden auf Minuten. Gruppenmitgliedschaften in Azure Entra ID synchronisieren automatisch mit GitLab-Berechtigungen. Identitäten werden einmal im Identity Provider verwaltet und propagieren automatisch – kein manuelles Erstellen, Aktualisieren oder Löschen von Konten in jeder Anwendung erforderlich.

Compliance: Zentralisiertes Identity-Management mit SSO und SCIM unterstützt Zugriffskontroll-Anforderungen aus Frameworks wie NIS2 (Artikel 21.2(i,j) Zugriffskontrolle und Multi-Faktor-Authentifizierung), ISO 27001 (A.5.15-17 Identitätsverwaltung) und BSI IT-Grundschutz (ORP.4). SSO-Authentifizierungs-Logs bieten zentralisierte Aufzeichnungen für GDPR-Artikel-30-Verarbeitungsdokumentation und Incident-Response.

Implementierung

Die Konfiguration von GitLab Single Sign-On mit SAML und SCIM erfordert:

• Azure Entra ID Tenant mit Administrator-Zugriff
• GitLab Premium oder Ultimate mit Top-Level-Gruppe
• Konfiguration auf beiden Plattformen (Parameter-Austausch, Attribut-Mappings, SCIM-Token)

Vollständige Schritt-für-Schritt-Anleitung:

→ How-to: GitLab Single Sign-on with SAML, SCIM and Azure's Entra ID

Die englische Anleitung bietet:

• 15 detaillierte UI-Screenshots für Azure Entra ID und GitLab
• Vollständige Attribut-Mapping-Tabellen (SAML Claims, SCIM Provisioning)
• Parameter-Austausch zwischen Plattformen (Identifier, Reply URL, Certificate, SCIM Token)
• Fehlerbehebung für häufige Probleme (Email-Attribut-Fehler, NameID-Mismatch)

Kostenlose Testversionen: Azure Entra ID | GitLab

Weiterführende Informationen

• The ultimate guide to enabling SAML and SSO on GitLab.com
• SAML SSO for GitLab.com groups documentation

Warum diese Änderung erfolgt

Dieser Schritt ist ein wesentlicher Bestandteil unseres Secure-by-Design-Commitments. MFA bietet einen entscheidenden Schutz gegen Credential-Stuffing- und Account-Takeover-Angriffe, die in der Softwareentwicklungsbranche nach wie vor anhaltende Bedrohungen darstellen.

Wichtige Informationen

Was ändert sich?

GitLab macht MFA für Anmeldungen verpflichtend, die sich mit Nutzername und Passwort authentifizieren. Dies führt eine entscheidende zweite Sicherheitsebene ein, die über ein reines Passwort hinausgeht.

Betrifft mich das?

1. Ja, es betrifft dich, wenn: Du dich bei GitLab.com mit Nutzername und Passwort anmeldest oder ein Passwort zur Authentifizierung an der API verwendest.
2. Nein, es betrifft dich nicht, wenn: Du ausschließlich Social Sign-on (wie Google) oder Single Sign-on (SSO) für den Zugriff nutzt. (Hinweis: Wenn du SSO verwendest, aber auch ein Passwort für direkten Login hast, benötigst du MFA weiterhin für jede Nicht-SSO-, passwortbasierte Anmeldung.)

Wann erfolgt die Einführung?

1. Die Implementierung erfolgt über die kommenden Monate in mehreren Phasen. Ziel ist es, unerwartete Unterbrechungen und Produktivitätsverluste für Nutzer zu minimieren und Account-Sperrungen zu vermeiden. Nutzergruppen werden schrittweise aufgefordert, MFA zu aktivieren. Jede Gruppe wird anhand der durchgeführten Aktionen oder des beigetragenen Codes ausgewählt. Die Benachrichtigung erfolgt auf folgende Weise:
   • ✉️ E-Mail-Benachrichtigung – vor der Phase, in der du betroffen bist
   • 🔔 Regelmäßige In-Produkt-Erinnerungen – 14 Tage im Voraus
   • ⏱️ Nach einem bestimmten Zeitraum (dieser wird per E-Mail mitgeteilt) – Zugriff auf GitLab wird blockiert, bis MFA aktiviert ist

Welche Maßnahmen muss ich ergreifen?

1. Wenn du dich bei GitLab.com mit Nutzername und Passwort anmeldest:
   • Wir empfehlen nachdrücklich, proaktiv eine der verfügbaren MFA-Methoden einzurichten, etwa Passkeys, eine Authenticator-App, ein WebAuthn-Gerät oder E-Mail-Verifizierung. Dies gewährleistet den sichersten und nahtlosesten Übergang:
   • Gehe zu deinen GitLab.com-Benutzereinstellungen.
   • Wähle den Bereich Konto aus.
   • Aktiviere Zwei-Faktor-Authentifizierung und konfiguriere deine bevorzugte Methode (z. B. Authenticator-App oder WebAuthn-Gerät).
   • Sichere deine Wiederherstellungscodes, um zu garantieren, dass du bei Bedarf wieder Zugriff erhältst.
2. Wenn du ein Passwort zur Authentifizierung an der API verwendest:
   • Wir empfehlen nachdrücklich, proaktiv auf einen Personal Access Token (PAT) umzusteigen. Lies unsere Dokumentation, um mehr zu erfahren.

FAQ

Was passiert, wenn ich MFA nicht bis zur Deadline aktiviere?

• Du wirst aufgefordert, MFA einzurichten, bevor du dich anmelden kannst.

Betrifft dies CI/CD-Pipelines oder Automatisierung?

• Ja, es sei denn, du verwendest PATs oder Deploy Tokens anstelle von Passwörtern.

Ich nutze SSO, melde mich aber manchmal direkt an. Benötige ich MFA?

• Ja, MFA ist für jede passwortbasierte Authentifizierung erforderlich, einschließlich Fallback-Szenarien.

Spezifische Zeitpläne und weitere Ressourcen werden geteilt, sobald die Rollout-Termine näher rücken. Vielen Dank für die Aufmerksamkeit zu dieser wichtigen Änderung.

Für deutsche Unternehmen könnte dies folgende Themen betreffen:

Teams, die Multi-Faktor-Authentifizierung implementieren, adressieren möglicherweise auch regulatorische Anforderungen – beispielsweise in Bereichen wie Zugriffskontrolle und Authentifizierungssicherheit.

Regulatorische Frameworks wie NIS2 (Artikel 21.2j), ISO 27001 und BSI IT-Grundschutz behandeln ähnliche MFA-Themen. Für konkrete Compliance-Anforderungen empfiehlt sich Rücksprache mit entsprechender Fachberatung.

Signale, dass erweiterte Security-Kontrollen nötig sind:

• Mehr Zeit für Permissions-Management als für Code-Entwicklung
• Security-Reviews erzeugen Entwicklungs-Engpässe
• Unklarheit darüber, wer was wann geändert hat
• Unsicherheit, ob Security-Policies konsistent befolgt werden

1. Erweiterte Zugriffskontrolle wird erforderlich

Manuelle Permissions-Verwaltung ist aufwändig und fehleranfällig. Für ein Team mit drei Entwickler(inne)n ist dies noch handhabbar, aber bei 15, 30 oder 100 Entwickler(inne)n wird es deutlich komplexer.

Die Nachteile eines komplexen Permissions-Systems sind zweifach:

1. Versehentliche oder unberechtigte Änderungen an kritischen Codebereichen werden wahrscheinlicher
2. Die Verwaltung komplexer Berechtigungen kostet Zeit, die für wertvolle Software-Entwicklung genutzt werden könnte

Funktionen für automatisierte Permissions-Verwaltung

Wachsende Teams benötigen Funktionen zur Automatisierung der Permissions-Verwaltung. GitLab Premium bietet Enterprise-Agile-Planning-Funktionen mit Organizational Hierarchies, die erweiterte Permissions-Verwaltung auf Gruppen- oder Subgruppen-Ebene ermöglichen.

Dies spart wachsenden Teams Zeit und bietet eine zusätzliche Sicherheitsebene – zusammen mit Funktionen wie Protected Branches und eingeschränktem Push- und Merge-Zugriff.

2. Strukturierte Review-Prozesse sind nötig

Viele Teams lassen Senior-Entwickler(innen) sicherheitsrelevanten Code reviewen. Mit wachsender Codebasis wird es jedoch schwieriger sicherzustellen, dass die richtigen Personen die richtigen Änderungen prüfen. Dies kann zu verlängerten Review-Prozessen oder zur Freigabe unsicheren Codes führen.

Wenn Security-Reviews inkonsistent werden oder Engpässe erzeugen, sind Lösungen nötig, die strengere Kontrolle über Merge-Request-Pipelines bieten.

Funktionen zur Verbesserung des Review-Prozesses

GitLab Premium hilft Teams, manuelle Prozesse zu überwinden – mit Funktionen wie Multiple Approvers und Push Rules. Diese Funktionen verbessern Code-Qualität durch Sicherstellung, dass Code vor dem Merge geprüft wird, und verhindern späte Fehler im Entwicklungsprozess. Sie erfordern zudem höhere Autorisierungs- und Verifizierungsstufen für Push- und Commit-Vorgänge.

3. Compliance-Dokumentation wird wichtiger

Bei kleinen Teams ist bekannt, wer an welchen Projekten arbeitet und wann Deployments stattfinden. Mit wachsendem Team wird es jedoch schwieriger (wenn nicht unmöglich), alle Code-Änderungen und Aktivitäten zu verfolgen. Zudem gerät leicht aus dem Blick, ob alle Teammitglieder Security-Policies konsistent befolgen.

Dies sind Signale, dass Tools zur Änderungsverfolgung und zur Sicherstellung der Code-Qualität gemäß regulatorischen Anforderungen benötigt werden.

Funktionen zur Verbesserung der Compliance

Mit GitLab Premiums Audit Events lassen sich Änderungen verfolgen und prüfen – etwa wer welche Aktionen zu welcher Zeit im Repository ausgeführt hat. Code Quality Reports prüfen die Einhaltung von Compliance-Standards. Dies hilft Teams, Compliance nachzuweisen und Probleme im Code schnell zu identifizieren und zu beheben.

Security-Skalierung mit GitLab Premium

Wachsende Teams benötigen systematische Security-Kontrollen. GitLab Premium bietet Funktionen für Zugriffsverwaltung, strukturierte Review-Prozesse und Compliance-Dokumentation.

Upgrade auf GitLab Premium

Was das für deutsche Unternehmen bedeutet:

Teams, die Security-Kontrollen erweitern, haben möglicherweise auch Compliance-Überlegungen – beispielsweise in Bereichen wie Zugriffskontrolle, Audit-Dokumentation und Code-Qualität.

Regulatorische Frameworks wie NIS2, ISO 27001 und DSGVO adressieren ähnliche Security-Themen. Für konkrete Compliance-Anforderungen empfiehlt sich die Rücksprache mit entsprechender Fachberatung.

In diesem Artikel zeigen wir, wie GitLabs integrierte Funktionen zum Security-Scanning kombiniert mit dem GitLab Duo Security Analyst Agent Vulnerability-Management von einem zeitaufwändigen manuellen Prozess zu einem KI-gestützten, strukturierten Workflow verbessern.

💡 Am 10. Februar bei GitLab Transcend erfahren, wie Agentic AI Software-Delivery transformiert. Kundenberichte anhören und eigene Modernisierung starten. Jetzt registrieren.

KONZEPT UND KONTEXT

Was ist Vulnerability-Triaging?

Vulnerability-Triaging ist der Prozess, Sicherheitslücken zu analysieren, zu priorisieren und zu entscheiden, wie diese behoben werden. Nicht alle Schwachstellen sind gleich – manche stellen kritische Risiken dar, die sofortige Aufmerksamkeit erfordern, während andere False-Positives sein können oder in einem spezifischen Kontext minimale Bedrohung darstellen.

Traditionelles Triaging umfasst: Scan-Ergebnisse aus mehreren Security-Tools reviewen, Severity basierend auf CVSS-Scores und Exploitability bewerten, Kontext verstehen (ob betroffener Code tatsächlich erreichbar ist), Remediation nach Business-Impact und Risiko priorisieren, und Resolution bis zum Deployment tracken.

Dieser Prozess wird überwältigend bei großen Codebasen und häufigen Scans. GitLab adressiert diese Herausforderungen durch integriertes Security-Scanning und KI-gestützte Analyse.

Der dreistufige Ansatz – automatisierte Pipeline-Scans, strukturierte manuelle Triage, KI-gestützte Risikoanalyse – bietet die systematische Methodik, die NIS2 Artikel 21.2(f) für Wirksamkeitsbewertung von Cybersecurity-Maßnahmen fordert. ISO 27001 Kontrolle A.8.8 verlangt das Einholen von Schwachstellen-Informationen, Bewertung der Exposition und geeignete Maßnahmen – alle drei Schritte werden durch diesen Workflow abgedeckt.

GitLab Security-Scanner: Übersicht

GitLab bietet integrierte Security-Scanner, die sich nahtlos in CI/CD-Pipelines einfügen und ISO 27001 Kontrollen A.8.28-29 für Security-Testing im Development-Lifecycle entsprechen. Diese Scanner laufen automatisch während Pipeline-Ausführung und befüllen GitLabs Vulnerability Report mit Findings:

• Static Application Security Testing (SAST): Analysiert Source-Code auf Schwachstellen
• Dependency Scanning: Identifiziert Schwachstellen in Projekt-Dependencies
• Container Scanning: Scannt Docker-Images auf bekannte Schwachstellen
• Dynamic Application Security Testing (DAST): Testet laufende Applikationen
• Secret Detection: Findet versehentlich committete Secrets
• Infrastructure-as-Code Scanning: Analysiert IaC auf Fehlkonfigurationen
• API Security Testing & Fuzzing: Testet Web-APIs auf Bugs und Security-Issues

Die Scanner-Integration erfolgt durch GitLab-CI/CD-Templates, die sich über Variables pro Scanner konfigurieren lassen. Nach Konfiguration laufen Scanner automatisch und berichten Findings an den zentralen Vulnerability Report.

Der manuelle Triage-Workflow

GitLab aggregiert alle Scanner-Findings in zentralisierten Ansichten mit Filteroptionen nach Severity, Status, Scanner, OWASP Top 10 und Reachability. Der Vulnerability Report zeigt Severity-Levels, Status (Detected/Confirmed/Dismissed/Resolved), Scanner-Typ, betroffene Dateien und Pipeline-Informationen.

Traditionelles manuelles Triaging umfasst: Jede Schwachstelle durch Klick auf Detail-Page reviewen, Beschreibung bewerten und Impact verstehen, betroffenen Code über integrierte Links untersuchen, nach vorhandenen Fixes oder Patches prüfen, Status setzen (Confirm/Dismiss mit Begründung/Issue erstellen), und Ownership für Remediation zuweisen.

Dieser Workflow ist umfassend, erfordert jedoch Security-Expertise und kann zeitaufwändig sein bei Hunderten von Findings. Die Kombination aus automatisierten Scans und KI-gestützter Analyse reduziert Triage-Zeit von Stunden auf Minuten bei gleichzeitiger Erfüllung dokumentierter Compliance-Anforderungen. Nachvollziehbare Triage-Entscheidungen mit Status-Tracking unterstützen auch NIS2 Artikel 23 Meldepflichten durch lückenlose Dokumentation.

GitLab Duo Security Analyst Agent: Capabilities

GitLab Duo Security Analyst Agent ist ein KI-gestütztes Tool, das Schwachstellen-Analyse und Triaging automatisiert. Der Agent versteht Applikations-Kontext, bewertet Risiken intelligent und liefert umsetzbare Empfehlungen.

Der Agent analysiert Schwachstellen durch: Exploitability-Bewertung im spezifischen Codebase-Kontext, Reachability-Assessment (ob betroffene Code-Pfade tatsächlich genutzt werden), risikobasierte Priorisierung statt nur CVSS-Scores, Schwachstellen-Erklärungen in klarer Sprache, Remediation-Schritte spezifisch für die Applikation empfehlen, und False-Positives durch kontextbasierte Analyse reduzieren.

Der Agent kann: Security-Findings über verschiedene Scan-Typen analysieren und priorisieren, Severity/Exploitability/Business-Impact bewerten, echte Bedrohungen von harmlosen Findings unterscheiden, regulatorische Anforderungen und Remediation-Timelines verstehen, Zusammenfassungen zur Security-Posture generieren, umsetzbare Pläne zur Behebung erstellen, und repetitive Security-Assessment-Aufgaben optimieren.

Voraussetzungen: GitLab Ultimate Subscription mit GitLab Duo Agent Platform aktiviert, Security-Scanner im Projekt konfiguriert, mindestens eine Schwachstelle im Vulnerability Report.

Vorteile: Zeitersparnis (Stunden auf Minuten reduzieren), bessere Priorisierung (Fokus auf echte Risiken), Wissenstransfer (Security-Best-Practices lernen), konsistente Standards (über alle Projekte), reduzierte Alert-Fatigue (Noise filtern).

TECHNISCHE UMSETZUNG

Security-Scanner konfigurieren

Scanner zur .gitlab-ci.yml-Datei hinzufügen. SAST- und Dependency-Scanning-Templates werden inkludiert, die automatisch im Test-Stage laufen. Jeder Scanner lässt sich über Variables überschreiben. Die SAST_EXCLUDED_PATHS-Variable weist SAST an, angegebene Verzeichnisse/Dateien zu überspringen:

include:
  - template: Security/SAST.gitlab-ci.yml
  - template: Security/Dependency-Scanning.gitlab-ci.yml

stages:
  - test

variables:
  SAST_EXCLUDED_PATHS: "spec/, test/, tests/, tmp/"

Für Container-Scanning wird ein Container im build-container-Job gebaut und gepusht, dann im test-Stage gescannt:

include:
  - template: Security/Container-Scanning.gitlab-ci.yml

stages:
  - build
  - test

build-container:
  stage: build
  variables:
    IMAGE: $CI_REGISTRY_IMAGE/$CI_COMMIT_REF_SLUG:$CI_COMMIT_SHA
  before_script:
    - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
  script:
    - docker build -t $IMAGE .
    - docker push $IMAGE

container_scanning:
  variables:
    CS_IMAGE: $CI_REGISTRY_IMAGE/$CI_COMMIT_REF_SLUG:$CI_COMMIT_SHA

Hinweis: In Merge-Requests zeigen Scanner die Differenz der Schwachstellen vom Feature-Branch zum Target-Branch. Zusätzlich lassen sich Security-Policies erstellen, um vulnerable Code am Mergen zu hindern.

Security Analyst Agent aktivieren und nutzen

Security Analyst Agent ist ein Foundational Agent. Der Agent findet sich im AI Catalog und lässt sich direkt vom Projekt nutzen.

GitLab Duo Chat öffnen und Security Agent auswählen:

Model auswählen und Agentic-Mode aktivieren:

Tools des Agents:

Beispiel-Query: "Was sind die kritischsten Schwachstellen und welche sollten zuerst behoben werden?"

Effektive Queries

Kritische Issues identifizieren: "Zeige mir Schwachstellen, die in unserem Production-Code aktiv exploitierbar sind"

Erreichbare Schwachstellen: "Welche High-Severity-Schwachstellen befinden sich in Code-Pfaden, die tatsächlich ausgeführt werden?"

Dependencies verstehen: "Was sind die kritischsten Dependency-Schwachstellen und sind Patches verfügbar?"

Remediation-Guidance: "Erkläre, wie die SQL-Injection-Schwachstelle in User-Authentication zu beheben ist"

Agent-Empfehlungen interpretieren

Risk-Assessment: Der Agent erklärt, warum eine Schwachstelle kritisch ist, über den CVSS-Score hinaus, unter Berücksichtigung der spezifischen Applikations-Architektur.

Exploitability-Analyse: Er bestimmt, ob betroffener Code tatsächlich erreichbar und exploitierbar ist, was hilft, theoretische Risiken herauszufiltern.

Remediation-Steps: Der Agent liefert spezifische Guidance zur Behebung von Schwachstellen, inklusive Code-Beispielen wo angemessen.

Priority-Ranking: Statt mit Hunderten von Findings zu überfordern, hilft der Agent, die Top-Issues zu identifizieren, die zuerst behoben werden sollten.

Praktischer Workflow

Eine typische Triaging-Session:

1. Mit Big Picture starten: "Analysiere die Security-Posture dieses Projekts und hebe die Top-5 kritischsten Schwachstellen hervor."
2. In Specifics eintauchen: Für jede identifizierte kritische Schwachstelle fragen: "Ist diese Schwachstelle in unserer Applikation tatsächlich exploitierbar?"
3. Remediation planen: "Was ist die empfohlene Behebung für dieses SQL-Injection-Issue, und sind Nebeneffekte zu beachten?"
4. Progress tracken: Nach Behebung kritischer Issues fragen: "Welche Schwachstellen sollten als nächstes priorisiert werden?"

Heute starten

Vulnerability-Triaging muss kein überwältigender manueller Prozess sein. Durch Kombination von GitLabs integrierten Security-Scannern mit GitLab Duo Security Analyst Agent können Development-Teams schnell die Schwachstellen identifizieren und priorisieren, die wirklich wichtig sind.

Die Fähigkeit des Agents, Kontext zu verstehen, echtes Risiko zu bewerten und umsetzbare Guidance zu liefern, transformiert Security-Scanning von einer Compliance-Checkbox zu einem praktischen, effizienten Teil des Development-Workflows.

Mit Security-Scanner-Aktivierung in GitLab-Pipelines beginnen, dann den Security Analyst Agent nutzen, um intelligente, informierte Entscheidungen über Vulnerability-Remediation zu treffen.

Bereit zum Start? Die GitLab Duo Agent Platform-Dokumentation und Security-Scanning-Dokumentation prüfen, um den Workflow für Vulnerability-Management heute zu transformieren.

Vollständige technische Details, zusätzliche Screenshots und erweiterte Konfigurationsbeispiele: English version of this tutorial

Das GitLab Security Team ist über einen Blogbeitrag von Sysdig informiert, der beschreibt, wie Angreifer öffentliche Repositories scannen, um exponierte Credentials in Git-Config-Dateien zu identifizieren. GitLab empfiehlt seinen Kunden und Nutzern konsequent mehrere Best Practices, um ihre öffentlichen GitLab-Projekte abzusichern und versehentliche Leaks von Credentials in Git-Config-Dateien oder anderswo in öffentlichen Projekten zu verhindern.

Die mehrschichtige Absicherung von Secrets reduziert das Risiko von Credential-Leaks systematisch: Push Protection verhindert Leaks beim Commit, Pipeline-Detection erkennt Secrets vor dem Merge in den Hauptbranch, und Client-seitige Erkennung schützt Beschreibungen in Issues und Merge Requests. Dieser dreistufige Ansatz adressiert verschiedene Eingabepunkte und minimiert die Wahrscheinlichkeit, dass Credentials in öffentlichen Repositories landen. Die Kombination aus präventiven Maßnahmen (Push-Blockierung) und reaktiven Kontrollen (Pipeline-Scanning) bietet umfassenden Schutz gegen versehentliche Credential-Exposition.

1. Öffentliche Sichtbarkeit von GitLab-Gruppen und -Projekten einschränken
   GitLab empfiehlt, die Standard-Sichtbarkeit für neue GitLab-Projekte und -Gruppen standardmäßig auf privat zu setzen. Die Konfiguration der Standard-Sichtbarkeitseinstellungen für Projekte und Gruppen auf privat für die GitLab-Instanz kann helfen, versehentliche Offenlegung von Informationen in einem öffentlichen Projekt zu verhindern, das als privat gedacht war.
2. CI-Secrets absichern
   Secrets, die Schutz erfordern, einschließlich Passwörter und Tokens, sollten niemals im Klartext gespeichert werden. Verschlüsselungs-Container-Technologien (Secrets Manager) sollten genutzt werden, um Secrets sicher zu speichern. Beispiele für Secrets-Manager-Tools sind GCP Secret Manager, AWS KMS und HashiCorp Vault.
3. GitLab Secret Detection nutzen
   GitLab setzt mehrere Secret-Detection-Funktionen ein, um potenzielle Secrets in GitLab-Repositories zu identifizieren, zu blockieren oder Nutzer zu warnen. Secret Detection überwacht Aktivitäten, um Leaks zu verhindern, und ermöglicht eine Reaktion, falls ein Secret geleakt wurde.

Secret-Detection-Methoden aktivieren

Alle verfügbaren GitLab-Secret-Detection-Methoden sollten aktiviert werden:

• Secret Push Protection scannt Commits beim Pushen von Änderungen zu GitLab. Der Push wird blockiert, falls Secrets erkannt werden, es sei denn, Secret Push Protection wird übersprungen. Diese Methode hilft, das Risiko von Secret-Leaks zu reduzieren.
• Pipeline Secret Detection läuft als Teil der CI/CD-Pipeline eines Projekts. Commits zum Default-Branch des Repositories werden auf Secrets gescannt. Falls Pipeline Secret Detection in Merge-Request-Pipelines aktiviert ist, werden Commits zum Development-Branch auf Secrets gescannt, was eine Reaktion ermöglicht, bevor sie in den Default-Branch committet werden.
• Client-seitige Secret Detection scannt Beschreibungen und Kommentare in Issues und Merge Requests auf Secrets, bevor sie in GitLab gespeichert werden. Falls ein Secret erkannt wird, lässt sich die Eingabe bearbeiten und das Secret entfernen, oder falls es sich um ein False-Positive handelt, die Beschreibung oder den Kommentar speichern.

Die systematische Secret-Erkennung unterstützt beispielsweise auch Compliance-Anforderungen: NIS2 Artikel 21.2(h) fordert angemessene Verschlüsselung, und Artikel 21.2(i) verlangt Zugriffskontroll-Richtlinien. Secret Detection verhindert, dass unverschlüsselte Credentials exponiert werden, und dokumentiert Erkennungen für Audit-Trails. Die automatisierte Überwachung reduziert das Risiko menschlicher Fehler bei der Verwaltung sensibler Zugangsdaten.

Vorgehen bei versehentlichem Leak von Credentials

Im Falle einer versehentlichen Secret-Exposition das exponierte Credential zurücksetzen und Zugriffslogs überprüfen, um Hinweise auf Credential-Missbrauch zu identifizieren. Falls das geleakte Secret ein GitLab Personal Access Token oder ein anderer Secret-Token-Typ war, das Token widerrufen und GitLab-Logs überprüfen auf nicht autorisierte Aktivitäten, die mit dem exponierten Token verbunden sind.

GitLab Duos Security-Fähigkeiten

Die GitLab Security Division nutzt GitLabs integrierte Incidents für Management und Reporting von Security-Incidents. Incidents werden in GitLab bearbeitet, dokumentiert und gelöst, was den Einsatz von KI-getriebenem GitLab Duo als Assistenten bei Security-Operationen wie Incident Response ermöglicht.

Bei der Incident-Analyse und -Berichterstattung unterstützt GitLab Duo Security Teams bei der Dokumentationserstellung und kann beim Lösen von Security-Incidents hilfreich sein.

Die strukturierte Incident-Dokumentation in GitLab Issues erfüllt Audit-Anforderungen für Security-Reporting: NIS2 Artikel 23 verlangt Incident-Meldungen innerhalb von 24 Stunden mit dokumentierten Details zu Auswirkungen, technischen Einzelheiten und Gegenmaßnahmen. GitLab Issues bieten diese Struktur durch Issue-Beschreibungen, Kommentare und Labels, die alle Informationen zentral erfassen. ISO 27001 A.16.1.6 fordert strukturierte Incident-Analyse zur Ursachenidentifikation - die vordefinierten Berichtsabschnitte (Executive Summary, Mitigations & Remediations, Scope & Impact, Cause, Detection Capabilities) gewährleisten vollständige Dokumentation. Diese systematische Erfassung bildet einen lückenlosen Audit-Trail für Compliance-Nachweise.

GitLab Duo Features für Security-Reporting

GitLab Duo bietet viele Features, die Security-Reporting unterstützen:

• Root Cause Analysis: GitLab Duo kann Schwachstellen erklären und den Kontext eines Incident-Issues verstehen, was es zu einem hilfreichen Assistenten für Root-Cause-Analysen von Security-Incidents macht.
• Vulnerability Explanation: Bietet detaillierte Einblicke in identifizierte Schwachstellen, einschließlich potenzieller Exploitation-Methoden und Remediation-Schritten. Dieses Feature unterstützt Entwickler und Security-Analysten beim Verstehen und Adressieren von Security-Problemen.
• Vulnerability Resolution: Unterstützt beim Beheben von Schwachstellen durch Generierung von Merge Requests, die identifizierte Probleme adressieren, und optimiert den Remediation-Prozess.
• Code Explanation: Hilft beim Verstehen spezifischer Code-Segmente durch klare Erklärungen, was besonders bei komplexen oder unbekannten Codebases nützlich ist.
• Test Generation: Ermöglicht frühe Bug-Erkennung durch Generierung von Tests für ausgewählten Code und stellt sicher, dass Security-Schwachstellen zeitnah identifiziert und adressiert werden.
• Refactor Code: Schlägt Verbesserungen oder Refactoring für ausgewählten Code vor, um Qualität und Wartbarkeit zu erhöhen und zu einer sichereren Codebase beizutragen.
• Fix Code: Identifiziert und behebt Qualitätsprobleme wie Bugs oder Tippfehler im ausgewählten Code und hilft, eine robuste und sichere Codebase aufrechtzuerhalten.

Praktische Use Cases

Der systematische Ansatz mit drei strukturierten Use Cases (Incident Reporting, Root Cause Analysis, Executive Updates) adressiert verschiedene Reporting-Anforderungen: Initiale Dokumentation erfasst Incident-Details, Root-Cause-Analyse identifiziert Ursachen systematisch, und Executive Summaries bereiten Information für Management auf. Prompt-Engineering ermöglicht reproduzierbare Reporting-Prozesse mit definierten Abschnitten, die Compliance-Anforderungen erfüllen.

Für die Demonstration praktischer Use Cases hat das Security Incident Response Team einen Dummy-Incident mit folgenden limitierten Informationen erstellt:

Mehrere Kommentare wurden hinzugefügt, wie das Team normalerweise vorgehen würde:

Incident Reporting

GitLab Duo erfasst Informationen aus Incident-Issues vollständig, einschließlich Issue-Beschreibung, Kommentaren und Labels. Bei Security-Incidents verteilen sich Informationen oft über mehrere Quellen und ändern sich im Zeitverlauf. Sie können verloren gehen oder übersehen werden. GitLab Duo kann helfen, relevante Informationen wiederzufinden und präzise Incident-Reports zu erstellen.

Zum Incident-Issue navigieren und GitLab Duo Chat öffnen. Prompts lassen sich so gestalten, dass GitLab Duo exakte Reporting-Anforderungen berücksichtigt, etwa welche Abschnitte benötigt werden und wie sie ausgefüllt werden sollen. Hier ist ein Beispiel des Prompts, den wir bei GitLab Security verwenden:

Required sections:

• Executive Summary - bottom-line-up-front that is adequate for an audience like senior leadership and CISO
• Mitigations & Remediations
• Scope & Impact (Environments, customers, team members)
• Cause
• Detection Capabilities

Based on the issue and the required section, write the security incident report. Flag any missing information.

Unten ist GitLab Duos Output, den wir nutzen können, um unseren umfassenden Incident-Report zu erstellen:

Root Cause Analysis

GitLab Duo kann Schwachstellen erklären und den Kontext eines Incident-Issues verstehen. Diese Fähigkeiten machen GitLab Duo zu einem hilfreichen Assistenten für Root-Cause-Analysen von Security-Incidents.

Wie oben gezeigt, kann GitLab Duo einen eigenen Abschnitt zur Incident-Ursache basierend ausschließlich auf den Issue-Inhalten schreiben. Mit Unterstützung von GitLab Duo lässt sich dies weiter vertiefen, um mehrere Kandidaten für Root Cause(s) zu identifizieren.

Unser Prompt ist wie folgt aufgebaut:

"The root cause of the incident was the exposure of a personal access token in CI job logs. The token was leaked in a project that was not included in the current list of projects for token detection, indicating a gap in the security monitoring process." Name a few potential root causes for a PAT finding itself in CI job logs.

GitLab Duos Response ist folgende:

On-Demand-Updates

Security-Incidents entwickeln sich schnell und können verwirrend sein, und Informationen ändern sich ständig. Incidents mit höherem Schweregrad erfordern ein gewisses Maß an Gründlichkeit beim Reporting an Senior Leadership, besonders wenn die Zielgruppe auf Director+-Ebene ist. Engineers, die mitten in einem Security-Incident arbeiten, kann es schwerfallen, Informationen so zu verdichten, dass sie für Executives verständlich sind.

Wie oben gezeigt, kann GitLab Duo Executive Summaries erstellen. Während ein Incident andauert, müssen regelmäßige Updates an Senior Leadership über Incident-Status und nächste Schritte geliefert werden. GitLab Duo kann auch dabei unterstützen. Falls Informationen über das Issue verteilt sind in Form von Beschreibung oder Kommentaren, kann GitLab Duo helfen, diese Informationen zu einem "bottom-line-up-front" oder BLUF-Summary zusammenzufassen, das wir für Executive Updates benötigen.

Wir haben denselben Incident kurz vor Token-Revocation genommen und GitLab Duo um ein BLUF-Summary gebeten, bei dem die Zielgruppe der Director of Security Operations ist.

Erste Schritte mit GitLab Duo für Security

GitLab Security hat mehrere Teile des Reporting-Prozesses mit GitLab Duo automatisiert. Um zu starten, ist lediglich Zugriff auf GitLab Duo Chat erforderlich. GitLab Duo Chat kann ein gut informierter Assistent für viele Security-Reporting-Fälle und Post-Mortem-Analysen sein.

Wie geht es weiter mit GitLab Duo?

GitLab ist committed, GitLab Duos Fähigkeiten kontinuierlich zu erweitern. Künftige Entwicklungen zielen darauf ab, KI-getriebene Features tiefer in Security-Workflows zu integrieren, proaktive Erkennung und Behebung von Schwachstellen bereitzustellen, Incident Management zu optimieren und umfassende Reporting-Tools anzubieten. Diese Weiterentwicklungen werden Security Teams weiter befähigen, robuste Security-Positionen aufrechtzuerhalten und effektiv auf neue Bedrohungen zu reagieren.

GitLab Duo kostenlos testen!

GitLab migriert Compliance Pipelines zu Security Policies, um Governance-Kontrollen zu vereinheitlichen und ein einheitlicheres, flexibleres System für die Durchsetzung von Security- und Compliance-Jobs bereitzustellen.

User wünschen die Kombination der Flexibilität von Compliance Pipelines mit der Einfachheit und Vielseitigkeit von Security Policies. Das neue Feature Pipeline Execution Policies ermöglicht die Durchsetzung angepasster CI/CD-Jobs für alle Projekte. Pipeline Execution Policies bieten ähnliche Funktionen wie Compliance Pipelines, mit verstärktem Fokus auf Compliance-Durchsetzung, Flexibilität und einer Basis für zukünftige Anwendungsfälle.

Compliance Pipelines wurden in Version 17.3 deprecated, da Pipeline Execution Policies verfügbar sind. Stand Version 18.7: Die Migration läuft, finale Entfernung in Version 19.0 geplant.

Die Migration erfolgt in vier Phasen von Version 17.3 bis 19.0 (ca. 18 Monate). Der strukturierte Zeitplan ermöglicht Planungssicherheit: Deprecation-Ankündigung (17.3), Migrations-Workflow (17.5), Warnungen bei neuen Pipelines (17.8), finale Entfernung (19.0). Die schrittweise Einführung reduziert Migrationsrisiken durch Test-Möglichkeiten vor finaler Entfernung.

Migration von Compliance Pipelines zu Pipeline Execution Policies

Zwei Wege ermöglichen den Zugriff auf den Migrations-Workflow von Compliance Pipelines zu Pipeline Execution Policies:

1. Bei der Erstellung eines neuen Compliance-Frameworks erscheint ein Warnungs-Banner, der die Nutzung von Pipeline Execution Policy Type anstelle von Compliance Frameworks ermöglicht.
2. Bei der Bearbeitung eines bestehenden Compliance-Frameworks erscheint ein Warnungs-Banner, der die Migration der Compliance Pipeline zu Pipeline Execution Policy Type ermöglicht – sofern eine Compliance Pipeline konfiguriert ist.

Die Auswahl von „Create policy" oder „Migrate pipeline to a policy" in beiden Workflows führt zur Seite „New policy" im Bereich „Security Policies". Dies ermöglicht die Erstellung einer neuen Security Policy anstelle einer Compliance Pipeline.

Mehr Details zu Pipeline Execution Policies in der Dokumentation. Die Compliance Management-Seite zeigt Policy-basierte Funktionen neben Compliance-Frameworks.

Die Migration umfasst drei Schritte:

1. Auswahl von „Create policy" oder „Migrate pipeline to a policy" im Warnungs-Banner
2. Konfiguration der neuen Pipeline Execution Policy:
   • Policy-Name und -Beschreibung
   • Alle Zweige (Standard) oder spezifische Zweige
   • In der YAML-Pipeline-Vorlage die Compliance-Pipeline-YAML-Definition einfügen
3. Finalisierung und Erstellung der Policy

Die Policy wird allen Projekten zugewiesen, die im Compliance-Framework enthalten sind, und führt alle in der YAML-Datei definierten Schritte aus, sobald Pipelines in diesen Projekten ausgeführt werden.

Zukünftige Entwicklungen bei Pipeline Execution Policies

Diese Epic beschreibt zusätzliche Anwendungsfälle für Pipeline Execution Policies sowie Improvements zur Vereinfachung der Policy-Erstellung. Die Features in dieser Epic bilden die Basis für zukünftige Funktionen. Diese Policy-Funktionen werden nur für Pipeline Execution Policy verfügbar sein und nicht zu Compliance Pipelines hinzugefügt.

Die Entwicklung neuer Anwendungsfälle und Funktionen in Compliance Pipelines wird gestoppt. Stattdessen liegt der Fokus auf der Erweiterung und Verbesserung von Pipeline Execution Policies. Bei Interesse an neuen Funktionen für Compliance-Kontrollen im Issue kommentieren.

Unsere umfassende Studie mit 13 Nutzer(inne)n agentischer Tools aus Unternehmen verschiedener Größen hat gezeigt, dass die Adoption durch "Mikro-Wendepunkte" erfolgt – subtile Designentscheidungen und Interaktionsmuster, die schrittweise das Vertrauen aufbauen, das Entwickler(innen) benötigen, um sich in ihren täglichen Workflows auf KI-Agenten zu verlassen. Diese Erkenntnisse sind entscheidend für Organisationen, die KI-Agenten in ihre DevSecOps-Prozesse einbinden.

Traditionelle Software-Tools verdienen sich Vertrauen durch vorhersehbares Verhalten und konstante Leistung. KI-Agenten hingegen arbeiten mit einem Grad an Autonomie, der Unsicherheit einführt.

Unsere Forschung zeigt, dass Nutzer(innen) sich nicht durch einzelne "Aha"-Momente von KI-Tools begeistern lassen. Stattdessen entwickeln sie Vertrauen durch angesammelte positive Mikro-Interaktionen, die zeigen, dass der Agent ihren Kontext versteht, ihre Leitplanken respektiert und ihre Workflows eher verbessert als stört.

Dieser schrittweise Vertrauensaufbau ist besonders kritisch in DevSecOps-Umgebungen, in denen Fehler Produktionssysteme, Kundendaten und Geschäftsabläufe beeinträchtigen können. Jede kleine Interaktion verstärkt oder untergräbt das Fundament des Vertrauens, das für produktive Mensch-KI-Zusammenarbeit notwendig ist.

Vier Säulen des Vertrauens in KI-Agenten

Unsere Studie identifizierte vier Schlüsselkategorien von Mikro-Wendepunkten, die Nutzervertrauen aufbauen:

Handlungen absichern

Vertrauen beginnt mit Sicherheit. Nutzer(innen) brauchen die Gewissheit, dass KI-Agenten keinen irreversiblen Schaden an ihren Systemen verursachen. Wesentliche Sicherheitsvorkehrungen umfassen:

• Bestätigungsdialoge für kritische Änderungen: Bevor Operationen ausgeführt werden, die Produktionssysteme beeinträchtigen oder Daten löschen könnten, sollten Agenten pausieren und explizite Genehmigung einholen
• Rollback-Möglichkeiten: Nutzer(innen) müssen wissen, dass sie Agentenaktionen rückgängig machen können, wenn etwas schiefgeht
• Sichere Grenzen: Für Organisationen mit Compliance-Anforderungen müssen Agenten Datenresidenz- und Sicherheitsrichtlinien ohne ständige manuelle Aufsicht respektieren

Transparenz bieten

Nutzer(innen) können dem nicht vertrauen, was sie nicht verstehen können. Effektive KI-Agenten wahren Sichtbarkeit durch:

• Echtzeit-Fortschrittsaktualisierungen: Besonders wichtig, wenn Nutzeraufmerksamkeit benötigt werden könnte
• Aktionserklärungen: Vor der Ausführung hochriskanter Operationen sollten Agenten ihren geplanten Ansatz klar kommunizieren
• Klare Fehlerbehandlung: Wenn Probleme auftreten, brauchen Nutzer(innen) sofortige Warnungen mit verständlichen Fehlermeldungen und Wiederherstellungspfaden

Diese Transparenz verwandelt KI-Agenten von mysteriösen Black Boxes in verständliche Partner, deren Logik Nutzer(innen) nachvollziehen und verifizieren können.

Kontext erinnern

Nichts untergräbt Vertrauen schneller, als einem KI-Agenten wiederholt dieselben Informationen beibringen zu müssen. Vertrauensbildende Agenten zeigen Gedächtnis durch:

• Präferenzbeibehaltung: Akzeptieren und Anwenden von Nutzerfeedback über Programmierstile, Deployment-Muster oder Workflow-Präferenzen
• Kontextbewusstsein: Erinnern früherer Anweisungen und projektspezifischer Anforderungen
• Anpassungsfähiges Lernen: Weiterentwicklung basierend auf Nutzerkorrekturen ohne explizite Neuprogrammierung

Unsere Forschungsteilnehmer betonten durchweg die Frustration mit Tools, die sich nicht an grundlegende Präferenzen erinnern konnten und sie zwangen, immer wieder dieselbe Anleitung zu geben.

Bedürfnisse antizipieren

Vertrauen entsteht, wenn KI-Agenten proaktiv die Workflows der Nutzer(innen) unterstützen. Agenten könnten den Nutzer(innen) auf folgende Weise unterstützen:

• Mustererkennung: Nutzerroutinen lernen und Aufgaben basierend auf Tageszeit oder Projektkontext vorhersagen
• Intelligente Agentenauswahl: Automatisch erkennen, welche spezialisierten Agenten für bestimmte Aufgaben am relevantesten sind
• Umgebungsanalyse: Programmierumgebungen, Abhängigkeiten und Projektstrukturen ohne explizite Konfiguration verstehen

Diese antizipierenden Fähigkeiten verwandeln KI-Agenten von reaktiven Tools in proaktive Partner, die die kognitive Belastung reduzieren und Entwicklungsprozesse optimieren.

Vertrauensbildende Funktionen implementieren

Für Organisationen, die KI-Agenten einsetzen, schlägt unsere Forschung mehrere praktische Implementierungen vor:

• Mit risikoarmen Umgebungen beginnen: Ermögliche es Nutzer(inne)n, Vertrauen schrittweise aufzubauen, indem du mit unkritischen Aufgaben beginnst. Wenn das Vertrauen durch positive Mikro-Interaktionen wächst, erweitern Nutzer(innen) natürlich ihre Abhängigkeit von KI-Fähigkeiten.
• Für kontinuierliche Orchestrierung von Agenten designen, die Intervention einschließt: Im Gegensatz zu traditioneller Automatisierung sollten KI-Agenten wissen, wann sie pausieren und menschlichen Input einholen müssen. Diese Intervention versichert den Nutzer(inne)n, dass sie die ultimative Kontrolle behalten, während sie von KI-Effizienz profitieren. Agenten benötigen auch Autonomie-Level-Kontrollen, damit sie die Autonomie für verschiedene Arten von Aktionen in verschiedenen Kontexten kalibrieren können.
• Audit-Trails aufrechterhalten: Jede Agentenaktion sollte nachvollziehbar sein, sodass Nutzer(innen) nicht nur verstehen können, was passiert ist, sondern auch warum der Agent spezifische Entscheidungen getroffen hat.
• Die Erfahrung personalisieren: Agenten, die sich an individuelle Nutzerpräferenzen und Team-Workflows anpassen, schaffen stärkere Vertrauensbindungen als Einheitslösungen.

Der zusammengesetzte Einfluss von Vertrauen

Unsere Studie zeigt, dass Vertrauen in KI-Agenten einem zusammengesetzten Wachstumsmuster folgt. Jede positive Mikro-Interaktion macht Nutzer(innen) etwas mehr bereit, sich für die nächste Aufgabe auf den Agenten zu verlassen. Im Laufe der Zeit erwächst aus diesen kleinen Erfahrungen großes Vetrauen, das KI-Agenten von experimentellen Tools in unverzichtbare Entwicklungspartner verwandelt.

Dieser Vertrauensaufbauprozess ist heikel – ein einzelner bedeutender Fehler kann Wochen angesammelten Vertrauens auslöschen. Deshalb ist Konsistenz in diesen Mikro-Wendepunkten entscheidend. Jede Interaktion zählt.

Die Unterstützung dieser Mikro-Wendepunkte ist ein Eckpfeiler dafür, dass Software-Teams und ihre KI-Agenten unternehmensweit mit intelligenter Orchestrierung zusammenarbeiten.

Nächste Schritte

Vertrauen in KI-Agenten aufzubauen erfordert durchdachtes Design, das auf Nutzerbedürfnisse und -bedenken fokussiert ist.

Organisationen, die agentische Tools implementieren, sollten:

• Ihre KI-Agenten auf vertrauensbildende Mikro-Interaktionen prüfen
• Transparenz und Nutzerkontrolle im Agentendesign priorisieren
• In Gedächtnis- und Lernfähigkeiten investieren, die negative Interaktionen reduzieren
• Klare Eskalationspfade schaffen für Situationen, in denen Agenten auf Unsicherheit stoßen

Wichtige Erkenntnisse

• Vertrauen in KI-Agenten baut sich schrittweise durch Mikro-Wendepunkte auf, nicht durch gewaltige Durchbrüche
• Vier Schlüsselkategorien treiben Vertrauen an: Handlungen absichern, Transparenz bieten, Kontext erinnern und Bedürfnisse antizipieren
• Kleine Designentscheidungen in KI-Interaktionen haben zusammengesetzte Effekte auf Nutzeradoption und langfristige Abhängigkeit
• Organisationen müssen absichtlich für Vertrauen durch konsistente, positive Mikro-Interaktionen designen

Sag uns, was dir wichtig ist: Deine Erfahrungen sind unschätzbar wertvoll bei unserer Gestaltung von agentischen Interaktionen. Tritt unserem Forschungspanel bei, um an kommenden Studien teilzunehmen.

Erkunde GitLabs Agenten in Aktion: Die GitLab Duo Agent Platform erweitert die Geschwindigkeit von KI über das reine Programmieren hinaus auf deinen gesamten Software-Lebenszyklus. Mit deinen Workflows, die die Regeln definieren, deinem Kontext, der organisatorisches Wissen aufrechterhält, und deinen Leitplanken, die Kontrolle sicherstellen, können Teams orchestrieren, während Agenten über den SDLC hinweg ausführen. Besuche die GitLab Duo Agent Platform Seite, um zu entdecken, wie intelligente Orchestrierung deine DevSecOps-Reise transformieren kann.

Egal ob du Agenten zum ersten Mal erkundest oder deine bestehenden Implementierungen optimieren möchtest, wir glauben, dass das Verstehen und Designen für Vertrauen der Schlüssel zu erfolgreicher Adoption ist. Lass uns diese Zukunft gemeinsam aufbauen!