KI-Agenten im Einsatz: Der moderne SDLC mit GitLab Duo Agent Platform

Während KI die Softwareentwicklung in einigen Unternehmen komplett umkrempelt, setzen andere noch gar keine KI ein. Als Grund werden dann oft Compliance und Regulierung angegeben.

Natürlich ist klar, dass man im Bereich von Gesundheit, Finanzen, kritischer Infrastruktur usw. nicht einfach auf „Vibe Coding“ umstellen kann (sollte man übrigens nirgendwo). Trotzdem lassen sich viele Prozesse mit KI unterstützen und die Technologie lässt sich schrittweise und kontrolliert ausrollen.

In diesem Artikel wollen wir uns zuerst einmal ansehen, welche Möglichkeiten uns die Duo Agent Platform von GitLab für den Einsatz von KI entlang des gesamten SDLC bietet.

Wie der Name Duo Agent Platform (DAP) schon sagt, bietet GitLab eine Plattform für agentenbasierte KI, direkt in GitLab. Neben dem Chat gibt es auch Agenten, die im Hintergrund Aufgaben erledigen, oder integrierte Features, die auf Knopfdruck (bzw. Klick) bereitstehen. 

Die Vorstellung der Features orientiert sich am SDLC, daher beginnen wir mit der Definition von Anforderungen.

KI für Planung und Refinement

DAP enthält einen Planner Agent, der darauf optimiert ist, Tickets zu schreiben, Aufgaben zu zerlegen und Anforderungen zu definieren. So kann er beim Schreiben von Issues unterstützen und Aufgaben klar beschreiben – und somit die Grundlage für die Umsetzung durch KI (oder Menschen) schaffen. Größere Aufgaben wie die Analyse und Priorisierung eines sehr großen Backlogs können so ebenfalls effizient unterstützt werden.

Auch innerhalb von Issues (GitLab bietet neuerdings auch deutlich flexiblere „Work Items“) gibt es hilfreiche Funktionen wie das Zusammenfassen des Inhalts (inklusive aller Kommentare) mittels eines einfachen Button-Klicks. Das spart den Umweg über einen separaten Chat, das Schreiben von Prompts oder das mühsame Erklären des Kontextes. Agenten innerhalb von GitLab haben bereits Zugriff auf den Kontext und können so zielgerichtet arbeiten.

Lange Diskussionen in Epics oder anderen Issues einfach auf Knopfdruck zusammenfassen lassen.

KI in der Implementierung

Bei der Umsetzung von Implementierungsaufgaben helfen Agentic Chats und Flows, die auch lokal in der IDE ausgeführt werden können. Wer es erstmal langsamer angehen will, kann natürlich auch KI-basierte Code Completion nutzen. Ansonsten ist die aktuell gängige Praxis, den Agenten mit der selbstständigen Umsetzung zu beauftragen, wobei er direkt Änderungen am Code vornimmt.

Noch einen Schritt weiter geht die Nutzung von Flows. Hier kann man beispielsweise im Issue direkt per Button-Klick eine Implementierung starten, die dann in einem Merge Request resultiert.

Die Umsetzung eines Issues mittels KI lässt sich auch ganz einfach anstoßen.

Neben dem Schreiben von Code hilft KI auch beim Recherchieren, womit Entwickler bisher einen wesentlichen Teil ihrer Zeit verbrachten. Statt im Internet zu suchen, Kollegen zu fragen, Chats zu durchsuchen und Doku zu lesen, kann einfach der KI Chat gefragt werden.

Der unschlagbare Vorteil von GitLab: Als zentrale Plattform integriert es diese KI-Features nahtlos. So kann man den Chat auch direkt in der Web-UI nutzen und benötigt keine lokal installierten Tools. Damit kommt die KI auch Product Ownern, Scrum-Mastern, Projektleitern und allen anderen zugute, die keine Entwicklungsumgebung haben. Dank Agentic Chat können auch hier Dateien gelesen und geschrieben, sowie Commits und Merge Requests erstellt werden – auch das ganz ohne lokale Entwicklungsumgebung.

In der Web-UI steht ein Agentic Chat zur Verfügung und es können verschiedene Agenten und Modelle ausgewählt werden. Außerdem kennt der Agent die aktuell geöffnete Seite und bezieht sie in seinen Kontext ein. Im Bild rechts zu sehen: Der Chat wurde auf einer Merge Request Seite geöffnet.

Durch die zentrale Plattform stehen dem Agenten für die Erledigung seiner Aufgabe alle Informationen zur Verfügung, von Code-Historie über Issues bis hin zu anderen offenen Merge Requests, Pipeline Logs usw. Mit „Orbit“ hat GitLab zudem einen expliziten Knowledge Graph gebaut, der sehr zielgerichtet Kontext bereitstellen kann und somit Kontextverschwendung und Halluzinationen reduziert.

KI für Code Review

Eine sehr große Hilfe ist die KI beim Reviewen von Merge Requests. Durch ein einfaches Assignment wird der Review Flow getriggert. Der Vorteil hier ist auch hier wieder, dass die Plattform viel Kontext bereitstellt und beispielsweise inhaltliche oder stilistische Konflikte mit anderen Merge Requests erkannt werden können, bevor einer von beiden gemergt wurde. Der Review Agent schreibt Kommentare und macht Verbesserungsvorschläge. So werden die Grundlagen bereits gründlich geprüft und können korrigiert werden, bevor das finale Review durch einen Menschen stattfindet.

Weist man Duo einen Merge Request zu, dann wird dieser geprüft.

KI-Unterstützung für Security

Auch für verschiedene Security-Aspekte bietet die Duo Agent Platform Unterstützung an. Es gibt einen eigenen Security-Analyst-Agenten, welcher darauf spezialisiert ist, Security Issues zu analysieren und zu priorisieren. Er kann False-Positive-Analysen durchführen, Reports erstellen und Risiken bewerten. Es lassen sich auch direkt Issues für die menschliche Bewertung, z. B. durch Spezialisten oder die Behebung der Probleme erzeugen.

Die False Positive Detection lässt sich auch direkt automatisch im Hintergrund ausführen. Sobald die Scanner neue Sicherheitslücken (Vulnerabilities) melden, findet automatisch eine Analyse und Bewertung durch die KI statt und es wird eine Wahrscheinlichkeit für False Positives ausgegeben. Diese proaktive Arbeitsweise spart Zeit und verringert den Aufwand bei der Bewertung von Vulnerabilities.

Auch das Beheben der Vulnerabilities mittels KI wird unterstützt. Genau wie bei der Implementierung von neuen Anforderungen entsteht dabei ein Merge Request, der die Änderungen bereitstellt und geprüft werden kann.

Das Beheben von Vulnerabilities mittels AI Agent lässt sich ebenfalls mit einem einfachen Klick starten.

Weitere Unterstützung im SDLC

Es gibt natürlich noch weitere Features, die den Entwicklungsprozess unterstützen können, wie beispielsweise die automatische Fehlerbehebung von Pipeline-Fehlern (natürlich auch wieder auf Knopfdruck).

Zusätzlich zu Chat und direkt integrierten Funktionen lassen sich auch eigene Agenten definieren, die speziell auf das eigene Unternehmen ausgerichtete Workflows abbilden können. Diese eigenen Agenten und Flows lassen sich über das Assignment von Issues oder Merge Requests starten oder können auf Events wie fehlgeschlagene Pipelines reagieren. GitLab arbeitet an der Bereitstellung weiterer Trigger.

Eigene Agenten können dann in einem Katalog für die gezielte Wiederverwendung bereitgestellt werden. Bei Bedarf können auch Agenten aus dem öffentlich verfügbaren Katalog genutzt werden, sodass man von den Erfahrungen anderer profitieren kann.

Fazit

Während die Generierung von Sourcecode inzwischen weit verbreitet ist, stellt sich der gewünschte Geschwindigkeitsgewinn oft nicht ein. Dies liegt an der fehlenden Anpassung der Prozesse drumherum: Die Anforderungen kommen nicht schnell genug, die Reviews blockieren die Auslieferung und manuelle Tests und Abnahmen sind auf die menschliche Entwicklungsgeschwindigkeit optimiert.

Die Duo Agent Platform bietet hier eine gute Möglichkeit zur Nutzung von KI im Unternehmen. Durch die tiefe Integration in die bestehende DecSecOps-Plattform kann der gesamte Entwicklungszyklus unterstützt und die Geschwindigkeit insgesamt erhöht werden, nicht nur bei der Codegenerierung. Integrierte Funktionen nutzen KI auf Knopfdruck und reduzieren den manuellen Prompting-Aufwand.

Gleichzeitig zögern Unternehmen bei der Nutzung von KI, da sie Sicherheitslücken, Compliance-Verstöße und andere Probleme befürchten.

Daher werden wir im nächsten (und letzten) Teil der Serie auf die folgenden Fragen näher eingehen:

Wie kann die Nutzung von KI durch Governance-Funktionen, Berechtigungsmodell und Human-in-the-Loop zentral gesteuert und Risiken minimiert werden?  Wie spielen die Nutzung von KI und der Compliance-orientierte SDLC aus dem ersten Artikel zusammen? Und wie könnte sich die Softwareentwicklung in Zukunft gestalten?