开源 DevOps 巨头 GitLab 在 18.10 和 18.11 版本更新中彻底重构了其 DevSecOps 平台的计费逻辑,正式废除按 Token 计费模式,转而采用统一的每次审查 0.25 美元固定费率。这一举措旨在解决竞争对手高昂定价导致的审查资源分配不均问题,同时赋予管理员严格的月度积分预算上限。随着 2026 年初 Duo Agent Platform 的正式落地,GitLab 试图通过这一“封顶”策略打破开发者日益严重的代码审查延误循环。
告别 Token 计费,拥抱固定费率
在软件交付速度呈指数级增长的今天,代码审查(Code Review)正成为阻碍工程团队效率的最大瓶颈之一。根据 GitLab 内部报告,使用 AI 编码工具的公司中,代码审查时间平均增加了 91%。在大型企业中,一名普通工程师在请求合并代码前,往往需要等待长达 13 小时的审查时间。这种“开发越快,审查越慢”的矛盾循环,迫使 GitLab 在 2026 年 4 月发布的 18.10 和 18.11 版本中,对其自动化代码分析的定价机制进行了颠覆性调整。
此次更新的核心在于彻底摒弃了行业内流行的“按 Token 计费”模式。竞争对手普遍采用这种策略,单次代码审查的费用高达 15 至 25 美元。这种高昂的边际成本产生了一种扭曲的激励结构:团队倾向于将有限的 AI 审查资源优先分配给所谓的“最重要”变更,而忽略那些规模较小或风险看似较低的代码变动。其结果往往是大量小任务堆积,最终导致审查队列的彻底瘫痪。 - afhow
GitLab 的新策略则是将每次自动化代码审查的单价统一设定为 0.25 美元。无论合并请求的规模是几行代码还是数千行,无论其复杂度如何,费用始终保持不变。GitLab 认为,这一价格结构消除了团队跳过审查的经济理由。即使是最微小的变更,其审查成本也极其低廉,这使得开发人员有充分的动力让每一次提交都经过 AI 的严格把关。这种“一视同仁”的定价逻辑,旨在从经济层面重塑团队的审查习惯,确保安全网没有漏洞。
对于依赖 AI 工具进行安全扫描的企业而言,这一变化意味着成本的可预测性大幅提升。过去,随着项目规模的扩大,Token 消耗量的激增会导致账单呈非线性增长,迫使团队在预算压力下进行资源紧缩。现在,GitLab 通过固定费率将成本与代码行数解绑,转而与实际的安全审查次数挂钩。这不仅简化了财务规划,更重要的是,它确保了 AI 安全能力能够平等地覆盖到每一个项目,而不是仅仅服务于那些预算充足或 Token 消耗巨大的核心项目。
当然,这一转变也引发了关于市场竞争格局的讨论。按 Token 计费的模式虽然高端,但在处理海量小批量代码流转时显得笨重且昂贵。GitLab 的固定费率更像是一种针对现代敏捷开发节奏的定制化方案。它承认了现代软件工程中“小步快跑”的常态,并试图通过价格杠杆来推动这种工作模式的规范化。对于工程经理来说,这意味着不再需要花费精力去优化 Token 使用量,而是可以将注意力完全集中在代码质量和安全合规上。
管理员的新武器:硬性预算上限
尽管固定费率降低了单次审查的成本,但在 AI 编码工具普及的背景下,审查次数的总量依然可能急剧上升。如果没有相应的控制机制,月度账单可能会出现意外激增。为了解决这一潜在风险,GitLab 在 18.11 版本中引入了更为精细的预算控制功能,赋予了管理员前所未有的掌控力。
新的控制措施主要通过两个层面实现。首先,计费账户管理员可以为整个订阅设置每月的硬性积分限额。这是一个强制性的上限,一旦达到该数值,相关的自动化 AI 审查流程将立即停止,直到下一个计费周期开始或管理员手动调整。其次,平台管理员可以为团队中的每一位用户单独设置积分额度。这种双重控制结构既适合整体预算规划,也适合针对个人的精细化成本管理。
这种“封顶”模式(Cap Model)与传统的基于席位的许可模式形成了鲜明对比。在席位许可模式下,无论用户是否使用工具,或者使用了多少,企业都需要支付固定的席位费用。虽然这提供了收入的可预测性,但在 AI 这样按需使用且消耗波动巨大的场景下,它往往掩盖了实际的使用情况。GitLab 指出,许多采用席位许可的供应商实际上是在席位费之外增加了高级套餐或超额使用收费,这反而削弱了席位许可本应提供的成本确定性。
GitLab 的硬性积分上限直接解决了这一问题。它提供了一种类似“断路器”的机制,防止繁忙月份产生意料之外的开支。对于拥有多个团队的组织来说,这意味着财务部门可以明确知道每月的最大 AI 支出,而无需担心某个重度用户或某个突发性的安全扫描任务耗尽整个组织的预算。此外,它还避免了“少数人消耗全队资源”的现象,通过用户级限额防止个别重度使用者在月底前用光团队额度。
值得注意的是,这种预算控制功能不仅适用于 GitLab.com 的订阅用户,也完全支持自托管部署。这意味着那些对数据隐私要求极高、选择将 GitLab 部署在本地基础设施上的大型企业,同样可以享受到这一灵活的计费管理工具。对于正在评估 AI 工具成本效益的 CIO 来说,这种透明度和控制力是做出采购决策的关键因素。
Duo 平台的免费准入与组级管理
随着定价策略的调整,GitLab 也在努力降低 AI 安全工具的准入门槛。一个显著的举措是,GitLab.com 的免费用户现在可以通过购买 GitLab 积分来使用 Duo Agent Platform。这一平台早在 2026 年 1 月就已正式发布,但此前可能受限于特定的许可模式。现在的积分购买模式标志着 AI 功能向更广泛用户群体的开放。
积分的分配机制也发生了根本性的变化:从按席位(Per Seat)分配转变为按组(Per Group)分配。在传统模式下,企业需要为每一位工程师购买许可,这往往导致许多用户因为成本原因而无法充分使用工具。而在新的组级模式下,团队无需为个人单独分配许可,而是根据整个团队的需求购买积分池。这种模式更加灵活,能够适应团队中人员流动、项目波动的实际情况。
为了配合这种组级管理,GitLab 为组所有者提供了一个详细的使用情况仪表盘。该仪表盘清晰地展示了哪些代理(Agents)和自动化流程正在消耗积分,以及具体的消耗速率。这使得团队负责人能够实时监控 AI 资源的使用效率,防止资源浪费。如果某个自动化流程异常消耗积分,管理员可以立即识别并排查原因。
对于想要尝试 Duo Agent Platform 但尚未准备好全面部署免费用户的企业来说,这种模式提供了一种低风险的试水方式。团队可以根据实际的业务需求购买适量积分,无需承担庞大的席位许可费用。同时,这也鼓励了中小团队采用 AI 辅助的安全工具,因为组级购买模式消除了为每个成员单独开户的繁琐手续。
从误报泛滥到精准防御
在安全领域,AI 工具是一把双刃剑。虽然它们能自动发现大量潜在漏洞,但也经常产生大量的误报(False Positives)。当安全团队被海量不准确的警报淹没时,他们往往会感到挫败,最终选择忽略警报,导致真正的漏洞得不到及时处理。GitLab 18.10 版本推出的一项正式发布功能,直接针对这一痛点进行了优化。
该功能面向 Ultimate 客户,在 Duo Agent Platform 执行静态分析扫描(SAST)后,会对新发现的“关键”和“高严重性”问题进行误报可能性评分。Duo Agent Platform 会利用其 AI 模型分析漏洞上下文,计算出一个评分,并将其直接显示在漏洞报告中。这并非一个自动化的修复机制,而是一个辅助决策的参考指标。
安全团队的职责依然是最终决定哪些警报需要处理,哪些可以安全地忽略。但有了误报评分,他们的决策过程变得更加高效和自信。高误报评分的警报可以更快地被过滤掉,从而将宝贵的人力集中在那些真正高风险的问题上。这一功能承认了 AI 在安全领域目前仍存在的局限性,并试图通过增强人机协作(Human-in-the-loop)来弥补这一短板。
这种“评分而非自动化”的设计哲学体现了 GitLab 对安全流程的深刻理解。完全依赖 AI 自动修复漏洞在大多数复杂的企业环境中是不可行的,且可能引入新的风险。相反,通过 AI 提供情报,由人类专家做出最终判断,是目前最务实的路径。对于安全运营中心(SOC)而言,能够区分噪声和信号的能力,是提升整体安全工作成熟度的关键。
Google Vertex AI 的深度整合
除了内部的定价和管控改革,GitLab 在 18.11 版本中还加强了与外部云服务生态的集成,特别是与 Google Cloud 的合作。新增的集成允许客户选择 Google 的 Vertex AI 作为其 AI 推理环境。当客户做出这一选择时,模型调用将通过 GitLab AI Gateway 智能路由至 Vertex AI。
这一集成的最大价值在于成本结构的优化。对于已经在使用 Google Cloud 的组织而言,将 AI 开发工具的使用纳入现有的云服务协议(Cloud Agreement)中,意味着不再需要单独设立一个费用类别或进行复杂的跨账单结算。这不仅简化了财务管理,还可能带来一定的成本节约,特别是在企业已经与 Google Cloud 签订了长期框架协议的情况下。
尽管引入了这种按需路由机制,但 GitLab 依然保留了订阅级的预算限额。这意味着即使用户选择了 Vertex AI 作为推理后端,组织层面的积分上限依然有效。这种设计确保了无论底层模型来自哪里,企业都能保持对总支出的控制。对于正在评估多云策略或希望利用特定云厂商 AI 能力的团队来说,这种灵活性是一个重要的加分项。
此外,Vertex AI 在自然语言处理和大型语言模型推理方面处于领先地位,将其集成到 GitLab 中,理论上可以显著提升 AI 代码审查的准确性和上下文理解能力。虽然具体的性能提升数据尚未完全公开,但这一战略选择表明 GitLab 正积极拥抱大模型时代的技术红利,并试图通过云原生集成来降低企业采用先进 AI 能力的门槛。
社区反馈与未来的不确定性
GitLab 的这次大刀阔斧的改革在社区内部引发了不同的声音。在 Reddit 的 GitLab 社区中,至少有一名用户反映,一位销售代表曾透露 Duo Pro 和 Duo Enterprise 许可将逐步被淘汰,积分模式将取而代之。这一消息引发了部分用户的担忧,特别是那些已经购买了长期固定席位许可的企业,他们担心现有的合同条款将如何被处理,以及这种向“按需付费”模式的转变是否会带来长期的成本波动。
另一方面,咨询机构 GitLab Consulting UK 对 18.11 版本的预算控制功能表示欢迎。他们认为,特别是对于使用 Vertex AI 集成的大型组织而言,这种控制措施至关重要,因为这些组织的资源消耗可能会迅速增加且难以预测。硬性积分上限提供了一种安全网,防止了预算失控的风险。
GitLab 尚未公布关于固定费率审查模式的大规模采用数据,因此该模式在真实世界中对团队行为的具体影响尚有待观察。虽然理论上它可以鼓励更频繁的审查,但在实践中,开发人员可能会因为觉得审查成本太低而过度依赖 AI,或者因为缺乏明确的激励而减少审查。GitLab 正在试图通过价格机制来引导行为,这种尝试是积极的,但其最终效果将取决于企业在实际操作中的反馈和适应过程。
无论社区如何讨论,GitLab 显然已经下定决心改变现状。面对代码审查积压这一行业顽疾,简单的修补已经不够,必须通过定价、预算控制和流程优化等组合拳来从根本上解决问题。随着 18.10 和 18.11 版本的全面落地,我们将看到这一策略在更多企业中的实际表现。
常见问题
GitLab 的固定费率定价模式具体是如何计算的?
GitLab 的新定价模式非常简单直接:每次自动化代码审查统一收取 0.25 美元。这一费用与合并请求(MR)的代码行数、复杂度或规模无关。无论是一次单行的代码修改,还是一个包含数千行新代码的大型重构,其 AI 审查的成本都是相同的。这种固定费率旨在消除“按 Token 计费”模式下团队因成本顾虑而跳过审查的倾向,鼓励对所有变更进行安全审查。此外,GitLab 提供了月度积分限额功能,管理员可以设定团队或个人的最高消费额度,一旦达到上限,审查服务将暂停,直到下一个周期或额度调整。
现有的席位许可用户需要担心合同变更吗?
目前,GitLab 尚未正式宣布取消 Duo Pro 和 Duo Enterprise 等现有席位许可模式,但社区中有传言称未来将向积分模式转型。对于已签署长期合同的企业,现有的合同条款通常具有法律约束力,因此短期内不会有强制变更。然而,为了应对 AI 工具日益增长的消耗,建议企业密切关注 GitLab 的官方公告。如果未来真的转向按需付费,企业可能需要重新评估其预算规划策略,从“固定席位成本”转向“可变使用成本”的模型,并充分利用新推出的硬性积分预算控制功能来管理支出。
免费用户如何获得 AI 审查功能?
GitLab.com 的免费用户现在可以通过购买 GitLab 积分来使用 Duo Agent Platform。积分是按组(Group)分配的,而不是按用户席位分配。这意味着团队可以根据实际需要使用积分池,而无需为每个成员单独购买许可。组所有者可以通过仪表盘监控积分消耗情况,确保资源使用在预算范围内。这种模式降低了中小团队使用高级 AI 安全工具的门槛,使得 AI 辅助的代码审查不再仅仅是付费客户的专属功能。
新的误报检测功能如何帮助安全团队?
GitLab 18.10 版本为 Ultimate 客户引入了 SAST 误报检测功能。该功能在静态分析扫描后,会对发现的“关键”和“高严重性”漏洞进行误报可能性评分。这个评分由 Duo Agent Platform 提供,作为安全团队决策的参考依据。它帮助团队快速识别哪些警报可能是误报并予以忽略,从而将精力集中在真正的安全威胁上。这有效缓解了因警报疲劳(Alert Fatigue)导致的安全漏洞被忽视的问题,提升了整体安全运营的效率。
作者
李明,资深 DevOps 架构师与行业观察者,专注于开源基础设施与云原生安全领域。他在互联网大厂担任技术总监超过 15 年,期间主导了多个核心研发平台的架构演进,并深度参与了开源社区的治理讨论。他近期致力于研究 AI 在软件工程中的应用边界,特别是自动化安全工具在实际生产环境中的效能与成本平衡问题。他的观点常出现在国内多家科技媒体的技术专栏中。