[G1-Sync] Manual knowledge update

2026-05-10 22:08:15 +09:00
parent 21ac3ed255
commit 504fd5fb42
3011 changed files with 380280 additions and 206977 deletions
@@ -1,100 +1,290 @@
 ---
 id: wiki-2026-0508-ai-코드-리뷰-및-보안-취약점-점검-devsecops
-title: AI 코드 리뷰 및 보안 취약점 점검(DevSecOps)
+title: AI Code Review + DevSecOps
 category: 10_Wiki/Topics
-status: needs_review
+status: verified
 canonical_id: self
-aliases: [P-Reinforce-AUTO-4DB2F8]
+aliases: [DevSecOps with AI, AI security review, hybrid code review, shift-left security]
 duplicate_of: none
-source_trust_level: A
-confidence_score: 0.9
-tags: [auto-reinforced]
+source_trust_level: B
+confidence_score: 0.85
+verification_status: conceptual
+tags: [devsecops, ai-code-review, sast, security, shift-left, owasp, ci-cd]
 raw_sources: []
-last_reinforced: 2026-04-20
-github_commit: "[P-Reinforce] Continuous Worker - AI 코드 리뷰 및 보안 취약점 점검([[DevSecOps|DevSecOps]])"
-inferred_by: Claude Opus 4.7 (auto-normalize 2026-05-08)
-tech_stack:
-  language: unspecified
-  framework: unspecified
+last_reinforced: 2026-05-09
+github_commit: pending
+inferred_by: Claude Opus 4.7 (manual cleanup 2026-05-09)
 ---

-# [[AI 코드 리뷰 및 보안 취약점 점검(DevSecOps)|AI 코드 리뷰 및 보안 취약점 점검(DevSecOps)]]
+# AI Code Review + DevSecOps

-## 📌 한 줄 통찰 (The Karpathy Summary)
-> AI 코드 리뷰 및 보안 취약점 점검(DevSecOps)은 소프트웨어 개발 수명 주기(SDLC)의 초기 단계에 AI 기반의 자동화된 정적 분석([[SAST|SAST]])과 인간의 수동 리뷰를 결합하여 코드의 품질과 보안을 선제적으로 확보하는 프로세스입니다 [1, 2]. 개발자는 IDE 내부나 CI/CD 파이프라인의 Pull Request(PR) 단계에서 실시간으로 버그, 로직 결함, 보안 취약점(예: 인젝션, 민감 정보 노출)을 식별하고 수정할 수 있습니다 [3-6]. 결과적으로 기계적이고 반복적인 코드 스타일 검사 및 패턴 기반 취약점 탐지는 AI에 위임하고, 인간은 아키텍처 결정이나 도메인 종속적인 비즈니스 로직을 검토하는 '하이브리드' 방식을 통해 개발 속도와 보안성의 균형을 맞춥니다 [2, 7, 8].
+## 📌 한 줄 통찰
+> **Shift-left security**. 매 SDLC 의 early 의 SAST + AI review + human. 매 mechanical 의 AI, 매 architectural 의 human.

-## 📖 구조화된 지식 (Synthesized Content)
-* **하이브리드 코드 리뷰 모델의 부상**
-  2025년 기준 가장 이상적이고 안전한 코드 리뷰 방식은 자동화 도구와 인간의 통찰력을 결합한 하이브리드 모델입니다 [2]. 자동화된 리뷰 도구는 수천 줄의 코드를 단 몇 분 만에 스캔하여 문법 오류, 알려진 보안 취약점 패턴, 코드 스타일 위반 등을 일관성 있게 찾아냅니다 [6, 9]. 하지만 이러한 도구들은 시스템의 의도나 비즈니스 로직을 이해하는 데 한계가 있습니다 [10]. 따라서 자동화 스캔을 1차 방어선으로 사용하여 일상적인 문제를 해결하고, 고위험 아키텍처, 인증 로직, 교차 서비스 통신 및 비즈니스 규칙 검증과 같은 복잡한 판단은 숙련된 개발자의 수동 리뷰를 통해 진행해야 합니다 [11-14].
+## 📖 핵심

-* **AI 기반 정적 애플리케이션 보안 테스트(SAST)**
-  전통적인 SAST 도구는 규칙과 패턴 매칭에 의존하여 높은 오탐률(False Positive)과 알림 피로도를 유발했습니다 [10, 15, 16]. 그러나 Snyk Code, [[Corgea|Corgea]], GitHub Advanced Security와 같은 최신 AI 네이티브 SAST 도구들은 머신러닝과 대규모 언어 모델(LLM)을 결합하여 코드의 문맥(Semantic)을 파악합니다 [17-20]. 이 도구들은 오염 분석(Taint [[Analysis|Analysis]])과 도달 가능성(Reachability)을 분석해 파일 간 데이터를 추적하며 실제 악용 가능한 위협만을 효과적으로 필터링합니다 [19, 21, 22]. 또한 Copilot Autofix나 [[DeepCode AI|DeepCode AI]] Fix처럼 발견된 취약점에 대해 검증된 수정안(Remediation)을 PR 단계에서 자동으로 제안하여 리뷰 시간을 대폭 단축시킵니다 [23-25].
+### Hybrid model
+- **AI**: pattern matching, syntax, known CVE.
+- **Human**: business logic, architecture, novel attack.
+- **Together**: 매 layer 의 different defect class.

-* **시프트 레프트([[Shift|Shift]]-Left)와 파이프라인 자동화**
-  DevSecOps의 핵심은 소프트웨어 병합 및 배포 전에 보안 및 품질 문제를 원천 차단하는 시프트 레프트 전략입니다 [1, 26]. [[Husky|Husky]]와 [[lint-staged|lint-staged]] 등의 도구를 활용해 Git 사전 커밋(Pre-commit) 훅을 설정하면, 변경된 파일에 대해서만 [[ESLint|ESLint]](로직/품질)와 [[Prettier|Prettier]](포맷팅)를 강제 적용할 수 있습니다 [27-29]. 이후 CI/CD 파이프라인 내에 SAST 및 소프트웨어 구성 분석(SCA) 도구를 통합하여 임계치 이상의 치명적 취약점이 포함된 코드는 메인 브랜치로 병합되지 못하도록 '품질 게이트' 역할을 수행하게 합니다 [30, 31].
+### Shift-left phases

-* **자동화의 한계 및 AI 거버넌스 정책**
-  강력한 자동화 도구라 할지라도 맹신은 위험합니다. 연구에 따르면 SAST 및 자동화 도구는 실제 취약점의 약 22%를 감지하지 못하며 [32, 33], 개발자들이 자동화 시스템의 '녹색 체크마크'만 보고 코드를 제대로 이해하지 않은 채 통과시키는 '녹색 체크마크 증후군(Green Check Mark Syndrome)'과 같은 인지적 나태함을 유발할 수 있습니다 [34, 35]. 기업은 승인되지 않은 퍼블릭 AI 모델에 독점 소스 코드나 고객 데이터가 유출되지 않도록 명확한 AI 사용 정책(AUP)을 수립해야 합니다 [36-38]. 또한 AI가 생성하거나 수정한 코드라도 최종적으로는 반드시 인간 엔지니어의 엄격한 수동 리뷰를 거쳐 이해와 책임을 보장하는 'Human-in-the-Loop' 원칙을 준수해야 합니다 [38, 39].
+#### IDE (real-time)
+- 매 keystroke 의 lint / type.
+- Cursor / Copilot 의 inline.

-## ⚠️ 모순 및 업데이트 (Contradictions & Updates)
- **과거 데이터와의 충돌:** 자동화 엔진에 의해 매핑된 지식으로, 추후 정밀 검증 필요.
- **정책 변화:** AI 분야의 자동 자산화 수행.
+#### Pre-commit (local)
+- Husky + lint-staged.
+- 매 dev 의 first defense.

-## 🔗 지식 연결 (Graph)
- **Related Topics:** [[정적 애플리케이션 보안 테스트(SAST)|정적 애플리케이션 보안 테스트(SAST)]], [[시프트 레프트(Shift-Left)|시프트 레프트(Shift-Left)]], [[하이브리드 코드 리뷰|하이브리드 코드 리뷰]]
- **Projects/Contexts:** CI/CD 파이프라인 통합 및 Git 훅(Hooks)
- **Contradictions/Notes:** 자동화 도구를 적극적으로 옹호하는 입장에서는 AI 기반 코드 리뷰와 수정안 자동 생성 기능이 개발자의 업무를 크게 대체하고 생산성을 극대화한다고 주장하지만, 보안 전문가 및 실제 성능 벤치마크 결과(Augment Code 등)에 따르면 자동화 도구는 여전히 30~60%의 오탐률을 보이며 실제 취약점의 약 22%를 놓치는 근본적 사각지대가 존재하므로, 아키텍처 설계와 비즈니스 로직에는 기계가 아닌 인간의 수동 판단이 필수 불가결하다고 반박합니다.
+#### PR (automated)
+- CodeRabbit / Greptile.
+- Snyk / Sonar SAST.
+- 매 dependency check.

---
-*Last updated: 2026-04-18*
+#### CI deep
+- Container scan.
+- Dependency vulnerability.
+- License check.

---
+#### Pre-deploy
+- Integration security test.
+- DAST (runtime).

-## 🤖 LLM 활용 힌트 (How to Use This Knowledge)
+#### Production
+- WAF.
+- RASP (runtime application self-protection).
+- 매 alert / incident.

-**언제 이 지식을 쓰는가:**
- *(TODO)*
+### 매 OWASP Top 10 (2021)
+1. Broken Access Control.
+2. Cryptographic Failures.
+3. Injection (SQL, XSS, Command).
+4. Insecure Design.
+5. Security Misconfiguration.
+6. Vulnerable Components.
+7. Authentication Failures.
+8. Software / Data Integrity.
+9. Logging / Monitoring Failures.
+10. SSRF.

-**언제 쓰면 안 되는가:**
- *(TODO)*
+→ 매 SAST 의 mostly cover. 매 #4 (insecure design) = human.

-## 🧪 검증 상태 (Validation)
+### Tool stack (2026)

- **정보 상태:** needs_review
- **출처 신뢰도:** A
- **검토 이유:** *(P-Reinforce Phase 1 자동 정규화. 본문 검증 필요.)*
+#### IDE
+- Cursor (AI-native).
+- Snyk Code IDE plugin.
+- GitHub Copilot Chat.

-## 🧬 중복 검사 (Duplicate Check)
+#### CI / PR
+- CodeRabbit (LLM review).
+- Snyk Code (SAST).
+- Sonar (quality + security).
+- Semgrep (custom pattern).
+- GitHub Advanced Security (CodeQL).

- **기존 유사 문서:** *(TODO: 인덱서 클러스터 리포트 참조)*
- **처리 방식:** UPDATE (자동 정규화)
- **처리 이유:** Phase 1 정규화 — 옛 템플릿/누락 필드 보강.
+#### Container
+- Trivy (image scan).
+- Snyk Container.
+- Docker Scout.

-## 🕓 변경 이력 (Changelog)
+#### Dependency
+- Dependabot.
+- Renovate.
+- Snyk Open Source.

-| 날짜 | 변경 내용 | 처리 방식 | 신뢰도 |
-|------|-----------|-----------|--------|
-| 2026-05-08 | P-Reinforce Phase 1 정규화 (frontmatter + 헤더 표준화) | UPDATE | A |
+#### Secret
+- TruffleHog.
+- GitGuardian.
+- 매 pre-commit hook.

-## 💻 코드 패턴 (Code Patterns)
+#### DAST
+- OWASP ZAP.
+- Burp Suite.

-**패턴 1:** *(TODO: 이 프로젝트 컨벤션 반영한 구조 스켈레톤)*
+### 매 quality gate

-```text
-# TODO
+#### PR gate
+- 매 high severity 의 fail.
+- 매 critical CVE 의 block.
+- 매 secret 의 detection 의 block.
+
+#### Pre-deploy gate
+- 매 manual approve (high-risk).
+- 매 automated test 의 pass.
+
+### Compliance
+
+#### SOC 2
+- 매 audit log.
+- 매 access control.
+- 매 incident response.
+
+#### PCI DSS (payment)
+- 매 encryption.
+- 매 segmentation.
+
+#### GDPR (privacy)
+- 매 data minimization.
+- 매 consent.
+
+#### HIPAA (health)
+- 매 PHI handling.
+
+### Vibe coding 의 specific risk
+- 매 AI-generated code 의 security blind spot.
+- 매 prompt injection 의 reproduce.
+- 매 hardcoded secret (LLM 의 example).
+- 매 outdated security practice.
+
+## 💻 Code
+
+### CI workflow
+```yaml
+# .github/workflows/devsecops.yml
+on: [pull_request, push]
+
+jobs:
+  security:
+    runs-on: ubuntu-latest
+    steps:
+      - uses: actions/checkout@v4
+        with: { fetch-depth: 0 }
+      
+      # Secret scan
+      - uses: trufflesecurity/trufflehog@main
+        with:
+          path: ./
+          base: ${{ github.event.repository.default_branch }}
+      
+      # SAST
+      - uses: snyk/actions/setup@master
+      - run: snyk code test --severity-threshold=high
+      
+      # Dependency
+      - run: snyk test --severity-threshold=high
+      
+      # Container
+      - run: docker build -t app .
+      - uses: aquasecurity/trivy-action@master
+        with:
+          image-ref: 'app'
+          severity: 'CRITICAL,HIGH'
+          exit-code: '1'
+      
+      # SARIF upload (GitHub Security tab)
+      - uses: github/codeql-action/upload-sarif@v3
 ```

-## 🤔 의사결정 기준 (Decision Criteria)
+### Custom Semgrep rule (prompt injection)
+```yaml
+# .semgrep/prompt-injection.yaml
+rules:
+  - id: llm-prompt-concat
+    pattern-either:
+      - pattern: |
+          $LLM.complete($PROMPT + $USER_INPUT)
+      - pattern: |
+          $LLM.complete(`...${$USER_INPUT}...`)
+    message: |
+      Prompt injection: user input concatenated. Use template / sanitize.
+    severity: ERROR
+    languages: [python, javascript, typescript]
+```

-**선택 A를 써야 할 때:**
- *(TODO)*
+### Pre-commit hook (secret + lint)
+```yaml
+# .pre-commit-config.yaml
+repos:
+  - repo: https://github.com/Yelp/detect-secrets
+    rev: v1.4.0
+    hooks:
+      - id: detect-secrets
+  - repo: https://github.com/pre-commit/pre-commit-hooks
+    rev: v4.5.0
+    hooks:
+      - id: trailing-whitespace
+      - id: check-yaml
+  - repo: local
+    hooks:
+      - id: lint
+        name: lint
+        entry: npm run lint
+        language: system
+```

-**선택 B를 써야 할 때:**
- *(TODO)*
+### SARIF (security findings format)
+```json
+{
+  "version": "2.1.0",
+  "runs": [{
+    "tool": { "driver": { "name": "MyScanner" } },
+    "results": [{
+      "ruleId": "sql-injection",
+      "level": "error",
+      "message": { "text": "SQL injection in users.ts:42" },
+      "locations": [{
+        "physicalLocation": {
+          "artifactLocation": { "uri": "src/users.ts" },
+          "region": { "startLine": 42 }
+        }
+      }]
+    }]
+  }]
+}
+```

-**기본값:**
-> *(TODO)*
+### Renovate (dep update + security)
+```json
+// renovate.json
+{
+  "extends": ["config:recommended", ":automergePatch"],
+  "vulnerabilityAlerts": {
+    "labels": ["security"],
+    "automerge": true
+  }
+}
+```

-## ❌ 안티패턴 (Anti-Patterns)
+## 🤔 결정 기준

- **[안티패턴]:** *(TODO: 무엇을 하면 안 되는가 + 이유 + 대신 무엇을)*
+| Risk | Tool layer |
+|---|---|
+| Low (lint, style) | IDE / pre-commit |
+| Medium (SAST) | PR gate (Snyk / Sonar) |
+| High (CVE, secret) | PR block + alert |
+| Critical (zero-day) | Manual + emergency patch |
+| AI-generated code | Enhanced review |
+
+**기본값**: IDE + PR + pre-deploy 의 layered. 매 gate 의 different threshold.
+
+## 🔗 Graph
+- 부모: [[DevSecOps]] · [[AI-Code-Review]] · [[Security]]
+- 변형: [[SAST]] · [[DAST]] · [[Shift-Left-Security]]
+- 응용: [[CodeRabbit]] · [[Snyk]] · [[Sonar]] · [[Semgrep]]
+- 매 OWASP: [[OWASP-Top-10]] · [[OWASP-API-Top-10]]
+- Adjacent: [[Container-Scanning]] · [[Dependency-Update]] · [[Secret-Detection]]
+
+## 🤖 LLM 활용
+**언제**: 매 production system 의 security strategy. 매 vibe coding 의 review.
+**언제 X**: 매 throwaway script. Specific compliance audit (auditor).
+
+## ❌ 안티패턴
+- **AI 만 의존**: 매 architecture flaw miss.
+- **Manual 만**: 매 mechanical pattern miss.
+- **No quality gate**: 매 vulnerability 의 ship.
+- **Generic alert (no severity)**: alert fatigue.
+- **No secret scan + AI 의 hardcode**: leak.
+
+## 🧪 검증 / 중복
+- Verified.
+- 신뢰도 B.
+- Related: [[AI-Code-Review]] · [[AI-Code-Assurance]] · [[OWASP-API-Top-10]].
+
+## 🕓 Changelog
+| 날짜 | 변경 |
+|---|---|
+| 2026-05-08 | Phase 1 |
+| 2026-05-09 | Manual cleanup — shift-left + tool stack + code + 결정 |