docs: finalized wiki integrity maintenance (v3.0 standard) - pruned 1400+ stubs and fixed 11k+ ghost links
This commit is contained in:
Antigravity Agent
@@ -1,16 +1,16 @@
|
||||
---
|
||||
id: [[P-Reinforce]]-AUTO-8D39DE
|
||||
id: [[P-Reinforce|P-Reinforce]]-AUTO-8D39DE
|
||||
category: "10_Wiki/💡 Topics/AI"
|
||||
confidence_score: 0.90
|
||||
tags: [auto-reinforced]
|
||||
last_reinforced: 2026-04-20
|
||||
github_commit: "[P-Reinforce] Continuous Worker - [[SAST]] (정적 애플리케이션 보안 테스팅)"
|
||||
github_commit: "[P-Reinforce] Continuous Worker - [[SAST|SAST]] (정적 애플리케이션 보안 테스팅)"
|
||||
---
|
||||
|
||||
# [[SAST (정적 애플리케이션 보안 테스팅)]]
|
||||
# [[SAST (정적 애플리케이션 보안 테스팅)|SAST (정적 애플리케이션 보안 테스팅)]]
|
||||
|
||||
## 📌 한 줄 통찰 (The Karpathy Summary)
|
||||
> SAST(정적 애플리케이션 보안 테스팅)는 애플리케이션을 실행하지 않고 소스 코드나 바이트코드를 정적으로 분석하여 보안 취약점을 찾아내는 '화이트박스 테스팅' 기법입니다 [1, 2]. 개발 초기 단계(CI/CD 파이프라인이나 IDE)에 통합되어 취약점이 프로덕션 환경에 도달하기 전에 예방하는 [[Shift]]-Left 보안을 실현합니다 [3, 4]. 최근에는 규칙 기반 패턴 매칭의 한계를 넘어, 대형 언어 모델(LLM)과 기계 학습(ML)을 결합하여 문맥을 이해하고 자동으로 코드를 수정해주는 AI 기반 SAST로 진화하고 있습니다 [5-7].
|
||||
> SAST(정적 애플리케이션 보안 테스팅)는 애플리케이션을 실행하지 않고 소스 코드나 바이트코드를 정적으로 분석하여 보안 취약점을 찾아내는 '화이트박스 테스팅' 기법입니다 [1, 2]. 개발 초기 단계(CI/CD 파이프라인이나 IDE)에 통합되어 취약점이 프로덕션 환경에 도달하기 전에 예방하는 [[Shift|Shift]]-Left 보안을 실현합니다 [3, 4]. 최근에는 규칙 기반 패턴 매칭의 한계를 넘어, 대형 언어 모델(LLM)과 기계 학습(ML)을 결합하여 문맥을 이해하고 자동으로 코드를 수정해주는 AI 기반 SAST로 진화하고 있습니다 [5-7].
|
||||
|
||||
## 📖 구조화된 지식 (Synthesized Content)
|
||||
* **작동 방식 및 주요 탐지 영역:**
|
||||
@@ -20,15 +20,15 @@ github_commit: "[P-Reinforce] Continuous Worker - [[SAST]] (정적 애플리케
|
||||
* **기존 SAST의 한계점:**
|
||||
기존 SAST 도구들은 실행 런타임의 컨텍스트나 비즈니스 로직의 의도를 온전히 파악하지 못해 오탐지(False Positive)를 많이 발생시키며(일부 레거시 도구의 경우 50~80%), 이로 인해 개발자가 알림 피로도(Alert fatigue)를 느끼게 됩니다 [15, 16]. 또한, 특정 프로그래밍 언어에 대한 의존성이 강하며, 프론트엔드와 백엔드를 오가는 복잡한 데이터 흐름을 완벽히 쫓아가지 못하는 한계가 있습니다 [9, 16].
|
||||
* **AI 기반 SAST의 등장:**
|
||||
최근의 SAST는 단순한 정적 패턴 매칭을 넘어 LLM 등 AI 엔진을 도입하여 맥락을 이해하는 방향으로 발전하고 있습니다 [3, 5]. AI 기반 SAST(예: [[Corgea]], Snyk Code 등)는 규칙만으로는 표현할 수 없는 복잡한 비즈니스 로직의 결함을 탐지하고, 오탐을 크게 줄여줍니다 [6, 7, 17]. 나아가 식별된 문제에 대해 실행 가능한 코드 패치(Auto-fix)를 자동으로 제안하고 검증하는 기능까지 제공합니다 [5, 18].
|
||||
최근의 SAST는 단순한 정적 패턴 매칭을 넘어 LLM 등 AI 엔진을 도입하여 맥락을 이해하는 방향으로 발전하고 있습니다 [3, 5]. AI 기반 SAST(예: [[Corgea|Corgea]], Snyk Code 등)는 규칙만으로는 표현할 수 없는 복잡한 비즈니스 로직의 결함을 탐지하고, 오탐을 크게 줄여줍니다 [6, 7, 17]. 나아가 식별된 문제에 대해 실행 가능한 코드 패치(Auto-fix)를 자동으로 제안하고 검증하는 기능까지 제공합니다 [5, 18].
|
||||
|
||||
## ⚠️ 모순 및 업데이트 (Contradictions & RL Update)
|
||||
- **과거 데이터와의 충돌:** 자동화 엔진에 의해 매핑된 지식으로, 추후 정밀 검증 필요.
|
||||
- **정책 변화:** AI 분야의 자동 자산화 수행.
|
||||
|
||||
## 🔗 지식 연결 (Graph)
|
||||
- **Related Topics:** DAST (동적 애플리케이션 보안 테스팅), [[SCA (소프트웨어 구성 분석)]], AI-powered SAST, [[수동 코드 리뷰 (Manual [[Code Review]])]]
|
||||
- **Projects/Contexts:** Shift-Left 보안, CI/CD 및 IDE 통합, [[OWASP Top 10]]
|
||||
- **Related Topics:** DAST (동적 애플리케이션 보안 테스팅), [[SCA (소프트웨어 구성 분석)|SCA (소프트웨어 구성 분석)]], AI-powered SAST, [[수동 코드 리뷰 (Manual Code Review)|수동 코드 리뷰 (Manual [[Code Review]])]]
|
||||
- **Projects/Contexts:** Shift-Left 보안, CI/CD 및 IDE 통합, [[OWASP Top 10|OWASP Top 10]]
|
||||
- **Contradictions/Notes:** 자동화된 SAST는 매우 빠르고 일관되게 코드를 검사하지만 비즈니스 로직과 의도를 파악하는 데는 맹점이 존재하므로(Context Blindness), 런타임 환경을 분석하는 DAST 또는 설계와 맥락을 깊이 이해하는 수동 코드 리뷰(Manual Review)와 결합된 하이브리드 접근 방식이 권장됩니다 [15, 19, 20].
|
||||
|
||||
---
|
||||
|
||||
Reference in New Issue
Block a user