--- id: P-REINFORCE-AI-SAST category: "10_Wiki/πŸ’‘ Topics/AI" confidence_score: 0.98 tags: [Security, SAST, DevSecOps, StaticAnalysis] last_reinforced: 2026-04-20 --- # [[SAST (Static Application Security Testing)]] (정적 μ• ν”Œλ¦¬μΌ€μ΄μ…˜ λ³΄μ•ˆ ν…ŒμŠ€νŒ…) ## πŸ“Œ ν•œ 쀄 톡찰 (The Karpathy Summary) > "μ½”λ“œλ₯Ό μ‹€ν–‰ν•˜μ§€ μ•Šκ³  μˆ¨μ€ 흉기λ₯Ό μ°Ύμ•„λ‚΄λŠ” μ—‘μŠ€λ ˆμ΄." μ†ŒμŠ€ μ½”λ“œλ₯Ό λΆ„μ„ν•˜μ—¬ λŸ°νƒ€μž„ 이전에 λ³΄μ•ˆ 취약점(SQL Injection, XSS λ“±)을 쑰기에 λ°œκ²¬ν•˜λŠ” DevSecOps의 핡심 ν”„λž™ν‹°μŠ€λ‹€. ## πŸ“– κ΅¬μ‘°ν™”λœ 지식 (Synthesized Content) - **Mechanism**: - μ½”λ“œλ₯Ό νŒŒμ‹±ν•˜μ—¬ 좔상 ꡬ문 트리(AST)λ‚˜ μ œμ–΄ 흐름 κ·Έλž˜ν”„(CFG)λ₯Ό 생성. - 데이터가 μ‹ λ’°ν•  수 μ—†λŠ” μ›μ²œ(Source)μ—μ„œ μœ„ν—˜ν•œ 지점(Sink)으둜 흐λ₯΄λŠ”지 μΆ”μ ν•˜λŠ” **Taint Analysis** μˆ˜ν–‰. - **Key Features**: - **Shift-Left Security**: 개발 초기 단계(IDE, PR)μ—μ„œ λ³΄μ•ˆ 이슈λ₯Ό ν•΄κ²°ν•˜μ—¬ λΉ„μš© 절감. - **Full Coverage**: μ‹€ν–‰λ˜μ§€ μ•ŠλŠ” μ½”λ“œ κ²½λ‘œκΉŒμ§€ μ „μˆ˜ 쑰사 κ°€λŠ₯. - **Popular Tools**: SonarQube, Snyk, Semgrep, Checkmarx. ## ⚠️ λͺ¨μˆœ 및 μ—…λ°μ΄νŠΈ (RL Update) - SASTλŠ” 'μ˜€νƒ(False Positive)'이 많기둜 유λͺ…ν•˜λ‹€. λ§₯락상 μ•ˆμ „ν•œ μ½”λ“œμž„μ—λ„ κΈ°κ³„μ μœΌλ‘œ κ²½κ³ λ₯Ό λ„μ›Œ 개발자의 ν”Όλ‘œλ„λ₯Ό 높일 수 μžˆλ‹€. 이λ₯Ό ν•΄κ²°ν•˜κΈ° μœ„ν•΄ μ΅œκ·Όμ—λŠ” AIκ°€ μ˜€νƒμ„ κ±ΈλŸ¬λ‚΄κ³  μ‹€μ œ μœ„ν˜‘λ§Œ μš”μ•½ν•΄μ£ΌλŠ” 'AI Guided SAST'κ°€ μ£Όλͺ©λ°›κ³  μžˆλ‹€. ## πŸ”— 지식 μ—°κ²° (Graph) - Related: [[DevSecOps]] , [[Abstract-Syntax-Tree-Transformation]] - Contrast: DAST (Dynamic Application Security Testing)