---
id: [[P-Reinforce|P-Reinforce]]-AI-SAST
category: Unified
confidence_score: 0.98
tags: [Security, SAST, [[DevSecOps|DevSecOps]], Static[[Analysis|Analysis]]]
last_reinforced: 2026-04-20
---

# [[SAST (Static Application Security Testing)|SAST (Static Application Security [[Testing]])]] (정적 애플리케이션 보안 테스팅)

## 📌 한 줄 통찰 (The Karpathy Summary)
> "코드를 실행하지 않고 숨은 흉기를 찾아내는 엑스레이." 소스 코드를 분석하여 런타임 이전에 보안 취약점(SQL Injection, XSS 등)을 조기에 발견하는 DevSecOps의 핵심 프랙티스다.

## 📖 구조화된 지식 (Synthesized Content)
- **Mechanism**:
    - 코드를 파싱하여 추상 구문 트리(AST)나 제어 흐름 그래프(CFG)를 생성.
    - 데이터가 신뢰할 수 없는 원천(Source)에서 위험한 지점(Sink)으로 흐르는지 추적하는 **Taint Analysis** 수행.
- **Key Features**:
    - **[[Shift|Shift]]-Left Security**: 개발 초기 단계(IDE, PR)에서 보안 이슈를 해결하여 비용 절감.
    - **Full Coverage**: 실행되지 않는 코드 경로까지 전수 조사 가능.
- **Popular Tools**: [[SonarQube|SonarQube]], Snyk, Semgrep, Checkmarx.

## ⚠️ 모순 및 업데이트 (RL Update)
- SAST는 '오탐(False Positive)'이 많기로 유명하다. 맥락상 안전한 코드임에도 기계적으로 경고를 띄워 개발자의 피로도를 높일 수 있다. 이를 해결하기 위해 최근에는 AI가 오탐을 걸러내고 실제 위협만 요약해주는 'AI Guided SAST'가 주목받고 있다.

## 🔗 지식 연결 (Graph)
- Related: [[DevSecOps|DevSecOps]] , [[Abstract-Syntax-Tree-Transformation|Abstract-Syntax-Tree-Transformation]]
- Contrast: DAST (Dynamic Application Security Testing)