---
id: P-REINFORCE-AUTO-205541
category: "10_Wiki/💡 Topics/AI"
confidence_score: 0.90
tags: [auto-reinforced]
last_reinforced: 2026-04-20
github_commit: "[P-Reinforce] Continuous Worker - SAST"
---

# [[SAST|SAST]]

## 📌 한 줄 통찰 (The Karpathy Summary)
> SAST(Static Application Security Testing, 정적 애플리케이션 보안 테스트)는 애플리케이션을 실행하지 않고 소스 코드, 바이트코드 또는 바이너리를 정적으로 분석하여 보안 취약점을 찾아내는 화이트박스 테스트 기법입니다 [1-3]. 개발 초기 단계인 IDE나 CI/CD 파이프라인에 통합되어 결함을 사전에 해결하는 '시프트 레프트(Shift-left)' 보안 접근법의 핵심적인 역할을 수행합니다 [4-7]. 최근에는 높은 오탐률(False Positive)과 문맥 파악의 한계를 극복하기 위해 머신러닝(ML)과 대규모 언어 모델(LLM)을 결합한 AI 기반 SAST로 진화하여 더욱 정확한 탐지와 자동 수정(Auto-fix) 기능을 제공하고 있습니다 [8-10].

## 📖 구조화된 지식 (Synthesized Content)
본문 구조화 작업 중...

## ⚠️ 모순 및 업데이트 (Contradictions & RL Update)
- **과거 데이터와의 충돌:** 자동화 엔진에 의해 매핑된 지식으로, 추후 정밀 검증 필요.
- **정책 변화:** AI 분야의 자동 자산화 수행.

## 🔗 지식 연결 (Graph)
- **Related Topics:** [[DAST (동적 애플리케이션 보안 테스트)|DAST]], [[SCA (소프트웨어 구성 분석)|SCA]], IAST, [[시프트 레프트 (Shift-Left)|Shift-Left]], False Positives
- **Projects/Contexts:** CI/CD Pipeline Integration, Snyk Code, [[Corgea|Corgea]], Checkmarx, [[SonarQube|SonarQube]]
- **Contradictions/Notes:** 자동화된 SAST 도구는 코드 기반의 패턴 매칭에 빠르고 일관되지만, 복잡한 비즈니스 로직과 아키텍처 트레이드오프를 이해하지 못하므로, 완벽한 보안과 코드 품질 확보를 위해서는 인간 개발자가 직접 수행하는 수동 코드 리뷰(Manual Code Review)를 반드시 병행해야 한다고 강조됩니다 [16, 26-28].

---
*Last updated: 2026-04-19*
- Raw Source: 00_Raw/2026-04-20/SAST.md
---