--- id: [[P-Reinforce]]-AUTO-A04F7E category: "10_Wiki/πŸ’‘ Topics/Programming & Language" confidence_score: 0.90 tags: [auto-reinforced] last_reinforced: 2026-04-20 github_commit: "[P-Reinforce] Continuous Worker - SCA (μ†Œν”„νŠΈμ›¨μ–΄ ꡬ성 뢄석)" --- # [[SCA (μ†Œν”„νŠΈμ›¨μ–΄ ꡬ성 뢄석)]] ## πŸ“Œ ν•œ 쀄 톡찰 (The Karpathy Summary) > SCA(Software Composition [[Analysis]])λŠ” μ• ν”Œλ¦¬μΌ€μ΄μ…˜μ— ν¬ν•¨λœ 제3자(Third-party) μ½”λ“œ 및 μ˜€ν”ˆμ†ŒμŠ€ 라이브러리의 μ˜μ‘΄μ„±(Dependencies)을 λΆ„μ„ν•˜λŠ” λ³΄μ•ˆ ν…ŒμŠ€νŒ… κΈ°λ²•μž…λ‹ˆλ‹€ [1, 2]. 주둜 μ™ΈλΆ€ μ»΄ν¬λ„ŒνŠΈμ— 이미 보고된 λ³΄μ•ˆ 취약점(CVE λ“±)κ³Ό λΌμ΄μ„ μŠ€ μ»΄ν”ŒλΌμ΄μ–ΈμŠ€ κ΄€λ ¨ 리슀크λ₯Ό μ‹λ³„ν•˜λŠ” 데 μ‚¬μš©λ©λ‹ˆλ‹€ [1]. μ˜€λŠ˜λ‚  μ†Œν”„νŠΈμ›¨μ–΄ κ°œλ°œμ—μ„œ μ˜€ν”ˆμ†ŒμŠ€ 라이브러리 μ‚¬μš© 비쀑이 맀우 λ†’κΈ° λ•Œλ¬Έμ— μ†Œν”„νŠΈμ›¨μ–΄ 곡급망 λ³΄μ•ˆμ„ κ΄€λ¦¬ν•˜λŠ” 데 μžˆμ–΄ κ·Έ μ€‘μš”μ„±μ΄ 컀지고 있으며 [1, 2], 자체 μ½”λ“œλ₯Ό κ²€μ‚¬ν•˜λŠ” [[SAST]]와 ν•¨κ»˜ μƒν˜Έ λ³΄μ™„μ μœΌλ‘œ ν™œμš©λ©λ‹ˆλ‹€ [3]. ## πŸ“– κ΅¬μ‘°ν™”λœ 지식 (Synthesized Content) - **뢄석 λŒ€μƒ 및 μ£Όμš” λͺ©μ **: SCAλŠ” κ°œλ°œμžκ°€ 직접 μž‘μ„±ν•œ μ»€μŠ€ν…€ μ½”λ“œμ˜ 논리적 결함을 μ°ΎλŠ” SAST와 달리, μ• ν”Œλ¦¬μΌ€μ΄μ…˜μ— ν¬ν•¨λœ μ˜€ν”ˆμ†ŒμŠ€ 및 제3자 μ˜μ‘΄μ„± μ»΄ν¬λ„ŒνŠΈ 뢄석에 νŠΉν™”λ˜μ–΄ μžˆμŠ΅λ‹ˆλ‹€ [1, 2]. ꡬ성 μš”μ†Œμ˜ λΌμ΄μ„ μŠ€ μ„ΈλΆ€ 정보, 버전 이λ ₯, κΈ°μ‘΄ 취약점 λ°μ΄ν„°λ² μ΄μŠ€(CVE λ“±)에 λ“±λ‘λœ 취약점을 νŒŒμ•…ν•˜μ—¬ λΌμ΄μ„ μŠ€ κ·œμ • μ€€μˆ˜ 및 리슀크 관리λ₯Ό μ§€μ›ν•©λ‹ˆλ‹€ [1, 2]. - **μ˜μ‘΄μ„±(Dependency) κ°€μ‹œμ„± 확보**: μ• ν”Œλ¦¬μΌ€μ΄μ…˜ μ½”λ“œμ— 직접 μ„ μ–Έλœ μ˜μ‘΄μ„±λΏλ§Œ μ•„λ‹ˆλΌ κ·Έ 이면에 μ—°κ²°λœ 전이적 μ˜μ‘΄μ„±(transitive dependencies)κΉŒμ§€ μΆ”μ ν•©λ‹ˆλ‹€ [1]. λ§Žμ€ μ˜€ν”ˆμ†ŒμŠ€ λΌμ΄λΈŒλŸ¬λ¦¬μ— μ˜μ‘΄ν•˜μ—¬ 개발이 μ΄λ£¨μ–΄μ§€λŠ” ν˜„λŒ€μ  ν™˜κ²½μ—μ„œ, μ΄λŸ¬ν•œ 곡급망([[Supply-Chain]]) μœ„ν—˜ κ΄€λ¦¬μ˜ 핡심 λ„κ΅¬λ‘œ μž‘λ™ν•©λ‹ˆλ‹€ [1, 2]. - **도달 κ°€λŠ₯μ„±(Reachability) λΆ„μ„μ˜ 진화**: μ΅œμ‹  SCA 도ꡬ듀(예: Endor Labs)은 λ‹¨μˆœνžˆ μ·¨μ•½ν•œ μ˜€ν”ˆμ†ŒμŠ€ νŒ¨ν‚€μ§€κ°€ ν¬ν•¨λ˜μ–΄ μžˆλŠ”μ§€λ₯Ό ν™•μΈν•˜λŠ” 것을 λ„˜μ–΄, ν•΄λ‹Ή μ„œλ“œνŒŒν‹° μ½”λ“œ λ‚΄μ˜ μ·¨μ•½ν•œ ν•¨μˆ˜κ°€ μ‹€μ œ νΌμŠ€νŠΈνŒŒν‹°(First-party) μ½”λ“œμ˜ μ‹€ν–‰ 경둜λ₯Ό 톡해 ν˜ΈμΆœλ˜λŠ”μ§€ λΆ„μ„ν•˜λŠ” '도달 κ°€λŠ₯μ„± 기반 SCA(Reachability-based SCA)'둜 μ§„ν™”ν•˜κ³  μžˆμŠ΅λ‹ˆλ‹€ [4, 5]. μ΄λŠ” λ§₯락을 κ³ λ €ν•œ 필터링을 톡해 μ•Œλ¦Ό ν”Όλ‘œλ„λ₯Ό 쀄이고, 자체 μ½”λ“œμ™€ μ˜μ‘΄μ„± 리슀크의 μš°μ„ μˆœμœ„λ₯Ό 효과적으둜 지정할 수 있게 λ•μŠ΅λ‹ˆλ‹€ [4, 6]. - **λ³΄μ•ˆ 도ꡬ κ°„μ˜ κ²°ν•© (SAST + SCA)**: SASTλŠ” 라이브러리 μ½”λ“œκ°€ 뢄석 λ²”μœ„μ— ν¬ν•¨λ˜μ§€ μ•ŠμœΌλ©΄ ν•΄λ‹Ή 라이브러리의 취약점을 놓칠 수 μžˆμŠ΅λ‹ˆλ‹€ [1]. λ”°λΌμ„œ μ»€μŠ€ν…€ μ½”λ“œλ₯Ό λ³΄ν˜Έν•˜λŠ” SAST와 μ„œλ“œνŒŒν‹° μ»΄ν¬λ„ŒνŠΈ 취약점을 λ³΄ν˜Έν•˜λŠ” SCAλ₯Ό λ™μ‹œμ— μ‚¬μš©ν•˜μ—¬ 전체 μ• ν”Œλ¦¬μΌ€μ΄μ…˜ λ³΄μ•ˆ λ²”μœ„λ₯Ό ν¬κ΄„μ μœΌλ‘œ λ°©μ–΄ν•˜λŠ” 것이 ꢌμž₯λ©λ‹ˆλ‹€ [1-3]. ## ⚠️ λͺ¨μˆœ 및 μ—…λ°μ΄νŠΈ (Contradictions & RL Update) - **κ³Όκ±° λ°μ΄ν„°μ™€μ˜ 좩돌:** μžλ™ν™” 엔진에 μ˜ν•΄ λ§€ν•‘λœ μ§€μ‹μœΌλ‘œ, μΆ”ν›„ μ •λ°€ 검증 ν•„μš”. - **μ •μ±… λ³€ν™”:** Programming & Language λΆ„μ•Όμ˜ μžλ™ μžμ‚°ν™” μˆ˜ν–‰. ## πŸ”— 지식 μ—°κ²° (Graph) - **Related Topics:** [[SAST (정적 μ• ν”Œλ¦¬μΌ€μ΄μ…˜ λ³΄μ•ˆ ν…ŒμŠ€νŒ…)]], [[μ„œν”ŒλΌμ΄ 체인 λ³΄μ•ˆ (Supply Chain Security)]], [[μ˜€ν”ˆμ†ŒμŠ€ μ»΄ν¬λ„ŒνŠΈ (Open Source Components)]], [[도달 κ°€λŠ₯μ„± 뢄석 ([[Reachability Analysis]])]] - **Projects/Contexts:** [[λ°λΈŒμ„Ήμ˜΅μŠ€ ([[DevSecOps]]) ν™˜κ²½μ—μ„œμ˜ 지속적인 λ³΄μ•ˆ 검사]], Snyk, Checkmarx, Endor Labs λ“± μ’…ν•© μ• ν”Œλ¦¬μΌ€μ΄μ…˜ λ³΄μ•ˆ ν”Œλž«νΌ - **Contradictions/Notes:** μ—¬λŸ¬ μ†ŒμŠ€μ—μ„œ SCA와 SASTλŠ” μ„œλ‘œ λŒ€μ²΄ν•˜κ±°λ‚˜ κ²½μŸν•˜λŠ” 관계가 μ•„λ‹ˆλΌλŠ” 점을 λΆ„λͺ…νžˆ ν•©λ‹ˆλ‹€. SASTλŠ” 자체 μž‘μ„± μ½”λ“œμ˜ 논리 결함을, SCAλŠ” μ„œλ“œνŒŒν‹° μ½”λ“œμ˜ 버전 이λ ₯ 및 λΌμ΄μ„ μŠ€ 문제λ₯Ό μž‘μ•„λ‚΄κΈ° λ•Œλ¬Έμ— 각 λ„κ΅¬μ˜ 약점을 λ³΄μ™„ν•˜λ €λ©΄ 이 λ‘˜μ„ κ²°ν•©ν•˜μ—¬ μ‚¬μš©ν•˜λŠ” 것이 λͺ¨λ²” μ‚¬λ‘€λ‘œ κ°•μ‘°λ©λ‹ˆλ‹€ [1, 2]. --- *Last updated: 2026-04-18* ---