---
id: P-REINFORCE-AUTO-WIKI-SEC-002
category: "10_Wiki/💡 Topics/Security & Reliability"
confidence_score: 0.95
tags: [security, sast, static-analysis, shift-left, code-review, p-reinforce]
last_reinforced: 2026-05-01
---

# [[SAST (Static Application Security Testing)]]

## 📌 한 줄 통찰 (The Karpathy Summary)
> "애플리케이션을 실행하지 않고 소스 코드 자체를 분석하여 결함을 찾아내는 첫 번째 방어선으로, 보안 결함 수정 비용을 최소화하는 '시프트 레프트(Shift-Left)' 전략의 핵심 엔진."

## 📖 구조화된 지식 (Synthesized Content)
SAST는 개발 초기 단계에서 보안 무결성을 확보하기 위한 정적 도구입니다.

1.  **정적 분석 메커니즘**:
    *   소스 코드의 구문(AST)과 논리 구조를 스캔하여 취약한 패턴(예: OWASP Top 10)을 식별합니다.
    *   취약점의 정확한 라인 번호를 제공하여 개발자가 즉각적으로 대응할 수 있게 합니다.
2.  **리뷰어의 인지 에너지 보존**:
    *   인젝션 결함이나 기초적인 보안 실수를 기계가 선별함으로써, 인간 리뷰어는 아키텍처 의도와 비즈니스 로직 검토에 집중할 수 있습니다.
3.  **조기 발견 (Shift-Left)**:
    *   코드 작성 및 PR 단계에서 즉시 위협을 감지하여, 프로덕션 배포 후 발생하는 막대한 수정 비용을 예방합니다.

## ⚠️ 모순 및 업데이트 (Contradictions & RL Update)
- **오탐(False Positives) 관리**: 패턴 매칭에 의존하므로 실제 위협이 아닌 코드도 위험으로 분류하는 노이즈가 발생할 수 있습니다. 이는 리뷰 팀의 주관적 검증(Validation) 정책으로 보완해야 합니다.
- **맥락 인지의 한계**: 비즈니스 로직이나 런타임 환경 설정(네트워크 등)에 의한 동적 취약점은 탐지할 수 없으므로 DAST/IAST와의 병행이 필수입니다.

## 🔗 지식 연결 (Graph)
- [[DAST (Dynamic Application Security Testing)]]: 동적 분석과의 보완적 관계.
- [[Shift-Left Security]]: 보안의 조기 도입 철학.
- [[CI/CD Pipeline Integration]]: 품질 게이트(Quality Gate)로서의 구현.
- [[Automated Code Analysis]]: 린팅 및 정적 분석 도구군.
- [[SCA (Software Composition Analysis)]]: 외부 라이브러리 보안 검증으로의 확장.
---