---
id: [[P-Reinforce|P-Reinforce]]-SEC-[[SAST|SAST]]
category: Dev
confidence_score: 0.99
tags: [SAST, Security, SDLC, Code [[Analysis|Analysis]]]
last_reinforced: 2026-04-20
---

# SAST-(Static-Application-Security-[[Testing|Testing]]) (정적 보안 테스트)

## 📌 한 줄 통찰 (The Karpathy Summary)
> "코드를 실행하기도 전에 구멍을 찾아라." 소프트웨어 개발 생명 주기(SDLC)의 가장 앞단([[Shift|Shift]]-Left)에서 소스 코드를 스캔하여 보안 취약점을 조기에 격리하는 기술이다.

## 📖 구조화된 지식 (Synthesized Content)
- **White-box Testing**:
    - 프로그램의 내부 구조와 소스 코드를 모두 알고 있는 상태에서 진행하는 분석. 데이터 흐름(Data Flow)과 제어 흐름(Control Flow)을 추적한다.
- **Vulnerability Coverage**:
    - SQL Injection, Cross-Site Scripting(XSS), Buffer Overflow 등 잘 알려진 보안 패턴([[OWASP Top 10|OWASP Top 10]] 등)을 자동으로 감시한다.
- **Shift-Left Security**:
    - 배포 후(DAST)가 아니라 코딩 시점(IDE 통합)에 피드백을 주어, 보안 수정 비용을 수십 배 이상 절감한다.

## ⚠️ 모순 및 업데이트 (RL Update)
- SAST의 가장 큰 적은 '오탐(False Positive)'이다. 실제로 안전하지만 위험하다고 경고하는 경우가 많아 개발자들의 피로도를 높인다. 이를 해결하기 위해 최근에는 AI가 오탐을 걸러주는 'AI-Driven SAST'가 주류로 자리 잡고 있다.

## 🔗 지식 연결 (Graph)
- Related: Best-SAST-Tools-in-2026 , [[Deployment_Final_Gate|Deployment_Final_Gate]]
- Foundation: [[Reliability_Safety_First|Reliability_Safety_First]]