Antigravity Agent
2.6 KiB
2.6 KiB
id, category, confidence_score, tags, last_reinforced
| id | category | confidence_score | tags | last_reinforced | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| P-REINFORCE-AUTO-WIKI-SEC-001 | Unified | 0.95 |
|
2026-05-01 |
DAST (Dynamic Application Security Testing)
📌 한 줄 통찰 (The Karpathy Summary)
"애플리케이션이 실행되는 런타임 환경에서 해커의 공격을 모방하여 외부로부터의 위협을 검증함으로써, 배포 후(Post-deployment) 보안의 공백을 메우는 동적 보안 스캐닝 자동화 계층."
📖 구조화된 지식 (Synthesized Content)
DAST는 라이브 환경에서 애플리케이션의 보안 상태를 점검하는 핵심 기술입니다.
- 런타임 보안 검증:
- 소스 코드가 아닌 실행 중인 애플리케이션을 대상으로 외부 공격을 시뮬레이션합니다.
- 실제 운영 환경에서만 발견되는 설정 오류나 동적 취약점(예: 세션 하이재킹, 인프라 보안 등)을 포착합니다.
- CI/CD 파이프라인 통합:
- 배포 단계에 자동화된 스캐너로 통합되어 알려진 취약점을 선제적으로 필터링합니다.
- 이를 통해 인간 리뷰어는 단순 패턴 탐색에서 벗어나 고차원적 로직 및 위협 모델링에 집중할 수 있습니다.
- 지속적인 보안 커버리지:
- SAST(정적 분석)가 배포 전 보안을 책임진다면, DAST는 배포 후의 동작을 지속적으로 감시하여 생명주기 전체의 보안 무결성을 유지합니다.
⚠️ 모순 및 업데이트 (Contradictions & RL Update)
- 코드 연계의 한계: DAST는 외부 공격 기반이므로 취약점이 발생한 소스 코드의 정확한 라인 번호를 지목하는 데 한계가 있습니다. 이를 보완하기 위해 IAST와의 결합이 권장됩니다.
- 부하 및 최적화: 라이브 환경 테스트 시 시스템 부하 및 배포 지연(Bottleneck)이 발생할 수 있으므로, 스테이징 환경에서의 병렬 스캔 정책 수립이 필수적입니다.
🔗 지식 연결 (Graph)
- SAST (Static Application Security Testing): 정적 분석과의 상호 보완성.
- IAST (Interactive Application Security Testing): 런타임 데이터 흐름 분석과의 결합.
- Shift-Left Security: 보안 테스트의 조기 도입 전략.
- CI/CD Pipeline Integration: 자동화 워크플로우 내의 위치.
- Threat Modeling: 아키텍처 수준의 보안 설계.