Antigravity Agent
35 lines
2.5 KiB
Markdown
35 lines
2.5 KiB
Markdown
---
|
|
id: P-REINFORCE-AUTO-WIKI-SEC-005
|
|
category: "10_Wiki/💡 Topics/Security & Reliability"
|
|
confidence_score: 0.95
|
|
tags: [security, owasp-top-10, web-security, vulnerability-checklist, compliance, p-reinforce]
|
|
last_reinforced: 2026-05-01
|
|
---
|
|
|
|
# [[OWASP Top 10|OWASP Top 10]]
|
|
|
|
## 📌 한 줄 통찰 (The Karpathy Summary)
|
|
> "웹 애플리케이션에서 발생하는 가장 치명적인 10대 보안 취약점의 표준 정의이자, 개발자와 리뷰어가 공유해야 할 최소한의 보안 안전장치이자 체크리스트."
|
|
|
|
## 📖 구조화된 지식 (Synthesized Content)
|
|
OWASP Top 10은 안전한 소프트웨어 개발을 위한 범용적인 가이드라인입니다.
|
|
|
|
1. **보안 코드 리뷰의 표준**:
|
|
* 단순한 기능 점검을 넘어 "공격자가 이 데이터를 어떻게 조작할 수 있는가?"라는 관점을 제시합니다.
|
|
* 입력값 검증, 인증/인가, 민감 데이터 노출, 보안 설정 오류 등 핵심 영역을 아우르는 프레임워크를 제공합니다.
|
|
2. **주요 취약점 유형**:
|
|
* 인젝션(Injection), 취약한 인증(Broken Authentication), 민감 데이터 노출, 보안 오설정 등이 포함됩니다.
|
|
3. **자동화 도구와의 시너지**:
|
|
* SonarQube 등 SAST 도구의 규칙 엔진(Rule Engine)의 근간이 되며, 기계가 패턴을 선별하고 인간이 비즈니스 로직을 검토하는 협업 체계를 구축합니다.
|
|
|
|
## ⚠️ 모순 및 업데이트 (Contradictions & RL Update)
|
|
- **로직 결함의 사각지대**: OWASP Top 10은 패턴화된 취약점 탐지에는 뛰어나지만, 비즈니스 로직의 특수성에서 기인하는 설계 오류나 복잡한 접근 제어 결함은 인간의 심층 수동 리뷰(Manual Review)가 필수적입니다.
|
|
- **버전별 변화**: 웹 기술의 발전에 따라 Top 10의 순위와 항목은 주기적으로 업데이트되므로(예: 2017 -> 2021), 최신 가이드라인에 맞춘 체크리스트의 동적 갱신 정책이 중요합니다.
|
|
|
|
## 🔗 지식 연결 (Graph)
|
|
- [[SAST (Static Application Security Testing)|SAST (Static Application Security Testing]]: 자동화된 탐지 엔진과의 연동.
|
|
- [[Secure Code Review (보안 중심 코드 리뷰)|Secure Code Review]]: 보안 중심의 코드 검토 방법론.
|
|
- Injection Flaws: 대표적인 취약점 패턴의 심화.
|
|
- CWE Top 25: 소프트웨어 약점 목록과의 교차 분석.
|
|
- Shift-Left Security: 보안 기준의 조기 적용 전략.
|
|
--- |