Antigravity Agent
1.7 KiB
1.7 KiB
id, category, confidence_score, tags, last_reinforced
| id | category | confidence_score | tags | last_reinforced | ||||
|---|---|---|---|---|---|---|---|---|
| P-REINFORCE-AI-SAST | 10_Wiki/💡 Topics/AI | 0.98 |
|
2026-04-20 |
SAST (Static Application Security Testing) (정적 애플리케이션 보안 테스팅)
📌 한 줄 통찰 (The Karpathy Summary)
"코드를 실행하지 않고 숨은 흉기를 찾아내는 엑스레이." 소스 코드를 분석하여 런타임 이전에 보안 취약점(SQL Injection, XSS 등)을 조기에 발견하는 DevSecOps의 핵심 프랙티스다.
📖 구조화된 지식 (Synthesized Content)
- Mechanism:
- 코드를 파싱하여 추상 구문 트리(AST)나 제어 흐름 그래프(CFG)를 생성.
- 데이터가 신뢰할 수 없는 원천(Source)에서 위험한 지점(Sink)으로 흐르는지 추적하는 Taint Analysis 수행.
- Key Features:
- Shift-Left Security: 개발 초기 단계(IDE, PR)에서 보안 이슈를 해결하여 비용 절감.
- Full Coverage: 실행되지 않는 코드 경로까지 전수 조사 가능.
- Popular Tools: SonarQube, Snyk, Semgrep, Checkmarx.
⚠️ 모순 및 업데이트 (RL Update)
- SAST는 '오탐(False Positive)'이 많기로 유명하다. 맥락상 안전한 코드임에도 기계적으로 경고를 띄워 개발자의 피로도를 높일 수 있다. 이를 해결하기 위해 최근에는 AI가 오탐을 걸러내고 실제 위협만 요약해주는 'AI Guided SAST'가 주목받고 있다.
🔗 지식 연결 (Graph)
- Related: DevSecOps , Abstract-Syntax-Tree-Transformation
- Contrast: DAST (Dynamic Application Security Testing)