Antigravity Agent
37 lines
2.6 KiB
Markdown
37 lines
2.6 KiB
Markdown
---
|
|
id: P-REINFORCE-AUTO-WIKI-SEC-001
|
|
category: Unified
|
|
confidence_score: 0.95
|
|
tags: [security, dast, runtime-testing, automation, ci-cd, p-reinforce]
|
|
last_reinforced: 2026-05-01
|
|
---
|
|
|
|
# [[DAST (Dynamic Application Security Testing)|DAST (Dynamic Application Security Testing]]
|
|
|
|
## 📌 한 줄 통찰 (The Karpathy Summary)
|
|
> "애플리케이션이 실행되는 런타임 환경에서 해커의 공격을 모방하여 외부로부터의 위협을 검증함으로써, 배포 후(Post-deployment) 보안의 공백을 메우는 동적 보안 스캐닝 자동화 계층."
|
|
|
|
## 📖 구조화된 지식 (Synthesized Content)
|
|
DAST는 라이브 환경에서 애플리케이션의 보안 상태를 점검하는 핵심 기술입니다.
|
|
|
|
1. **런타임 보안 검증**:
|
|
* 소스 코드가 아닌 실행 중인 애플리케이션을 대상으로 외부 공격을 시뮬레이션합니다.
|
|
* 실제 운영 환경에서만 발견되는 설정 오류나 동적 취약점(예: 세션 하이재킹, 인프라 보안 등)을 포착합니다.
|
|
2. **CI/CD 파이프라인 통합**:
|
|
* 배포 단계에 자동화된 스캐너로 통합되어 알려진 취약점을 선제적으로 필터링합니다.
|
|
* 이를 통해 인간 리뷰어는 단순 패턴 탐색에서 벗어나 고차원적 로직 및 위협 모델링에 집중할 수 있습니다.
|
|
3. **지속적인 보안 커버리지**:
|
|
* SAST(정적 분석)가 배포 전 보안을 책임진다면, DAST는 배포 후의 동작을 지속적으로 감시하여 생명주기 전체의 보안 무결성을 유지합니다.
|
|
|
|
## ⚠️ 모순 및 업데이트 (Contradictions & RL Update)
|
|
- **코드 연계의 한계**: DAST는 외부 공격 기반이므로 취약점이 발생한 소스 코드의 정확한 라인 번호를 지목하는 데 한계가 있습니다. 이를 보완하기 위해 IAST와의 결합이 권장됩니다.
|
|
- **부하 및 최적화**: 라이브 환경 테스트 시 시스템 부하 및 배포 지연(Bottleneck)이 발생할 수 있으므로, 스테이징 환경에서의 병렬 스캔 정책 수립이 필수적입니다.
|
|
|
|
## 🔗 지식 연결 (Graph)
|
|
- [[SAST (Static Application Security Testing)|SAST (Static Application Security Testing]]: 정적 분석과의 상호 보완성.
|
|
- [[IAST (Interactive Application Security Testing)|IAST (Interactive Application Security Testing]]: 런타임 데이터 흐름 분석과의 결합.
|
|
- Shift-Left Security: 보안 테스트의 조기 도입 전략.
|
|
- CI/CD Pipeline Integration: 자동화 워크플로우 내의 위치.
|
|
- Threat Modeling: 아키텍처 수준의 보안 설계.
|
|
---
|