Antigravity Agent
3.0 KiB
3.0 KiB
id, category, confidence_score, tags, last_reinforced
| id | category | confidence_score | tags | last_reinforced | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| P-REINFORCE-AUTO-WIKI-SEC-006 | Unified | 0.95 |
|
2026-05-01 |
Shift-Left & Supply Chain Security
📌 한 줄 통찰 (The Karpathy Summary)
"보안 검증을 개발 생명주기의 가장 초기 단계(코드 작성 및 리뷰)로 전진 배치하고, 외부 의존성(Open Source)의 무결성을 검증하여 프로덕션 사고 비용을 기하급수적으로 절감하는 방어 전략."
📖 구조화된 지식 (Synthesized Content)
현대적 보안은 사후 대응이 아닌 사전 예방과 공급망 관리에 집중합니다.
- Shift-Left Security:
- 조기 발견의 가치: 보안 테스트를 SDLC의 마무리 단계가 아닌 코드 작성 및 PR 단계로 앞당깁니다. 운영 환경 도달 전에 결함을 제거하여 수정 비용과 기술 부채를 최소화합니다.
- 자동화 통합: SAST (Static Application Security Testing) 및 린터를 CI/CD 파이프라인에 통합하여 인간 리뷰어에게 도달하기 전 1차 방어선을 구축합니다.
- Software Supply Chain Security:
- 의존성 무결성: 프로젝트에 포함된 오픈소스 라이브러리와 서드파티 패키지의 취약점(CVE) 및 라이선스 리스크를 SCA (Software Composition Analysis를 통해 감시합니다.
- 타이포스쿼팅 및 환각 대응: AI 생성 코드나 악의적인 패키지 주입(Typosquatting)으로부터 코드베이스를 보호하기 위한 검증 체계를 운영합니다.
- 지속적인 거버넌스:
- ASPM(Application Security Posture Management) 등을 통해 개발 전 과정의 보안 위협을 가시화하고 우선순위화하여 대응합니다.
⚠️ 모순 및 업데이트 (Contradictions & RL Update)
- 민첩성 vs 보안: 너무 촘촘한 보안 게이트는 개발 속도를 저하시킵니다. 리스크 기반의 적응형 보안 게이트(Adaptive Security Gate) 전략을 통해 속도와 안전의 균형을 찾아야 합니다.
- 오탐(False Positive) 관리: 자동화 도구의 노이즈는 리뷰어의 피로도를 유발합니다. 문맥을 이해하는 인간 전문가의 검토와 도구의 정교한 룰셋 튜닝이 병행되어야 합니다.
🔗 지식 연결 (Graph)
- SAST (Static Application Security Testing): 정적 분석을 통한 시프트 레프트 구현.
- SCA (Software Composition Analysis: 공급망 보안의 핵심 도구.
- CI-CD Pipeline: 보안 자동화가 실현되는 인프라.
- Architecture Review (아키텍처 및 설계 리뷰): 가장 극단적인 형태의 시프트 레프트(설계 단계 보안).
- DevSecOps: 보안 중심의 개발 및 운영 철학.