119 lines
7.5 KiB
Markdown
119 lines
7.5 KiB
Markdown
---
|
|
id: wiki-2026-0508-시프트-레프트-shift-left
|
|
title: 시프트 레프트(Shift Left)
|
|
category: 10_Wiki/Topics
|
|
status: needs_review
|
|
canonical_id: self
|
|
aliases: []
|
|
duplicate_of: none
|
|
source_trust_level: A
|
|
confidence_score: 0.92
|
|
tags: [auto-consolidated, technical-documentation]
|
|
raw_sources: []
|
|
last_reinforced: 2026-05-08
|
|
github_commit: pending
|
|
inferred_by: Claude Opus 4.7 (auto-normalize 2026-05-08)
|
|
tech_stack:
|
|
language: unspecified
|
|
framework: unspecified
|
|
---
|
|
|
|
# [[시프트 레프트 (Shift-Left)|시프트 레프트 (Shift-Left]]
|
|
|
|
## 📌 한 줄 통찰 (The Karpathy Summary)
|
|
> 시프트 레프트(Shift-Left)는 소프트웨어 개발 수명 주기(SDLC)에서 품질 검사 및 보안 취약점 탐지를 개발 초기 단계로 앞당기는 접근 방식을 의미합니다 [1, 2]. 코드를 실행하기 전인 IDE 작업, 커밋 전(pre-commit) 훅, 풀 리퀘스트(PR) 및 CI 파이프라인 단계에 정적 분석 도구를 통합하여 문제를 선제적으로 해결하는 것을 목표로 합니다 [3, 4]. 이를 통해 취약점이 프로덕션 환경에 도달하기 전에 발견함으로써, 복구에 드는 시간과 비용을 크게 절감할 수 있습니다 [3, 5].
|
|
|
|
---
|
|
|
|
> 시프트 레프트(Shift-Left)는 소프트웨어 개발 수명 주기(SDLC)의 초기 단계에서 취약점이나 버그를 탐지하고 수정하는 [[DevSecOps|DevSecOps]]의 핵심 전략입니다 [1, 2]. 개발자가 코드를 작성하는 IDE나 CI/CD 파이프라인에 보안 검사를 통합하여, 코드가 프로덕션 환경에 도달하기 전에 문제를 미리 파악합니다 [3, 4]. 이를 통해 개발 후반부나 배포 이후에 문제를 수정하는 것보다 훨씬 적은 비용으로 신속하게 결함을 해결할 수 있게 합니다 [5].
|
|
|
|
## 📖 구조화된 지식 (Synthesized Content)
|
|
* **핵심 원리 및 [[DevSecOps|DevSecOps]]:** 시프트 레프트는 개발 프로세스 초기에 취약점을 감지하고 치료(remediation)하는 DevSecOps의 핵심 부분입니다 [1]. 소프트웨어를 실행하지 않고 코드를 분석하는 [[SAST|SAST]](정적 애플리케이션 보안 테스트) 도구는 이러한 시프트 레프트 보안 워크플로우에 자연스럽게 부합하여 널리 사용됩니다 [2].
|
|
* **구현 전략:** 성공적인 시프트 레프트를 위해서는 IDE, 커밋 전 훅(pre-commit hooks), PR 단계에 SAST와 같은 보안 도구를 통합하여 '초기부터 자주(early & often)' 스캔하는 전략을 취해야 합니다 [4, 6]. 이를 통해 개발자는 코드를 작성하는 즉시 실시간으로 피드백을 받을 수 있습니다 [6].
|
|
* **비용 및 효율성 이점:** 개발 후반부나 프로덕션(Production) 배포 이후에 보안 문제를 발견하여 수정하는 것보다, IDE에서 코드를 작성하는 중에 취약점을 포착하여 수정하는 것이 비용 측면에서 훨씬 저렴하고 효과적입니다 [5]. 또한, QA(품질 보증) 과정을 시프트 레프트하고 기능을 더 작은 사용자 스토리로 분할하여 검증함으로써 소프트웨어 배포(Delivery) 속도를 획기적으로 최적화할 수 있습니다 [7].
|
|
|
|
---
|
|
|
|
- **초기 탐지 및 수정:** 시프트 레프트는 보안 및 품질 검사를 개발 프로세스의 앞단으로 이동시키는 전략입니다. 이는 배포 후가 아니라 소스 코드 작성 단계에서부터 실시간으로 문제의 근원을 찾아 조기에 해결하는 것을 목표로 합니다 [1, 3, 4].
|
|
- **개발 워크플로우와의 자연스러운 통합:** 시프트 레프트 전략을 실현하기 위해서는 정적 애플리케이션 보안 테스트([[SAST|SAST]])와 같은 검사 도구를 통합 개발 환경(IDE), pre-commit 훅, 풀 리퀘스트(PR), 그리고 CI/CD 파이프라인 등 기존 개발 워크플로우에 긴밀하게 통합해야 합니다 [3, 4, 6].
|
|
- **비용 절감 및 효율성 증대:** 코드를 작성하는 시점(예: 쿼리를 작성하는 중)에 SQL 인젝션과 같은 취약점을 즉각 포착하여 수정하는 것은, 향후 풀 리퀘스트 리뷰나 프로덕션 단계에서 결함을 발견하고 고치는 것보다 비용이 훨씬 저렴하고 처리 속도도 빠릅니다 [5].
|
|
- **SAST 및 인프라 보안 적용:** 애플리케이션을 실행하지 않고 소스 코드를 그대로 분석하는 SAST 도구는 시프트 레프트 보안 워크플로우에 매우 적합하게 기능합니다 [2]. 또한, 이 접근 방식은 코드 기반 인프라(IaC)에 대한 클라우드 보안 정책 검사를 개발 초기로 앞당기는 데에도 적용됩니다 [7].
|
|
|
|
## ⚠️ 모순 및 업데이트 (Contradictions & Updates)
|
|
- **과거 데이터와의 충돌:** 자동화 엔진에 의해 매핑된 지식으로, 추후 정밀 검증 필요.
|
|
- **정책 변화:** Programming & Language 분야의 자동 자산화 수행.
|
|
|
|
---
|
|
|
|
- **과거 데이터와의 충돌:** 자동화 엔진에 의해 매핑된 지식으로, 추후 정밀 검증 필요.
|
|
- **정책 변화:** Programming & Language 분야의 자동 자산화 수행.
|
|
|
|
## 🔗 지식 연결 (Graph)
|
|
- **Related Topics:** [[DevSecOps|DevSecOps]], SAST (Static Application Security [[Testing|Testing]], CI/CD
|
|
- **Projects/Contexts:** Snyk Code, [[Corgea|Corgea]], [[Axify|Axify]]
|
|
- **Contradictions/Notes:** 제공된 소스 전반에 걸쳐 시프트 레프트 접근법에 대한 반대 의견은 존재하지 않으며, 모든 문서가 조기 발견을 통한 수정 비용 절감 및 개발 속도 향상 효과를 긍정적으로 평가하고 있습니다.
|
|
|
|
---
|
|
*Last updated: 2026-04-18*
|
|
|
|
---
|
|
|
|
---
|
|
|
|
- **Related Topics:** [[DevSecOps|DevSecOps]], SAST (Static Application Security Testing), [[SDLC (소프트웨어 개발 수명 주기)|SDLC (소프트웨어 개발 수명 주기]], CI/CD
|
|
- **Projects/Contexts:** 코드가 작성되는 IDE, 풀 리퀘스트, CI 파이프라인 단계에 직접 통합하여 소프트웨어가 출시되기 전에 취약점과 버그를 수정하는 컨텍스트에서 주로 사용됩니다 [3, 5]. 구체적인 사례로 BDC 회사는 QA 단계의 시프트 레프트를 통해 소프트웨어 딜리버리를 최적화한 바 있습니다 [8].
|
|
- **Contradictions/Notes:** 주어진 소스 내에서 시프트 레프트 개념과 관련하여 상충하는 의견은 확인되지 않습니다.
|
|
|
|
---
|
|
*Last updated: 2026-04-18*
|
|
|
|
---
|
|
|
|
## 🤖 LLM 활용 힌트 (How to Use This Knowledge)
|
|
|
|
**언제 이 지식을 쓰는가:**
|
|
- *(TODO)*
|
|
|
|
**언제 쓰면 안 되는가:**
|
|
- *(TODO)*
|
|
|
|
## 🧪 검증 상태 (Validation)
|
|
|
|
- **정보 상태:** needs_review
|
|
- **출처 신뢰도:** A
|
|
- **검토 이유:** *(P-Reinforce Phase 1 자동 정규화. 본문 검증 필요.)*
|
|
|
|
## 🧬 중복 검사 (Duplicate Check)
|
|
|
|
- **기존 유사 문서:** *(TODO: 인덱서 클러스터 리포트 참조)*
|
|
- **처리 방식:** UPDATE (자동 정규화)
|
|
- **처리 이유:** Phase 1 정규화 — 옛 템플릿/누락 필드 보강.
|
|
|
|
## 🕓 변경 이력 (Changelog)
|
|
|
|
| 날짜 | 변경 내용 | 처리 방식 | 신뢰도 |
|
|
|------|-----------|-----------|--------|
|
|
| 2026-05-08 | P-Reinforce Phase 1 정규화 (frontmatter + 헤더 표준화) | UPDATE | A |
|
|
|
|
## 💻 코드 패턴 (Code Patterns)
|
|
|
|
**패턴 1:** *(TODO: 이 프로젝트 컨벤션 반영한 구조 스켈레톤)*
|
|
|
|
```text
|
|
# TODO
|
|
```
|
|
|
|
## 🤔 의사결정 기준 (Decision Criteria)
|
|
|
|
**선택 A를 써야 할 때:**
|
|
- *(TODO)*
|
|
|
|
**선택 B를 써야 할 때:**
|
|
- *(TODO)*
|
|
|
|
**기본값:**
|
|
> *(TODO)*
|
|
|
|
## ❌ 안티패턴 (Anti-Patterns)
|
|
|
|
- **[안티패턴]:** *(TODO: 무엇을 하면 안 되는가 + 이유 + 대신 무엇을)* |