보안 도구 개발
rootscan_01_개발 계획 PRD
작성자 : Heehyeon Yoo|2025-12-09
# rootscan# 개발 계획# PRD
1. 제품 개요
rootscan은 Git 기반 개발 환경에서 자동으로 취약점을 탐지하고, 실용적인 보안 리포트를 생성하는 로컬 실행형 보안 분석 도구이다.
개발자는 push 전에 빠르게 보안 리스크를 확인하고, 즉시 수정 가이드를 받을 수 있다.
- 개발 속도를 저해하지 않는 간소화된 보안 점검
- 로컬 기반 오프라인 동작(서버 운영 불필요)
- Git Hook 및 CLI 기반 실무 워크플로우에 자연스럽게 통합
- LLM을 선택적 기능으로 제공
2. 타겟 사용자
| 사용자 유형 | 니즈 |
|---|---|
| 백엔드 개발자 | push 이전에 보안 체크 및 빠른 수정 |
| 스타트업 & 스몰팀 | SIEM/SAST 도입 비용 절감 |
| 버그바운티 연습자 | 실제 서비스 코드에서 취약점 탐색 |
| DevSecOps 초입 조직 | 보안 습관 내재화 |
3. 핵심 기능
3.1 Git Hook 기반 보안 점검
- pre-push 훅에 자동 설치
- 변경 파일만 분석하여 고속 처리
- 위험도 설정에 따라 push 차단 옵션 제공
3.2 로컬 SAST 자동 실행
초기 지원:
- Semgrep (언어 인식 자동)
- Trivy → 종속성 보안취약점 탐지 및 Secret 탐지 강화
3.3 보안 리포트 자동 생성
- Markdown 기반 리포트 (GitHub Issue에 바로 등록 가능)
- 위험도(H/M/L), 위치, 원인 코드, 영향 분석 포함
- POC 제안 (curl 등 단순 재현 가능 예시)
- 수정 가이드 포함
3.4 확장 가능 LLM 분석 (옵션)
A → C → B 단계적 확장
- A: LLM 비활성 기본 로컬 분석
- C: 로컬 경량 LLM 지원 (오프라인 분석)
- B: 사용자가 보유한 OpenAI/HF Key로 클라우드 분석
3.5 커맨드라인 인터페이스
| 명령 | 설명 |
|---|---|
rootscan init | Git Hook 설치 |
rootscan scan . | 현재 Repo 전체 또는 diff 분석 |
rootscan report --json | 결과를 다양한 포맷으로 출력 |
4. 아키텍처
[Local Git Repo]
│
[rootscan CLI]
┌──▶ Static Analyzer (Semgrep/Trivy)
│
└──(Optional) LLM Layer
│
▶ Security Report Generator
│
Markdown 결과 출력
- 서버 필요 없음 / API 호출은 사용자 설정 시에만 활성화
5. 실행 플로우
- 개발자가 코드를 작성
git push- pre-push Hook에서 rootscan 실행
- 위험도 체크 기준 충족 시 push 실패
- 수정 후 재시도 → CI 전 단계에서 리스크 제거
6. 우선 지원 스택
- Python: Django / Flask
- 점차 Node.js/Express → PHP(Laravel) 확장
7. 로드맵
| 단계 | 기능 |
|---|---|
| v0.1 | Python Repo + Semgrep + Trivy + 기본 리포트 |
| v0.2 | 로컬 경량 LLM 요약 |
| v0.3 | Git Hook 통합 + 위험도 기반 Push 차단 |
| v0.4 | Node.js 지원 + Secret 탐지 강화 |
| v0.5 | GitHub Action 플러그인 제공 |
8. 성공 기준(KPI)
- 개발자 Push 당 평균 3초 이하 실행 시간
- 취약점 탐지 후 수정까지 평균 15분 이내 유도
- 오탐율 30% 이하 유지 (LLM 개선 목표)
9. 비즈니스/라이선스 전략
- 완전 오픈소스 (MIT License)
- 커뮤니티 기반 Rule 기여 유도 (Semgrep Rule 확장)
10. UX Principles
- 개발자에게 직설적으로 알려줄 것
- 문서 공부 없이도 이해 가능한 간결한 메시지
- 코드와 수정 방향을 묶어서 제시
- Noise 없는 결과 (우선순위 필터)
11. 리스크 및 대응
| 리스크 | 대응 |
|---|---|
| LLM 오탐/루머 | LLM은 트리아지 보조, 최종 결정은 개발자 |
| 언어별 지원 부족 | Semgrep Rule 팩 확장 우선 |
| CI/CD 환경 매칭 문제 | GitHub/GitLab Action 제공 |
| 속도 이슈 | diff 기반 scan 최적화 적용 |
12. 비전
"보안이 귀찮은 게 아니라,
자동으로 따라붙는 기본 습관이 되도록 만들 것.
- rootscan은 개발자에게 부담 주지 않고, 프로젝트의 보안 수준을 자연스럽게 끌어올리는 DevSecOps 입문 도구가 되는 것을 목표로 한다.