rootscan_02_MVP 개발

툴 개발 개요 및 목적

• 데브섹옵스 관점 공부 → CI(통합) 전 단계에서 리스크 제거하기/자동화 기반 보안
  • 내 프로젝트들을 git에 업로드할 때 pre-push 훅을 통해 코드 취약점 탐지와 리포트 작성되도록 구현
  • push 전 보안 리스크 확인 및 수정 가이드 확인하기
  • push 전 보안 리스크가 있다면 push 강제 중지
• 기대 효과
  • 개발팀 보안 부담 감소 → 생산성 향상
  • 배포 단계에서 발견되는 보안 문제 대폭 축소
  • 자동 정리된 리포트로 보안 커뮤니케이션 비용 절감

구현

• 파이썬 기반 CLI, 서버 필요 없음
  1. SAST 도구(semgerp, trivy) 사용 취약점 탐지
  2. 보안 리포트 생성
  3. LLM 레이어 통해 요약 및 대응 방안 제시, SAST 도구의 영문 리포트 한글 번역
  4. 최종 리포트 결과 출력

    [Local Git Repo]
            │
    [rootscan CLI]
         ┌──▶ Static Analyzer (Semgrep/Trivy)
         │
         └──LLM Layer
                │
          ▶ Security Report Generator
                │
             Markdown 결과 출력

초기 MVP 이후 계획

• Git Hook
• 클라우드 LLM API 붙이기
  • SAST 툴을 통한 분석에서 LLM 통한 분석까지 확장
  • 품질 및 속도 향상 기대
• Node.js 및 Secret 탐지 확대
• 완성 후 배포 도전(pypi)