rootscan_05_데모 리포트 뽑아보기

데모를 뽑아내기 위한 데모 코드 작성

예쁘게 꾸미는 것보다 가독성과 실용성에 몰빵해야 한다.
문서를 열자마자 "아, 이거 3개만 고치면 되는구나" 하고 감이 딱 와야 한다.

일단 일부러 취약하게 데모 코드를 작성했다.
환경 변수도 하드코딩하고.... 뭐 요즘은 이런 오류 정도는 알아서 걸러 주는 거름망이 많지만,
일단 직관적이니까.

리포트 뽑아보기

리포트는 크게 세 덩어리로 나뉜다.

1. 전체 요약 (Summary):

   • "총 5개 발견됨. 위험한 거(High) 2개."
   • 바쁠 땐 이것만 보고 심각한지 아닌지 판단하면 된다.

2. 상세 내역 (Findings):

   • 어떤 파일, 몇 번째 줄에 문제가 있는지 정확히 찍어준다.
   • 영어 원본 로그도 같이 보여줘서 더블 체크가 가능하다.

3. AI 가이드 (LLM Guide):

   • "이 코드는 SQL 인젝션 위험이 있어요. 이렇게 파라미터 바인딩 방식으로 고치세요." 하고 친절하게 알려준다.
   • 사실상 이 부분이 핵심이다. 검색할 시간을 아껴주니까. 필요하다면 레퍼런스 링크도 같이 걸어주면 된다.

실제 화면

rootscan demo report

• 로컬 LLM을 사용해서 문체나 흐름이 딱히 좋지는 않다.
• 신뢰성도 제고해야 할 필요는 있지만, 일반적으로 LLM이 취약점을 찾은게 아니라 라이브러리/도구가 잡은 것이라 신뢰할 수 있다.
• 이후 API를 사용해서 클라우드 LLM을 붙여보는 것을 목표로 한다.