CI/CD보안2 728x90 Trivy 공급망 침해와 LiteLLM·KICS 확산 연쇄 공격이 퍼지는 방식 사건 개요 (Executive Summary)이번 사건은 단순 취약점이 아니라 CI/CD 및 개발 생태계를 노린 “공급망 연쇄 공격”입니다.시작점: Trivy (취약점 스캐너) 배포 경로 침해확산LiteLLM (Python 패키지)Checkmarx KICS (IaC 스캐너, GitHub Action, VSCode 플러그인)공격 방식악성 코드가 정상 패키지/이미지/Action으로 위장설치 즉시 자격증명 탈취 + 지속성 확보결과CI/CD 환경 전체 탈취 가능수십만 시스템의 API Key / 클라우드 계정 / SSH 키 노출 가능성“보안 도구를 신뢰하는 구조 자체를 공격”공격 흐름 (Kill Chain)[1] Trivy 공급망 침해 ↓[2] GitHub Action / Docker 이미지 / 바이너리 .. 2026. 4. 3. AI 코드리뷰의 함정과 해법: GitHub Actions에서 시크릿·러너·권한 통제 AI Algorithm Mentor(알고리즘 풀이 자동 리뷰 GitHub Action)은, 알고리즘 풀이 코드를 GitHub에 푸시하면 문제 내용 + 내 코드를 함께 분석해서 “왜 맞는지/어디가 느린지/개선점은 뭔지”를 코치처럼 커밋 코멘트로 남겨주는 자동 리뷰 도구입니다. 알고리즘/코테 공부에서 가장 큰 병목은 보통 이 3가지입니다.정답은 맞는데 더 좋은 풀이가 있는지 모름시간/공간 복잡도(빅오)·엣지 케이스가 불안함혼자 공부하면 “리뷰/피드백”이 쌓이지 않음AI Algorithm Mentor는 이런 상황에서 “매 커밋마다 자동 회고/피드백 로그를 남기기”에 초점이 있습니다.동작 방식(핵심 아이디어를 흐름으로 이해하기)전체 파이프라인은 아래 4단계로 보면 가장 이해가 빠릅니다.풀이 파일 ‘첫 줄 주석’.. 2026. 1. 7. 이전 1 다음 728x90 728x90
