본문 바로가기

ci/cd38

빠른 개발의 대가: 바이브 코딩 AI 코드, “돌아간다”는 “안전하다”가 아니다 AI 코딩 시대, 보안은 자동으로 따라오지 않는다“바이브 코딩”이 뭔데, 왜 보안이 이슈가 되나?바이브 코딩(Vibe Coding)은 개발자가 자연어로 “이 기능 만들어줘”라고 말하면 LLM 기반 생성형 AI가 즉시 실행 가능한 코드를 만들어주는 방식으로, 회원가입/로그인/인증 같은 기능부터 웹앱 개발까지 빠르게 만들어 생산성이 커졌습니다.핵심 문제는 “동작하는 코드 = 안전한 코드”가 아니라는 점입니다.보안업계는 AI가 만든 코드가 문법/기능은 그럴듯해도 입력값 검증 누락, 과도한 권한 부여, 인증 우회 가능성, 예외 처리 중 내부정보 노출 같은 전통적 취약점을 포함하는 사례가 많다고 지적합니다.핵심 요약AI 생성 코드의 45%가 보안 테스트 실패LLM이 생성한 코드 샘플 분석결과 전체 45%가 보안 .. 2026. 1. 6.

OSV Scanner x EPSS x KEV: 우선순위 기반 오픈소스 취약점 대응법 오픈소스 취약점 관리의 시작, OSV Scanner 완전 정복오픈소스 의존성이 폭발적으로 늘어나면서 “우리 서비스가 어떤 취약한 라이브러리를 쓰고 있는지”를 정확히 파악하는 것이 점점 더 중요해지고 있습니다. OSV Scanner는 Google이 개발한 오픈소스 취약점 스캐너로, 다양한 언어·패키지 생태계를 한 번에 검사할 수 있는 도구입니다.OSV Scanner 개념 → 설치와 기본 사용 → CI/CD·SIEM·자산관리 연동 → 우선순위 산정 → 자동화·운영 팁OSV Scanner란 무엇인가?1. OSV(Open Source Vulnerabilities) 데이터베이스OSV Scanner는 OSV.dev 취약점 데이터베이스를 기반으로 동작합니다.각 오픈소스 패키지의 버전 범위 단위로 취약점을 관리CVE,.. 2025. 11. 27.

공급망 위협을 차단하는 gVisor 기반 GitHub Actions 샌드박스 전략 왜 샌드박스가 필요한가문제: GitHub Actions는 기본적으로 같은 VM 안에서 여러 step이 실행됩니다. 한 단계에서 악성 코드가 실행되면 다음 단계나 캐시, 러너 환경까지 영향을 줄 수 있습니다. 또한 캐시 토큰 오용(포이즈닝)과 체크아웃 토큰 노출 등 공급망(Supply Chain) 리스크가 현실적인 위협입니다.해결: 각 명령을 gVisor 샌드박스 안에서 실행합니다.루트 파일시스템: Ubuntu 24.04 유사 환경.툴 디렉터리(RUNNER_TOOL_CACHE): 읽기 전용 마운트.워크스페이스(GITHUB_WORKSPACE): 오버레이(기본 비영속, 변경사항이 호스트에 자동 반영되지 않음).효과: 단계 간 격리 강화, 캐시/토큰 남용에 따른 피해 확산 억제, 외부 PR/오픈소스 의존성 검증.. 2025. 11. 3.

Cursor IDE 기반 확장·가상환경 및 실시간 개발·배포·보안 통합 프로세스 1. Cursor 확장 프로그램 베스트 프랙티스1.1 필수 확장 (핵심)ESLint / Prettier – 린팅 + 일관 포맷Git Graph / Git History – 시각적 Git 관리Python / Pylance / Python Debugger – 파이썬 개발 필수PHP Intelephense – PHP 인텔리센스 (⚠️ 기본 PHP 확장 비활성 권장)Docker / DotEnv – 컨테이너/환경변수 관리Todo Highlighter – TODO 주석 트래킹(선택) Remote - SSH / Dev Containers – 원격/컨테이너 개발1.2 프론트엔드/디자인Auto Rename Tag – 태그 자동 이름 동기화Tailwind CSS IntelliSense – 유틸리티 클래스 자동완성Nord .. 2025. 9. 19.

어디서나 같은 명령어: IDE·CLI·헤드리스 코딩 에이전트 개발 생태계 코딩 에이전트 CLI는 명령행 환경에서 실행되는 지능형 코드 보조 도구입니다.IDE 플러그인에만 국한되지 않고 터미널, 원격 서버, 컨테이너, CI/CD 환경에서 동일한 방식으로 활용할 수 있습니다.GUI(그래픽 환경) 없이도 동작할 수 있으므로 헤드리스 환경에 적합합니다.발전 흐름초기 단계: 자동완성, 코드 추천 기능 중심.중간 단계: 질의응답 기반 코드 검색, 에디터 내 인라인 수정 지원.심화 단계: 파일 생성·삭제, 명령 실행, 코드베이스 전체 검색까지 가능.현재 단계: CLI 및 헤드리스 환경에서 독립적으로 활용 가능.주요 특징CLI·헤드리스 환경 지원터미널, 원격 서버, CI 파이프라인, 컨테이너 환경에서 사용 가능.IDE(Neovim, JetBrains 계열, Xcode, Android Stu.. 2025. 9. 15.

이전 1 2 3 4 ··· 8 다음

728x90

티스토리툴바