Interlace 도입 통한 보안 Linter Recall 100% 및 FP Zero 달성

Context

기존 eslint-plugin-security 등 레거시 보안 Linter의 높은 False Positive(FP) 비율로 인한 Alert Fatigue 발생. 대다수 도구가 낮은 Recall 수치와 최신 OWASP 취약점 대응 부재라는 구조적 한계를 보유함.

Technical Solution

• 범용 Linter 구조에서 탈피하여 도메인별로 특화된 10개의 Specialized Plugin 체계로 분리 설계
• 14개 보안 카테고리 및 40개 취약점 패턴을 커버하는 201개의 정밀 Rule Set 구축
• Parameterized Query 및 Allowlist Validation 등 Safe Pattern 38종을 정의하여 FP 발생 원천 차단
• ESLint 9.x Flat Config 최신 표준 적용을 통한 런타임 Crash 해결 및 정적 분석 안정성 확보
• JWT Algorithm Confusion 및 최신 SSRF 패턴 등 진화하는 공격 벡터를 반영한 Rule 업데이트 프로세스 도입

Impact

• Vulnerability Detection Recall: 기존 5%~35% 수준에서 100%(40/40)로 향상
• Precision 및 F1 Score: Interlace Ecosystem 기준 100% 달성 (FP 0건)
• False Negative Rate: eslint-plugin-security 대비 72.5%p 감소

Key Takeaway

보안 정적 분석 도구 설계 시 단순 탐지율 향상보다 False Positive 제거를 통한 개발자 신뢰 확보가 우선되어야 함. 범용적인 단일 플러그인보다 도메인 특화된 모듈형 Rule 체계가 정밀도와 유지보수성 측면에서 우월함.