Time-to-exploit 24시간 미만 대응을 위한 Commit-time Chain Enforcement 도입

Context

전통적인 CI 기반 SAST 스캔은 코드의 Repository 진입 후 탐지하므로 24시간 미만의 빠른 공격 속도에 대응 불가능한 구조임. 특히 개별 취약점이 결합되어 발생하는 Vulnerability Chain의 경우, 스캔 주기와 수정 주기 사이의 갭으로 인해 치명적인 보안 윈도우가 생성되는 한계 존재.

Technical Solution

• Git Push 전 로컬 단계에서 작동하는 Pre-commit Gate 설계를 통한 Vulnerability Zero-entry 실현
• Full Repository 스캔 대신 변경 파일 및 직접 의존성만 분석하는 Intelligent Scoping으로 Commit 속도 최적화
• 단순 Severity 기반 필터링이 아닌, 변경 코드가 기존 Trigger를 완성하거나 새로운 Consequence를 추가하는지 분석하는 Chain-aware Graph 구축
• CVSS 스코어 외에 배포 환경과 파일 경로 등 컨텍스트를 반영한 Policy-based Enforcement 적용
• Gemini 2.5 Flash 등 AI Validation 계층을 통한 False Positive 제거 및 Critical Chain의 확정적 차단
• --no-verify 우회 시나리오 대응을 위해 Local Gate와 CI-side Fallback을 결합한 Defense-in-depth 구조 설계