SARIF 표준 기반 feluda 통합을 통한 License Violation 자동 탐지 체계 구축

Context

기존 License Violation 탐지 프로세스는 빌드 단계에서 자동화되지 않아 법적 리스크 발견 시점이 늦어지는 한계 존재. 별도의 플러그인 설치 없이 기존 Security 대시보드 내에서 라이선스 위반 사항을 가시화할 필요성 대두.

Technical Solution

• OASIS 표준인 SARIF(Static Analysis Results Interchange Format) 포맷을 채택하여 도구 간 결과 전송 호환성 확보
• feluda의 --ci-format sarif 옵션을 통해 위반 사항을 표준화된 JSON 형태로 출력하는 파이프라인 설계
• feluda/restrictive-license(Warning)와 feluda/incompatible-license(Error)의 두 가지 Rule ID를 정의하여 심각도별 차등 관리
• GitHub Actions의 security-events: write 권한 및 github/codeql-action/upload-sarif를 활용한 Security Tab 자동 연동
• if: always() 조건 설정을 통해 Scan 실패 시에도 결과 파일이 업로드되도록 하여 가시성 누락 방지
• Monorepo 대응을 위해 Cargo, npm, Go, Python uv 등의 Workspace 지원 기능을 통한 통합 스캔 구조 적용