4일간의 4차례 반복 개선을 통한 보안 스캐너 정밀도 최적화

Context

npm 기반 MCP 패키지의 Command Injection을 탐지하는 AgentScore 스캐너 운영 중 31개 패키지에서 HIGH 취약점이 다수 발견된 상황. 초기 Regex 기반 탐지 로직이 템플릿 리터럴 패턴을 오탐하는 False Positive 문제와 컨텍스트 분석 부족으로 인한 정밀도 저하가 주요 한계점으로 작용.

Technical Solution

• Context-aware Mitigator 도입을 통한 정적 분석 정밀도 향상 및 7가지 신규 Sanitizer 카테고리 정의
• Buffer 기반의 전체 스캔 방식을 Tar Archive Entry별 개별 파일 스캔 구조로 변경하여 파일 간 컨텍스트 간섭 제거
• 파일 내 단일 매칭 처리 방식을 All-matches Walk 구조로 전환하여 조기 benign 콜로 인한 실 취약점 마스킹 현상 해결
• .md, .txt 등 특정 확장자에만 documentation_context를 적용하는 제약 조건을 추가하여 YAML 주석 오탐으로 인한 False Negative 방지
• GNU/pax Tar Parsing 도입 및 버전 핀 고정을 통한 데이터 일관성 확보