YAML 기반 Custom Rule 엔진으로 SAST 도구의 탐지 공백 제거

Context

기성 SAST 도구의 기본 Ruleset이 제공하는 범용적 탐지의 한계로 인한 보안 공백 발생. 특히 프레임워크 특화 취약점이나 조직 내부의 Custom Library 패턴을 감지하지 못하는 아키텍처적 제약 존재.

Technical Solution

• YAML 기반의 Rule Engine을 도입하여 Scanner 재빌드나 Python 코드 수정 없이 탐지 로직을 확장하는 구조 설계
• 구체적인 텍스트 패턴, Safe Code 대조군, 적용 언어, Confidence Level의 4단계 정의 프로세스를 통한 False Positive 최소화
• Spring Framework의 Proxy-based AOP 특성을 반영하여 private 메서드 내 @Transactional 어노테이션 오용을 감지하는 Java 특화 룰 구현
• 정규표현식(Regex) 패턴 매칭을 통해 내부 라이브러리의 민감한 사용 패턴을 식별하는 조직 레벨의 탐지 체계 구축
• rules/custom/ 디렉토리 경로 지정 방식을 통한 Core Ruleset과 Custom Ruleset의 물리적 분리 및 유지보수 효율성 확보