피드로 돌아가기
I built a live secret scanner for VS Code (and why CI scanning is too late)
Dev.toDev.to
Security

CI 단계 이전의 실시간 Secret 탐지 및 Masking 구현

I built a live secret scanner for VS Code (and why CI scanning is too late)

thunderbird2026년 6월 22일1intermediate

Context

CI 단계에서 작동하는 gitleaks, trufflehog 등 기존 Secret Scanner의 사후 처리 한계 분석. Commit 이후 탐지되는 구조적 결함으로 인한 Git History 내 민감 정보 노출 위험 존재.

Technical Solution

  • IDE 내부에서 실시간으로 작동하는 Local-first 스캔 아키텍처 설계
  • 정규표현식(Regex) 기반의 알려진 Secret 포맷 정밀 탐지 로직 구현
  • Shannon Entropy와 Context 체크를 조합한 미식별 Secret 탐지 메커니즘 적용
  • Placeholders 필터링을 통한 False Positive 최소화 전략 채택
  • UI 레벨의 Lock Overlay를 통한 실시간 Masking 처리로 화면 공유 시 유출 방지
  • 데이터 외부 유출을 원천 차단한 100% Local 처리 프로세스 구축

1. Secret 탐지 시 정규식 외에 Entropy 기반 탐지 로직을 병행하여 미식별 토큰 탐지율 제고

2. 유출 방지 시점을 'Commit 후'에서 '작성 중'으로 전진 배치하는 Shift-left Security 적용 검토

3. 개발자 경험(DX)을 위해 Problems 패널 연동 및 원클릭 워크스페이스 스캔 기능 제공

원문 읽기