피드로 돌아가기
Making secret scanning more trustworthy: Reducing false positives at scale
GitHub BlogGitHub Blog
Security

LLM 기반 Contextual Verification을 통한 False Positive 75.76% 감소

Making secret scanning more trustworthy: Reducing false positives at scale

Natalie Guevara2026년 6월 11일4advanced

Context

Pattern-based detection의 한계로 인해 발생하는 대규모 False Positive가 개발자의 시스템 신뢰도를 저하시키는 병목 지점으로 작용. AI-powered generic secret detection 도입 후, 단순 패턴 매칭을 넘어선 정밀한 검증 메커니즘의 필요성 증대.

Technical Solution

  • Detection Pipeline의 후단에 LLM 기반 Contextual Verification 단계 추가하여 정밀도 향상
  • 전체 파일/레포지토리 분석 대신 고신호 정보만 추출하는 Focused Context 전략 채택을 통한 비용 및 Latency 최적화
  • 변수 할당 후 API Request, Auth Header, DB Client, Cloud SDK 호출로 이어지는 Data Flow 분석 로직 적용
  • 단순한 값의 형태가 아닌 코드 내 실제 사용 맥락을 분석하여 Placeholder 및 Test Data를 구분하는 추론 엔진 설계
  • Upstream Detection 로직의 변경 없이 검증 단계만 강화하여 기존 Coverage를 유지하는 비침습적 구조 설계

1. LLM 입력 시 전체 컨텍스트 대신 분석 목적에 맞는 핵심 시그널만 추출하여 전달하고 있는가?

2. 정밀도 향상을 위해 Detection과 Verification 단계를 분리하여 파이프라인을 구성했는가?

3. 데이터의 형태(Pattern)가 아닌 사용 흐름(Data Flow)을 추적하는 로직이 포함되었는가?

원문 읽기