LLM 3단계 파이프라인 기반 코드 레벨 Compliance 스캐너 구현

I built an LLM-powered compliance scanner that points at the actual line of code

Nikolaos Petridis2026년 5월 16일4분intermediate

AI 요약

Context

문서 중심의 기존 Compliance 검증 도구가 실제 구현 코드의 취약점을 파악하지 못하는 한계 발생. Regex 기반 패턴 매칭은 컨텍스트 파악 불가로 인한 과도한 False Positive 발생으로 실효성 저하.

Technical Solution

Semantic 분석을 통한 MD5 사용 목적(비밀번호 해싱 vs 캐시 키) 구분을 위해 LLM 도입
비용 최적화를 위한 Recon(소형 모델의 의심 경로 추출) $\rightarrow$ Deep Scan(대형 모델의 라인별 분석) $\rightarrow$ Verify(환각 제거 및 중복 필터링)의 3단계 파이프라인 설계
LLM Provider-agnostic 아키텍처를 통해 OpenAI, Anthropic, Local LLM(Ollama 등) 간의 유연한 어댑터 교체 구조 적용
Rule Pack을 TypeScript 스키마 기반의 단일 파일로 모듈화하여 확장성 확보
코드 라인 번호, 법적 조항, 수정 코드(Fix)를 매핑하는 정밀 진단 결과 도출

실천 포인트

- 정규표현식으로 해결 불가능한 Semantic 분석 필요 시 LLM 도입 검토 - 전체 데이터를 고성능 모델에 입력하는 대신 '필터링 $\rightarrow$ 정밀 분석 $\rightarrow$ 검증'의 단계적 워크플로우 설계 - 특정 벤더 종속성 제거를 위해 API 어댑터 패턴 적용

태그

#Provider-agnostic #False Positive Reduction #Compliance-as-Code #LLM Pipeline #Static Analysis

원문 읽기