피드로 돌아가기
How Dropbox uses MCP and Dash to close the design-to-code security gap
Dropbox TechDropbox Tech
Security

MCP와 Dash 기반의 자동화된 Threat Model 검증으로 PR 연결률 12%의 한계 극복

How Dropbox uses MCP and Dash to close the design-to-code security gap

Mark Breitenbach,Ishan Mishra2026년 6월 12일10intermediate

Context

Security Review 단계의 Threat Model 문서와 실제 구현 단계인 PR 간의 물리적 분리로 인한 보안 요구사항 누락 발생. 구현 시점과 리뷰 시점 사이의 긴 시간 간격(Median 5주)으로 인해 리뷰어의 컨텍스트 파악 비용이 급증하는 구조적 한계 직면.

Technical Solution

  • MCP(Model Context Protocol)를 통한 분산된 보안 문서와 코드 리뷰 워크플로우 간의 기술적 연결 계층 구축
  • Dash의 인덱싱 기능을 활용하여 수년간 누적된 조직 내 보안 문서 및 엔지니어링 데이터의 실시간 검색 가능 구조 설계
  • Foundational Model을 도입하여 단순 문서 링크 제공을 넘어 구현 코드와 요구사항 간의 간극을 분석하는 추론 로직 구현
  • 정적 분석 도구의 한계인 '의도(Intent) 파악 불가' 문제를 해결하기 위해 문맥 기반의 요구사항 검증 파이프라인 구축
  • 보안뿐 아니라 Privacy, Compliance 등 다양한 설계 문서 검증으로 확장 가능한 일반화된 Retrieval-Reasoning 패턴 적용

1. 설계 문서와 구현 코드 간의 추적 가능성(Traceability) 확보 방안 검토

2. MCP와 같은 표준 프로토콜을 활용한 내부 문서-툴 체인 연결 가능성 분석

3. 정적 분석 도구로 해결 불가능한 '비즈니스/보안 요구사항'의 자동 검증 프로세스 설계

원문 읽기