피드로 돌아가기
900+ Downloads, 1 Star, 1 Comment: What I Learned Launching a Security Tool
Dev.toDev.to
Security

Regex 기반 탐지율 100% 달성 및 AST Taint Tracking 전환 설계

900+ Downloads, 1 Star, 1 Comment: What I Learned Launching a Security Tool

Dockfix Labs2026년 6월 30일3intermediate

Context

AI Agent 보안을 위한 Static Analysis 도구 AgentGuard의 초기 런칭 단계. 기존 Regex 기반 탐지 방식의 한계로 인해 복잡한 데이터 흐름 추적이 불가능하며, 툴 자체의 규칙 정의 파일까지 스캔하는 False Positive 발생 구조적 문제 노출.

Technical Solution

  • Regex 패턴 매칭을 통한 OWASP ASI Top 10 카테고리 전수 탐지 설계
  • 스캔 대상에서 rules/ 및 test 파일 경로를 기본 제외하는 Filter 로직 적용으로 False Positive 제거
  • 단순 패턴 매칭의 한계를 극복하기 위한 AST(Abstract Syntax Tree) 기반 Taint Tracking 도입 결정
  • Source에서 Sink로 이어지는 Variable Assignment 및 Data Flow 추적 메커니즘 설계
  • LLM 전용 Sink(openai.chat.completions.create 등)에 특화된 분석 파이프라인 구축
  • CI/CD 통합을 위한 GitHub Action 워크플로우 제공으로 배포 자동화 구현

- 보안 툴 설계 시 분석 대상 제외 리스트(Exclusion List)를 기본 설정하여 False Positive 최소화 - 단순 패턴 매칭을 넘어 변수 할당과 흐름을 추적하는 AST 기반 분석 검토 - 기술 도구 런칭 시 단순 기능 나열보다 타 솔루션(Semgrep, CodeQL 등)과의 비교 테이블 제공 - 개발자 경험(DX) 향상을 위해 GitHub Action 등 CI/CD 통합 환경 우선 제공

원문 읽기