단일 API 호출로 의존성 보안검증 486ms 내에 완료함

Context

코딩 에이전트가 의존성을 제안할 때 개발자는 여러 소스(GitHub stars, 커밋 날짜, npm advisory, 라이선스)를 수동으로 확인해야 함. AI 에이전트는 이 작업을 자동화할 구조화된 신호가 필요함.

Technical Solution

• package-security-audit: OSV.dev, deps.dev, 레지스트리 API를 하나의 API로 통합함
• 병렬 요청 처리: 4개 소스를 동시에 호출하여 486ms 내에 응답을 반환함
• OpenSSF Scorecard: 18개 보안 체크리스트를 자동 평가함
• Risk Scoring Algorithm: 100점 만점에서 critical CVE -25점, deprecated -20점, 2년 미갱신 -20점, 라이선스 부재 -15점 감점함
• MCP Server 제공: npx strale-mcp로 Claude Code, Cursor, Windsurf 등 AI 에이전트 직접 연동함

Impact

Express 4.18.2 예시에서 94/100 점수(low risk), 2개 low severity 취약점 식별함. 패키지 보안 감사 €0.15, 라이선스 호환성 €0.05에 제공함.

Key Takeaway

분산된 보안 데이터를 단일 API로 통합하면 AI 에이전트가 의존성 추가 결정을 자동화할 수 있음. provenance 메타데이터로 데이터 출처를 추적할 수 있음.