SCA 툴의 사각지대인 EOL 의존성 48.5% 탐지 및 제거

Context

CVE 기반의 기존 SCA 도구는 유지보수가 중단된 EOL 패키지를 탐지하지 못하는 설계적 한계 존재. 유지보수 부재로 인한 보안 패치 누락 및 잠재적 취약점 노출 위험이 invisible risk로 잔존하는 상황 분석.

Technical Solution

• 단순 binary 상태가 아닌 7단계 Lifecycle Stage를 정의하여 패키지 상태를 세밀하게 구분하는 분석 모델 설계
• GitHub API, deps.dev, Registry Heuristics를 결합한 다중 신호원 기반의 상태 판별 로직 구현
• Lifecycle과 Build Integrity라는 두 가지 축의 교차 평가를 통해 단순 활성화 여부를 넘어선 빌드 신뢰도 검증
• LLM을 활용한 데이터 흐름 추적 및 Attack Scenario 자동 생성을 통해 EOL 패키지의 실제 영향도 분석 시간 단축
• Detect-Prioritize-Remove로 이어지는 파이프라인을 구축하여 탐지 후 제거 단계까지의 엔지니어링 워크플로우 통합