피드로 돌아가기
coding agents made repositories the security boundary
Dev.toDev.to
Security

Coding Agent 신뢰 모델을 모델 중심에서 Repository 경계 중심으로 전환

coding agents made repositories the security boundary

Paulo Victor Leite Lima Gomes2026년 6월 10일7intermediate

Context

기존의 코드 생성 도구 관리가 특정 모델의 성능이나 벤더 신뢰도에 의존하는 파편화된 구조로 운영됨. Agent가 단순 제안을 넘어 직접 파일을 수정하고 PR을 생성하는 Actor로 진화함에 따라 벤더별 정책으로는 확장 가능한 보안 거버넌스 확보가 불가능한 한계 발생.

Technical Solution

  • Repository를 모든 Automation Actor의 통합 Security Boundary로 설정하여 모델 종류와 무관한 단일 검증 체계 구축
  • CodeQL, GitHub Advisory Database, Secret Scanning을 통합한 강제적 Validation Layer 배치로 보안 취약점 유입 원천 차단
  • '문제 발견 $\rightarrow$ Agent 자동 수정 $\rightarrow$ 재검증'으로 이어지는 Recursive Remediation Loop를 통한 리뷰 효율화
  • Agent의 행동을 단순 Diff가 아닌 권한, 사용 도구, 검증 이력을 포함한 Audit Log 기반의 추적 가능한 데이터로 관리
  • 'Agent Propose'와 'Agent Merge' 권한을 엄격히 분리하여 최종 승인 단계의 Human-in-the-loop 구조 유지

- 현재 Repository 내 PR 생성이 가능한 모든 Automation Actor(Bot, Agent, CI) 목록 최신화 - 벤더별 신뢰 정책을 제거하고 모든 변경 사항에 동일하게 적용되는 Mandatory Security Scanning 설정 - Agent의 수정 경로를 복원할 수 있는 상세 Provenance 로그 수집 체계 검토 - Branch Protection Rule을 통한 Agent의 직접 Merge 권한 제한 및 검증 통과 필수 조건 설정

원문 읽기