SAST CI 연결 → DAST 배포 후 실행 → 오탐 줄이기 → 심각도 분류
취약점 진단 자동화를 기획할 때 정적 분석과 동적 분석을 분리해 각각 자동화하는 구조가 효과적이라고 생각합니다. SAST(정적 분석)는 코드가 머지될 때마다 CI에서 실행해 알려진 취약 패턴을 즉시 잡고, `DAST(동적 분석)`는 배포 후 실행 환경에서 실제 공격 시나리오를 시뮬레이션합니다. 자동화의 핵심은 오탐 비율을 낮추는 것인데, 탐지 규칙을 도메인 컨텍스트에 맞게 튜닝하지 않으면 노이즈가 많아 팀이 알람을 무시하게 됩니다.
취약점 심각도를 자동 분류해 CVSS 점수 기준으로 차단·경고·알림을 나누는 파이프라인이 실용적이라고 봅니다. 자동화로 잡지 못하는 비즈니스 로직 취약점은 여전히 수동 코드 리뷰가 필요하다는 점도 함께 고려해야 한다고 봅니다.