인간, 봇, 그리고 에이전트가 Pull Request에서 취약점에 대해 소통하는 방식

개발자들은 CVE나 GHSA와 같은 명시적 식별자(explicit identifiers)뿐만 아니라, "unauthorized access(권한 없는 접근)" 또는 "SQL injection(SQL 인젝션)"과 같은 암시적인 보안 관련 언어(implicit security-related language)를 통해 Pull Request(PR) 논의 과정에서 취약점을 언급할 수 있습니다. 기존 연구들은 주로 명시적 식별자에 초점을 맞추어 왔으며, 이로 인해 공식적인 참조가 없는 취약점 논의를 간과했을 가능성이 있습니다. Pull Request에서 봇(Bots)과 코딩 에이전트(coding agents)의 사용이 점점 더 흔해짐에 따라, 서로 다른 계정들이 취약점에 대해 어떻게 소통하는지에 대한 새로운 질문이 제기되고 있습니다. 본 등록 보고서(registered report)에서는 인간, 봇, 그리고 코딩 에이전트가 Pull Request에서 수행하는 취약점 소통에 대한 계획된 연구를 설명합니다. AIDev-pop 데이터셋을 기반으로, 우리는 Pull Request의 제목, 설명, 리뷰 코멘트(review comments), 커밋 메시지(commit messages), 그리고 타임라인 논의(timeline discussions) 전반에 걸쳐 명시적인 취약점 참조와 암시적인 보안 관련 신호를 분석합니다. 나아가 이러한 참조들이 수정된 코드에서 도입되거나 수정된 취약점과 연관되어 있는지, 그리고 Pull Request 리뷰 활동 및 결과와 어떻게 관련되는지를 조사합니다. 본 연구는 현대 소프트웨어 개발에서의 취약점 소통 관행에 대한 대규모 실증적 조사(empirical investigation)에 기여합니다.