CI 파이프라인은 버그를 잡는다. 내 것은 아키텍처 드리프트, 공급망 위험을 잡고 릴리스 준비 상태까지 알려준다.

모든 CI/CD 파이프라인은 린터(linter)를 실행하고 테스트를 돌립니다. 어쩌면 SonarQube도 돌리죠. 그리고 아무도 순환 종속성(circular dependency)을 도입하지 않았고, GPL 충돌이 있는 미사용 라이브러리를 끌어오지 않았으며, 팀이 3개월 동안 합의했던 육각형 아키텍처(hexagonal architecture)를 조용히 망가뜨리지 않았기를 바라며 배포합니다.

저는 PR(Pull Request)가 올라간 후, 개발자가 정신적으로 다음 업무로 넘어간 후,

커밋 인텔리전스 (Commit Intelligence): 커밋 메시지 위생 관리, 브레이킹 체인지 감지, 자동 생성 변경 로그 초안, semver 제안 기능을 제공합니다.

파이프라인 최적화기 (Pipeline Optimizer): Jenkinsfile 자체를 분석합니다. 병렬 처리 기회, 캐싱 누락 지점, 리소스 낭비, 실패 복원력 문제 등을 찾아냅니다.

릴리스 준비 상태 (Release Readiness): 최종 단계입니다. 모든 이전 분석 결과를 종합하여 합성 점수(보안 가중치 3배, 아키텍처 가중치 2배)와 최종 판정(verdict)을 내립니다.

10줄 통합 (The 10-Line Integration)

Jenkinsfile에서 어떻게 작동하는지 보여드리겠습니다:

stage('ForgeAI Intelligence') {
    steps {
        script {
...

이것이 전부입니다. 이제 모든 빌드는 자체 포함된 HTML 보고서와 함께 AI 기반 분석을 받게 되며, 이는 빌드 아티팩트로 보관됩니다.

클라우드 없이 실행 가능 (It Runs Without the Cloud)
이는 저에게 있어 필수 조건이었습니다. 많은 팀들이 소스 코드를 외부 API로 전송할 수 없거나, 규제 환경(regulated environments), 에어 갭 네트워크(air-gapped networks)에 있거나, 혹은 단순히 보안 정책 때문에 그럴 수 있습니다.

ForgeAI는 제공업체에 구애받지 않습니다 (provider-agnostic). 다음을 지원합니다:

• OpenAI (GPT-4o, o1)
• Anthropic Claude (Sonnet, Opus)
• Ollama: 완전히 로컬에서 작동하며, 데이터가 네트워크를 벗어나지 않습니다.
• LM Studio, vLLM 또는 모든 OpenAI 호환 엔드포인트

Ollama 경로 덕분에 이 시스템은 기업 환경에서도 사용 가능합니다. deepseek-coder:6.7b를 가져와서 ForgeAI를 localhost:11434에 연결하면, 클라우드 의존성 없이 프로덕션급 파이프라인 인텔리전스를 갖게 됩니다.

'ChatGPT에게 물어보는 것'과 무엇이 다른가

저는 팀들이 코드를 ChatGPT에 붙여넣고 그것을

가중 복합 점수 산정(Weighted composite scoring). 모든 발견 사항이 동등하지 않습니다. 보안 취약점은 명명 규칙 문제보다 훨씬 시급합니다. ForgeAI는 보안에 3배, 아키텍처에는 2배의 가중치를 부여하여 복합 점수를 계산합니다.

파이프라인 네이티브(Pipeline-native). 브라우저 탭에서 실행되는 것이 아니라 CI/CD 내에서 실행됩니다. 결과는 빌드에 연결되고, 보관되며, 파이프라인을 실패시킬 수 있습니다. 이는 무시할 수 있는 제안이 아니라 품질 게이트의 일부가 됩니다.

스스로 분석합니다. Pipeline Optimizer 분석기는 Jenkinsfile을 읽어 비효율성을 찾아냅니다. 저는 다른 도구에서 이런 것을 본 적이 없습니다.

아키텍처(The Architecture)

Jenkins Pipeline
    └── ForgeAI Step (forgeAI / forgeAIScan)
        ├── DirectoryTreeCallable → 소스 파일 읽기
...

프로바이더 추상화는 깔끔합니다. LLMProvider는 인터페이스이며, 각 백엔드가 이를 구현하고, LLMProviderFactory가 전역 설정을 기반으로 선택합니다. 새로운 프로바이더를 추가한다는 것은 하나의 인터페이스만 구현하면 된다는 의미입니다.

분석기 패턴(analyzer pattern)도 유사합니다. BaseAnalyzer가 프롬프트 구성, LLM 호출, 결과 파싱을 처리합니다. 각 전문 분석기는 자체 시스템 프롬프트와 결과 스키마를 제공합니다. 만약 사용자 정의 분석기(예: 접근성 또는 i18n)를 추가하고 싶다면, BaseAnalyzer를 확장하여 등록하기만 하면 됩니다.

시작하기(Getting Started)

옵션 1: Jenkins Update Center에서 설치 (권장):

Manage Jenkins → Plugins → Available plugins로 이동하여 **

Upload target/forgeai-pipeline-intelligence.hpi 파일을 Manage Jenkins → Plugins → Advanced → Deploy Plugin을 통해 업로드합니다.

그런 다음 다음과 같이 구성합니다: Manage Jenkins → System → ForgeAI Pipeline Intelligence로 이동하여 LLM 제공업체를 선택하고, 엔드포인트와 API 키를 입력한 후, Test Connection을 클릭하면 실행됩니다.

examples/ 디렉토리에는 세 가지 주석이 달린 Jenkinsfile이 있습니다: 전체 스위트, 병렬 타겟 스캔, 그리고 로컬 Ollama 설정입니다.

향후 추가 예정 사항 (Upcoming Additions)

로드맵에는 GitHub Checks API 통합(PR 어노테이션), 히스토리 트렌드 대시보드, Slack/Teams 알림, UI를 통한 사용자 지정 분석기 지원이 포함됩니다. 기여는 환영하며, 프롬프트 엔지니어링, 추가 언어 지원, HTML 보고서 개선 등 모두 영향력이 큰 영역입니다.

Repo: github.com/jenkinsci/forgeai-pipeline-intelligence-plugin
Plugin page: plugins.jenkins.io/forgeai-pipeline-intelligence/

다음 주제: Claude Code와 Cursor를 사용하여 CrewAI 에이전트, 비밀 스캔(secret scanning), SAST, 그리고 Grafana 관측 가능성(observability)을 Docker에서 로컬로 실행하여 AI 거버넌스 SDLC를 팀에 구축한 방법.

연락처:

• GitHub: saurabh-oss
• LinkedIn: saurabh-tcs
• X: @sauvast
• Reddit: u/sauvast
• Discord: sauvast