cosai-oasis/project-codeguard

이 저장소는 보안 AI 연합 (Coalition for Secure AI, CoSAI) 의 작업입니다. CoSAI 는 OASIS 오픈 프로젝트이며, 업계 선두 기업들의 AI 및 보안 전문가들로 구성된 개방형 생태계입니다. 우리는 안전한 AI 배포를 위한 모범 사례 공유와 AI 보안 연구 및 도구 개발에 협력하는 데 전념하고 있습니다.

CoSAI 에 대한 자세한 정보는 CoSAI 웹사이트와 거버넌스 정보 및 프로젝트 헌장을 포함하는 오픈 프로젝트 저장소를 방문하세요.

Project CodeGuard 는 안전한 기본값 (secure-by-default) 관행을 AI 코딩 워크플로우 (생성 및 검토) 에 내장한 AI 모델 무관 (model-agnostic) 보안 코딩 에이전트 기술 프레임워크 및 규칙 세트입니다. 이 프로젝트는 핵심 보안 기술과 규칙, 인기 있는 코딩 에이전트를 위한 번역기, 그리고 기술 및 규칙 준수를 테스트하는 유효성 검사기를 제공합니다.

AI 코딩 에이전트는 소프트웨어 공학을 변화시키고 있지만, 이러한 속도는 보안 취약점을 도입할 수 있습니다. 당신의 AI 코딩 에이전트 구현이 보안 취약점을 유발하고 있나요?

• 입력 검증 (input validation) 생략
• 시크릿 및 인증 정보 하드코딩
• 약한 암호화 알고리즘 사용
• 안전하지 않은 함수에 의존
• 인증/인가 (authentication/authorization) 체크 누락
• 기타 보안 모범 사례 누락 등

Project CodeGuard 는 AI 코딩 에이전트 워크플로우에 직접 보안 모범 사례를 내장함으로써 이 문제를 해결합니다.

코드 생성 중 및 이후.

Project CodeGuard 는 전체 AI 코딩 라이프사이클을 걸쳐 원활하게 통합하도록 설계되었습니다.

코드 생성 전, 기술과 규칙은 제품 설계와 사양 기반 개발 (spec-driven development) 에 사용될 수 있습니다. AI 코딩 에이전트의 "계획 단계"에서 기술과 규칙을 사용하여 모델이 처음부터 안전한 패턴을 따르도록 유도할 수 있습니다.코드 생성 중, 기술과 규칙은 코드가 작성되는 동안 AI 에이전트가 보안 문제를 예방하는 데 도움을 줄 수 있습니다.코드 생성 후, Cursor, GitHub Copilot, Codex, Windsurf, Claude Code 와 같은 AI 에이전트는 코드 검토를 위해 규칙을 사용할 수 있습니다.

Project CodeGuard 의 기술과 규칙은 필수 보안 도메인을 포괄합니다:

암호화: 안전한 알고리즘 (포스트 양자 암호화 포함), 안전한 키 관리, 인증서 검증
입력 검증: SQL 주입 방지, XSS 보호, 명령어 주입 방어
인증: MFA 모범 사례, OAuth/OIDC, 안전한 세션 관리
인가: RBAC/ABAC, 접근 제어, IDOR 방지
공급망: 종속성 보안, SBOM 생성, 취약점 관리
클라우드 보안: IaC 강화, 컨테이너 보안, Kubernetes 모범 사례
플랫폼 보안: 모바일 앱, 웹 서비스, API 보안
데이터 보호: 개인정보 보호, 정지/전송 중 암호화, 안전한 저장소

수 분 내에 시작하세요:

기술과 규칙 다운로드: 릴리스 페이지에서 다운로드하세요.프로젝트에 복사: AI 에이전트와 IDE 특정 기술 및 규칙을 저장소에 배치하세요.코딩 시작: AI 어시스턴트가 자동으로 보안 모범 사례를 따릅니다.

• 추가 세부 사항은 Get Started → 에서 확인하세요.

이 저장소는 또한 M