Molayo

© 2026 Molayo

Vercel헤드라인2026. 05. 05. 06:41

Deepsec 소개: 코드베이스의 취약점을 찾는 보안 허브

요약

Deepsec은 코딩 에이전트를 기반으로 하는 보안 허브로, 대규모 코드베이스의 취약점을 찾아내는 데 특화되어 있습니다. 이 도구는 자체 인프라에서 실행되며, 클라우드 설정 없이 노트북에서도 바로 사용할 수 있어 접근성이 높습니다. Deepsec은 정적 분석(static analysis)을 통해 잠재적인 보안 민감 파일을 식별하고, 코딩 에이전트가 데이터 흐름 조사, 완화 조치 확인 등을 수행하여 심각도 등급과 함께 실행 가능한 결과물을 제공합니다. 특히 인증 경로와 같은 미묘한 경계 사례를 찾아내는 데 강력하며, 위양성(false positives)을 줄이기 위해 발견된 취약점을 에이전트가 재검증하는 'Revalidate' 단계를 포함하고 있어 신뢰도를 높였습니다.

핵심 포인트

  • 코딩 에이전트를 활용하여 대규모 코드베이스의 보안 취약점 탐지 및 분석에 특화됨.
  • 정적 분석(Static Analysis)으로 시작하여, 코딩 에이전트가 데이터 흐름 조사와 완화 조치 확인을 수행하는 다단계 워크플로우를 가짐.
  • Vercel Sandboxes 등에서 대규모 병렬 스캔을 지원하며, 높은 확장성을 자랑함.
  • 발견된 취약점의 신뢰도를 높이기 위해 에이전트가 스스로 재검증(Revalidate)하는 단계를 포함하여 위양성률을 낮춤.
  • 플러그인 시스템과 커스텀 스캐너를 제공하여 특정 인증 모델이나 데이터 레이어에 맞게 적응할 수 있음.

오늘 우리는 코딩 에이전트를 기반으로 한 보안 허브인 : 오픈소스로 공개합니다. 이는 자체 인프라에서 실행되며, 대규모 코드베이스에서 찾기 어려운 문제를 노출합니다. deepsec 클라우드 서비스 설정 없이 노트북에서 바로 실행할 수 있습니다. 추론 (inference) 시에는 추가 설정 없이 기존 Claude 또는 Codex 구독을 사용할 수 있습니다. deepsec 단일 머신에서는 대형 저장소를 스캔하는 데 여러 일이 걸립니다. 병렬 연구 작업을 실행하기 위해 Vercel Sandboxes 를 위한 선택적 fanout 을 지원합니다. Vercel 의 코드베이스에서 스캔은 일반적으로 1,000 개 이상의 동시 sandbox 까지 확장됩니다. deepsec Opus 4.7 과 GPT 5.5 를 최대 노력과 xhigh reasoning 으로 사용하여 코드베이스에 대한 맞춤형 조사 (investigation) 를 수행합니다. deepsec claude codex 스캔은 보안 민감한 파일을 식별하기 위해 정적 분석 (static analysis) 으로 시작하며, 코딩 에이전트는 각 후보를 추적하여 데이터 흐름을 조사하고, 완화 조치를 확인하며, 심각도 등급과 함께 실행 가능한 결과물을 생성합니다. 여기에는 워크플로우가 있습니다: deepsec monorepos 와 고객 코드베이스에서 매우 유용했습니다. 개발 중에는 Vercel 의 고객 및 파트너의 몇 개의 오픈소스 저장소에서 : 를 실행했습니다. deepsec deepsec 예를 들어, . 의 스캔을 수행했습니다. Dub 는 애필리언 프로그램과 짧은 링크를 위한 마케팅 귀속 플랫폼이며 SaaS 로도 제공됩니다. 인증된 접근, 데이터베이스 상호작용, 여러 백엔드 서비스를 실행하여 큰 보안 표면 (security surface) 을 만듭니다. 우리는 우리의 발견을 창업자 Steven T ey 에게 공유했을 때, 그는 다음과 같이 답했습니다: deepsec deepsec open source version dub.co Vercel 의 자체 monorepos 에서 : 를 실행하면 인증 조건에서 미묘한 경계 사례를 식별하여 우리 코드에서 모든 인증 경로 (authentication path) 를 커버하는 을 개발하게 했습니다. deepsec custom scanner plugin 일부 '의 발견은 위양성 (false positives) 일 수 있습니다. 우리의 경험에 따르면 위양성률은 약 10-20% 입니다. 우리 자체 연구에서 위양성 발견의 영향력을 고려할 때, 우리는 이 결과를 만족하며, 위양성을 줄이기 위해 에이전트가 자신의 발견을 다시 검증하도록 하는 단계를 구축했습니다. deepsec revalidate 는 애플리케이션 및 서비스에 가장 잘 작동합니다. 라이브러리 및 프레임워크에도 사용 가능하지만, 이는 커스텀 프롬프트와 스캐너가 필요할 수 있습니다. deepsec 는 코드베이스에 맞게 적응하기 위한 플러그인 시스템을 제공합니다. 가장 일반적인 플러그인은 커스텀 스캐너입니다: 인증 모델, 데이터 레이어 또는 팀 관례에 맞춘 정규식 매칭기 (regex matchers) 입니다. 우리는 초기 스캔의 발견을 기반으로 이러한 매칭기를 작성하도록 코딩 에이전트와 함께 사용하는 것을 권장합니다: deepsec deepsec Anthropic 과 OpenAI 는 기본 모델이 수행하지 못하는 보안 작업을 수용하도록 미세 조정된 가장 강력한 모델의

ion and plugins Do I need access to a special "cyber model"? Getting started Feedback welcome

: It starts by performing a regex-only scan of all files for security-sensitive areas that subsequent steps will focus on.

Scan : Agents investigate each file identified in the scan.

Investigate : A second agent run validates investigation findings to remove false positives and reclassify severity.

Revalidate : Once investigation is complete, an agent uses git metadata and other optional services to identify the contributors responsible for fixing each issue.

Enrich : The command formats the findings as instructions so that they can be turned into tickets for humans and coding agents.

Export export False positives and best uses

AI 자동 생성 콘텐츠

본 콘텐츠는 Vercel AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0