GitHub PR 보안 검사에 AI 탐지 추가… CodeQL 사각지대 축소
Original: Code scanning shows AI security detections on pull requests View original →
보안 검사가 merge 이후의 보고서가 아니라 pull request 화면 안으로 더 깊게 들어왔다. GitHub은 code scanning에 AI-powered security detections를 추가해 CodeQL이 기본 분석하지 못하는 언어와 프레임워크의 취약점 후보를 PR에서 바로 표시한다고 밝혔다.
변화의 핵심은 적용 지점이다. 개발자는 별도 보안 대시보드를 기다리지 않고, 코드 리뷰가 진행되는 pull request에서 AI 라벨이 붙은 탐지 결과를 확인한다. GitHub은 이 기능이 기존 CodeQL 결과와 구분되도록 AI 생성 알림에 AI 라벨을 붙인다고 설명했다.
동작 방식은 자동 분석에 가깝다. PR이 열리거나 업데이트되면 GitHub의 AI detection engine이 실행되고, 결과가 돌아오는 대로 표시된다. 모든 분석 소스가 끝날 때까지 기다릴 필요는 없다. 다만 결과는 informational 성격이라 PR merge를 직접 막지는 않는다.
사용 조건은 가볍지 않다. Enterprise policy에서 허용하고 organization level에서 켜야 하며, 저장소에는 CodeQL default setup이 활성화돼 있어야 한다. GitHub은 CodeQL이 AI 분석 자체를 수행하는 도구는 아니지만, AI detection engine이 동작하기 위해 CodeQL default setup에 의존한다고 적었다.
공개 미리보기는 github.com에서 GitHub Code Security, 즉 GitHub Advanced Security 고객에게 제공된다. 결제 측면도 눈여겨볼 부분이다. 미리보기 기간에도 Copilot 라이선스가 필요하고, 탐지가 실행될 때 조직의 AI credits를 사용한다. 보안 커버리지를 넓히는 기능이지만, 실제 도입 판단은 언어 커버리지, 오탐 관리, AI credit 비용을 함께 봐야 한다.
Related Articles
공개 저장소 이슈에 숨긴 지시가 조직의 private repo 접근으로 이어질 수 있다는 실험이 HN에서 가장 뜨거운 쟁점이 됐다.
Dependabot이 버전 업데이트 PR을 만들기 전 새 릴리스가 registry에 최소 3일 머물도록 기본값을 바꿨다. 보안 업데이트는 즉시 열리며, teams는 cooldown 설정으로 기간을 조정하거나 끌 수 있다.
보안 알림의 양보다 신뢰도가 더 중요한 단계로 들어섰다. GitHub는 LLM 기반 문맥 검증을 적용해 secret scanning 오탐을 목표치 65%보다 높은 75.76% 줄였다고 공개했다.