Semgrep와 CodeQL로 SAST 자동화하기
중급45분12시간 전
채용 과제나 포트폴리오용 코드를 제출하기 전에 취약한 코드 샘플을 Semgrep으로 점검하고, 로컬 검사 기준을 설정 파일로 고정한 뒤 GitLab CI와 GitHub CodeQL 자동 검사 파일까지 구성합니다. 최종 결과물은 JSON과 SARIF 결과 파일, .gitlab-ci.yml, .github/workflows/codeql.yml, 그리고 Notion에 붙여넣기 좋은 보안 점검 요약 문단입니다.
이 실습은 터미널에서 진행됩니다
오른쪽 패널에서 설치 명령어를 복사하세요이런 걸 배워요
- 취약 코드 샘플을 기준으로 정적 보안 검사를 실행할 수 있습니다.
- Semgrep 설정 파일을 만들어 로컬 보안 점검을 자동화할 수 있습니다.
- GitLab CI와 GitHub CodeQL 워크플로우 파일을 작성할 수 있습니다.
- JSON과 SARIF 결과를 저장하고 제출 전 보안 체크리스트로 정리할 수 있습니다.
어떻게 진행해요
1. 환경 확인하기
2. 취약 코드 샘플 만들기
3. 검사 도구 설치하기
4. 검사 규칙 파일 만들기
5. 로컬 검사 실행하기
6. GitLab 자동 검사 추가하기
7. GitHub 검사 흐름 추가하기
8. 산출물 점검하고 요약하기
AI 튜터가 각 단계를 하나씩 안내해줄 거예요