Semgrep과 GitHub Code Scanning으로 SAST 자동화하기
중급40분4시간 전
샘플 취약 코드를 Semgrep으로 로컬 스캔하고, GitHub Actions에서 CodeQL과 SARIF 업로드가 동작하도록 보안 스캔 파이프라인을 구성합니다. 최종 결과물은 Semgrep 설정 파일, GitHub Actions용 codeql.yml, SARIF 업로드 워크플로우, 샘플 취약 코드, 그리고 팀 공유용 보안 리포트가 포함된 폴더 구조입니다.
이 실습은 터미널에서 진행됩니다
오른쪽 패널에서 설치 명령어를 복사하세요이런 걸 배워요
- SAST가 개발 흐름에서 어느 지점에 들어가는지 설명할 수 있습니다.
- Semgrep으로 로컬 취약 코드 스캔을 실행할 수 있습니다.
- GitHub Code Scanning용 CodeQL 워크플로우를 구성할 수 있습니다.
- SARIF 파일을 GitHub 보안 탭에 업로드하는 워크플로우를 작성할 수 있습니다.
- 로컬 스캔 결과를 팀 리뷰용 보안 리포트로 정리할 수 있습니다.
어떻게 진행해요
1. 환경 검증하기
2. Semgrep 준비하기
3. 샘플 취약 코드 만들기
4. 보안 검사 규칙 작성하기
5. 로컬 스캔 결과 저장하기
6. CodeQL 워크플로우 작성하기
7. SARIF 업로드 워크플로우 작성하기
8. 팀 공유 리포트 정리하기
AI 튜터가 각 단계를 하나씩 안내해줄 거예요