취약점 처리 흐름
스캔 결과는 담당자, 위험도, 패치, 검증, 재발 방지로 연결한다
SAST, DAST, 의존성 스캔 결과가 티켓과 배포 차단 조건으로 이어질 때 반복 가능한 체계가 된다.
1
Detect
npm audit, Dependabot, Semgrep, ZAP 결과를 한 큐에 모은다.
2
Triage
노출 경로, 인증 필요 여부, 영향 범위를 보고 우선순위를 정한다.
3
Patch
패키지 업데이트, 설정 강화, DTO 검증, Guard 점검을 코드 변경으로 남긴다.
4
Verify
같은 스캐너와 회귀 테스트로 이슈가 사라졌는지 확인한다.
5
Prevent
리뷰 체크, lint 규칙, 파이프라인 차단 조건으로 재발을 막는다.
Owner
소유자 지정
담당 모듈과 배포 책임자가 보이는 티켓으로 관리한다.
Gate
배포 차단
치명도 높은 취약점은 예외 승인 없이는 릴리스하지 않는다.
Done
완료 조건
패치 PR, 재스캔 통과, 운영 반영, 재발 방지 항목까지 닫는다.