Purple Sentinel

풀고 있는 문제

보안은 한 영역만 챙기면 되는 일이 아닙니다. 코드 의존성 취약점은 Snyk이, 패치는 Dependabot이, 라이브러리 업데이트는 Renovate가 합니다. 각각은 잘 동작하지만, 이 모든 신호를 받아서 ISMS-P 컴플라이언스 보고로 잇는 일은 사람의 몫입니다.

문제는 개별 도구는 충분하지만 흐름이 없다는 점입니다. 취약점이 발견되면 사람이 영향도를 판단하고, 패치 PR을 만들고, 테스트하고, 배포하고, ISMS-P 양식에 맞춰 분기 보고서를 작성합니다. 매번 같은 순서를, 매번 다른 도구의 결과를 모아서.

접근 방식

“스캔부터 컴플라이언스 보고까지 한 흐름.”

기존 보안 도구 위에 통합 흐름과 자체 룰을 얹습니다. 취약점이 발견되면 자동 패치 PR이 생성되고, Test에서 검증되고, Pipeline에서 배포되고, Rollup에서 ISMS-P 보고서로 자동 요약됩니다.

영향도 기반 우선순위

Hub의 시스템 컨텍스트를 활용해 실제 사용 여부 기반으로 영향도를 판단합니다. 사용하지 않는 라이브러리의 취약점은 우선순위가 낮춰집니다.

자동 패치 흐름

패치 PR은 작은 단위로 분리되어 머지됩니다. 사람이 일상 패치에 관여할 일이 거의 없습니다.

ISMS-P 컴플라이언스 자동 보고

분기 단위 컴플라이언스 보고서가 패치·스캔 이력 기반으로 자동 생성됩니다.

핵심 인사이트

보안 도구의 한계는 개별 능력이 아니라 연결의 부재에 있습니다. 같은 데이터를 사람이 매번 다시 옮기고 있다면, 그것이 자동화의 첫 후보입니다.

결과 힌트

SA는 분기 컴플라이언스 보고서 한 장만 봅니다. 일상 패치는 자동 머지되어 PE도 신경 쓸 일이 없습니다.