KOREA
ENGLISH
About us
GitHub 내 오픈소스 레포지토리의 취약점을 빠르게 탐지하고, LLM 기반 AI가 취약점을 자동으로 수정하여 PR까지 보내는 프로세스 자동화 솔루션을 제공합니다.
- 코드 취약점 자동 탐지 (Semgrep, CodeQL, SnykCode)
- LLM을 활용한 AI 기반 자동 코드 수정 및 가이드 생성
- GitHub PR 자동 생성 및 CI/CD 통합
AutoFiC는 완전 자동화된 보안 관리 시스템입니다. 사람이 개입하지 않아도, 코드 내 취약점을 SAST도구가 빠르게 탐지하고 정확하게 LLM모델이 수정하여 GitHub PR까지 자동으로 생성합니다.
개발자는 보안 문제 해결에 시간을 쏟는 대신 핵심 업무에만 집중할 수 있습니다.
Work Process
아래는 AutoFiC 보안 서비스의 기획부터 구현, 배포까지의 전체 개발 과정을 요약한 내용입니다.
핵심 기술, 자동화 흐름, 개발 전략을 한눈에 확인하실 수 있습니다.
Repository Analysis
GitHub에서 소스코드를 자동으로 탐색하여 SAST 도구들을 활용해 코드 내 숨겨진 보안 취약점을 정확하게 분석합니다.
AI-based Code Planning
SAST 도구를 통해 발견된 취약점을, LLM 모델을 통해 최적의 수정 코드를 작성하고 보안 가이드를 제공합니다.
Automated Deployment
코드 수정 사항을 자동으로 PR 형태로 제출하며, 별도의 조작 없이 서비스가 간편하게 운영될 수 있도록 지원합니다.
숫자로 보는
AutoFiC
AutoFiC의 역사
평균 취약점 탐지 개수
AutoFiC은 오픈소스 레포지토리 1개당 평균 10개의 취약점을 탐지했습니다.
분석 완료한 레포지토리
AutoFiC을 통해 총 170개의 오픈소스 레포지토리 중 1,250개의 취약점을 발견했고, LLM이 직접 코드를 수정하여 530건의 Pull Request를 자동으로 생성하였으며, 530건가 검토중입니다.
How to use AutoFiC?
AutoFiC을 처음 사용하더라도, 손쉽게 사용할 수 있게 설명서를 제공합니다.
순서대로, 사용자 실습환경의 운영체제에 맞게 토글을 선택하시면 이해하기 쉬운 설명서를 볼 수 있습니다.
-
AutoFiC 기본 설정
Windows ▾AutoFiC의 기본 설정을 완료합니다. 환경변수 설정과 실습환경 구축 등을 포함합니다.
-
SAST 도구 설치 및 연동
Windows ▾Semgrep, CodeQL, SnykCode의 로컬 설치 방법과 API 키를 할당받는 과정을 설명합니다. -
AutoFiC 사용법
Windows ▾AutoFiC을 통해, 오픈소스 레포지토리의 취약점을 탐지/수정/PR 전과정을 자동화합니다.
AutoFiC Team
🪪 Project Manager
- AutoFiC 총괄 PM
- Semgrep/CodeQL/SnykCode 자동화 설계
- Semgrep/CodeQL/SnykCode 전처리 구현
- 중간발표 진행 및 팀리딩
- AutoFiC 전반의 작업을 리드하고 피드백 제공
- 팀 보고서 제출 및 최종 발표
👩🏻💻 Development Team
- Semgrep 자동 실행 구현
- Prompt Engineering 및 템플릿 설계
- Prompt 자동 생성 기능 구현
- Diff 생성, Patch 로직 구현
- 전체 AutoFiC 프로젝트 리팩토링
👩🏻💻 Development Team
- Github API 연동 구현
- LLM API 연동, 자동 호출 구현
- UI/UX 개선
- 전체 AutoFiC 프로젝트 리팩토링
🔬 Research Team
- SAST/LLM 취약점 탐지 성능 비교 논문 작성
- CD 자동화 파이프라인 구현
- autofic.github.io 코드 리뷰
- Log 수집 및 데이터 전처리 코드 리뷰
- Dashboard Back-end 설계 및 구현
👩🏻💻 Development Team
- Source Code 다운로드 구현
- LLM 응답 parsing 구현
- Diff 생성, Patch 로직 구현
- Prompt Engineering 및 UI/UX 개선
- 전체 AutoFiC 프로젝트 리팩토링
🔬 Research Team
- SAST/LLM 취약점 탐지 성능 비교 논문 작성
- Fork, Clone, commit PR 자동화 구현
- CI Workflow 구현 및 Slack, Discord 알림 구현
- SnykCode, CodeQL 취약한 Repo 자동 수집
- autofic.github.io 설계 및 디자인
🔬 Research Team
- SAST/LLM 취약점 탐지 성능 비교 논문 작성
- Log 수집 및 데이터 전처리 구현
- autofic.github.io 코드 리뷰
- Dashboard Back-end 설계 및 구현
- Semgrep 취약한 Repo 자동 수집
🔬 Research Team
- SAST/LLM 취약점 탐지 성능 비교 논문 작성
- Log 수집 및 데이터 전처리 코드 리뷰
- autofic.github.io 코드 리뷰
- Dashboard Front-end 설계 및 구현
👨🏻🏫 Mentor
- Mentoring
- 프로젝트 전체 코드베이스 리뷰
- 향후 개발 방향성 제시
- 특허 출원 과정 지원
- 프로젝트 전반을 조율하는 역할
👨🏻🏫 Project Leader
- Mentoring
- 프로젝트 전체 코드베이스 리뷰
- 향후 개발 방향성 제시
- 특허 출원 과정 지원
- 프로젝트 전반을 조율하는 역할
Frequently Asked Questions
AutoFiC에 대해 자주 묻는 질문들을 정리했습니다.
이 외에 궁금하신 점이 있다면 언제든지 문의해 주세요!
AutoFiC는 어떤 프로젝트인가요?
AutoFiC는 오픈소스 레포지토리의 보안 취약점을 자동으로 탐지하고, AI가 수정 및 PR까지 생성해주는 완전 자동화 보안 솔루션입니다.
어떤 보안 분석 도구를 사용하나요?
Semgrep, CodeQL, SnykCode 등 다양한 SAST 도구 중 하나를 선택하여 사용할 수 있습니다.
LLM은 어떤 역할을 하나요?
SAST 도구로부터 전달받은 취약점에 대한 설명과 함께 자동 수정 코드를 생성하고, 필요시 추천 수정 방식도 제공합니다.
생성된 PR은 사람이 직접 검토해야 하나요?
권장 사항은 수동 검토입니다. AutoFiC는 자동 PR을 생성하지만, 최종 병합 전 코드 리뷰는 개발자가 진행해야 합니다.
CLI를 사용하는 부분이 어렵지 않나요?
명령어 한 줄로 전체 과정이 실행되며, 모든 옵션은 --help로 쉽게 확인할 수 있습니다.