소개
Security Scanner MCP 문서에 오신 것을 환영합니다!
Security Scanner MCP란?
Security Scanner MCP는 AI가 생성한 코드의 취약점을 자동으로 탐지하고 수정 방법을 제안하는 지능형 보안 파트너입니다.
연구에 따르면 AI가 생성한 코드는 사람이 작성한 코드�보다 322% 더 많은 보안 취약점을 포함하고 있습니다. 이 MCP 서버는 단순한 스캔을 넘어 안전한 코드 작성을 돕습니다.
왜 필요한가요?
AI 코드 생성 도구는 강력하지만, 종종 보안 취약점이 있는 코드를 생성합니다. Security Scanner MCP는 다음을 지원합니다:
- 💡 자동 수정 제안 탐지된 취약점에 대한 수정 방법
- 🏗️ IaC 파일 스캔 (Dockerfile, Kubernetes, Terraform)
- 📊 시각적 리포트 생성 Mermaid 다이어그램과 SARIF 형식
- 🐳 Docker 샌드박스에서 안전하게 실행 격리된 환경
- 🔍 업계 표준 도구 사용 (Trivy, Checkov, GitLeaks)
주요 기능
코드 보안 스캔
- 하드코딩된 비밀 정보 탐지 (API 키, 비밀번호, 토큰)
- SQL/NoSQL/커맨드 인젝션 취약점
- 크로스 사이트 스크립팅(XSS) 위험
- 암호화 약점
- 인증 및 세션 보안 문제
- 파일 및 경로 취약점
- 취약한 종속��성
IaC(Infrastructure as Code) 스캔
- Dockerfile: CIS Docker 벤치마크 기반 15개 이상 규칙
- Kubernetes: Pod 보안 표준 기반 13개 이상 규칙
- Terraform: AWS/GCP/Azure 보안 15개 이상 규칙
고급 기능
- 자동 수정 제안: AST 기반 코드 변환
- 포괄적인 리포트: Mermaid 다이어그램 + SARIF + CVE 정보
- Docker 샌드박스: 격리된 스캔 환경
- 외부 도구: Trivy, Checkov, GitLeaks 통합
간단한 예제
// ❌ 취약한 코드
const apiKey = "AIzaSyC1234567890abcdef";
const query = `SELECT * FROM users WHERE id = ${userId}`;
element.innerHTML = userInput;
// Claude가 탐지:
// 🔴 위험: Google API 키 하드코딩
// 🟠 높음: 템플릿 리터럴을 통한 SQL 인젝션
// 🟠 높음: innerHTML 할당을 통한 XSS