AI 코드 에이전트가 개발 생산성을 높여주고 있지만, 때로는 오래되거나 알려진 취약점을 포함한 패키지 버전을 제안하여 개발자들을 곤란하게 만들기도 합니다. 이러한 문제를 해결하기 위해 새로운 명령줄 인터페이스(CLI) 도구인 'deptrust'가 공개되었습니다. deptrust는 개발자가 AI 에이전트가 추천하는 패키지의 보안 취약점 여부를 빠르고 쉽게 확인할 수 있도록 돕습니다.
deptrust는 npm, PyPI, Go modules, RubyGems, NuGet, Maven 등 10가지 이상의 주요 프로그래밍 언어 및 패키지 생태계를 지원하며, OSV(Open Source Vulnerability) 및 GitHub Advisory Database와 같은 공개 취약점 데이터베이스를 직접 조회합니다. 이 도구는 로컬에서 CLI 형태로 실행되므로 별도의 호스팅 서비스에 의존할 필요가 없으며, 특정 패키지 버전의 취약점 유무를 확인하고 위험 점수와 함께 '차단(block)', '검토(review)', '허용(allow)' 등의 권장 사항을 제공합니다. 예를 들어, 최신 버전이더라도 72시간 이내에 게시된 패키지는 '검토' 신호를 보내 개발자가 신중하게 판단하도록 유도합니다.
이러한 deptrust의 등장은 AI 기반 개발 환경에서 보안을 강화하는 중요한 단계로 평가됩니다. AI 에이전트의 활용이 확대될수록, 그들이 생성하는 코드의 안정성과 보안성은 더욱 중요해질 것입니다. deptrust는 개발자들이 AI의 도움을 받으면서도 잠재적인 보안 위험을 사전에 차단하고, 더 안전한 소프트웨어를 구축하는 데 필수적인 도구가 될 것입니다. 이는 개발 생산성 향상과 보안 강화라는 두 마리 토끼를 모두 잡는 데 기여할 것으로 기대됩니다.