Library Check

🔒 package.json만 업로드하면, 사용 중인 라이브러리 버전에 알려진 취약점(CVE)이 있는지 자동으로 검사해 주는 서비스입니다.
초기에는 Node.js 의존성에 집중하지만, 추후 Gradle 등 다른 언어·빌드 시스템으로 확장하는 것을 목표로 합니다.

---

🎯 목표

• 개발자가 직접 CVE 사이트를 돌아다니며 검색하지 않아도 되도록 의존성 취약점 검사를 자동화합니다.
• package.json, lock 파일 등 매니페스트 파일만 업로드하면 결과를 확인할 수 있게 합니다.
• 장기적으로는 Node.js를 넘어, Java(Gradle/Maven), Python 등 여러 언어의 의존성 파일을 지원하는 통합 취약점 조회 서비스를 지향합니다.

---

🏗 전체적인 구조

Frontend

• 대시보드 UI
• 주요 페이지:
  • 로그인 / 회원가입
  • 취약점 리스트 페이지
  • 프로젝트 및 의존성 등록 페이지
  • 스캔 결과 조회 페이지

Backend

• NestJS 기반 REST API 서버
• 주요 역할:
  • 사용자 인증 및 권한 관리
  • 프로젝트 / 라이브러리 / 스캔 결과 CRUD
  • 취약점 DB 조회 및 매칭 로직

Vulnerability 데이터

• NVD / OSV 등 외부 취약점 DB에서 데이터 수집
• 로컬 DB에 취약점 정보를 저장하고, 정기적으로 동기화

DB (예정 스키마)

• users
• projects
• dependencies (프로젝트별 사용 라이브러리)
• vulnerabilities (CVE 등 취약점 정보)
• scan_results (검사 실행 기록 및 매칭 결과)

---

✨ 주요 기능

1. 의존성 파일 업로드

• package.json 업로드 후, 내부에서 라이브러리 이름·버전을 파싱합니다.
• 추후 package-lock.json, pnpm-lock.yaml, Gradle/Maven 파일 등으로 확장 예정입니다.

2. 취약점 매칭

• 업로드된 라이브러리 목록을 기반으로, 취약점 DB에서 해당 패키지·버전에 해당하는 취약점을 검색합니다.
• 취약점 심각도(예: Critical / High / Medium / Low)와 함께 결과를 표시합니다.

3. 취약점 리스트/검색

• 전체 취약점 목록을 테이블 형태로 제공합니다.
• 라이브러리 이름, 버전, 심각도, 공개일 등으로 필터링/검색이 가능합니다.

4. 프로젝트 관리

• 사용자가 여러 프로젝트를 등록하고, 각 프로젝트별로 의존성 및 스캔 결과를 관리합니다.

5. 향후 계획

• 신규 취약점이 등록되었을 때, 영향을 받는 프로젝트 사용자에게 이메일 알림을 제공합니다.
• 다른 언어/에코시스템(Gradle, Maven, pip 등) 지원을 추가합니다.

---

🐞 이슈와 해결 과정

1. 방대한 CVE 데이터를 어떻게 다룰 것인가?

• 이슈
  CVE/NVD 데이터는 매우 방대해서, 전부 수집·저장하는 것이 부담일 수 있습니다.

• 고민한 방향

  • 전체 CVE를 로컬 DB에 모두 적재할지
  • 필요할 때마다 외부 API를 조회할지
  • 하이브리드(자주 쓰는 패키지만 캐싱)로 갈지 비교

• 현재 선택

  • 초기 MVP 단계에서는 OSV/NVD 등에서 패키지 단위 조회 + 캐싱 전략으로 시작합니다.
  • 서비스 규모가 커지면, 정기적으로 JSON 피드를 내려받아 로컬 미러링하는 구조로 확장할 계획입니다.

---

2. AI를 어디까지 쓸 것인가?

• 이슈
  모든 것을 AI로 해결하려고 하면, 정확도·신뢰성 문제가 생깁니다.

• 결정

  • “이 버전에 취약점이 있는가?”라는 판단 로직은 공식 DB 기반으로만 처리합니다.
  • AI는 취약점 설명 요약, 영향 분석, 리포트 생성 등 보조 기능에만 사용합니다.