최근 소프트웨어 공급망 보안에 대한 관심이 높아진 가운데, Rust 생태계의 코드 리뷰 도구인 cargo-crev가 대형 언어 모델(LLM)을 활용한 코드 리뷰를 지원하게 되었습니다.

cargo-crev는 개발자들이 의존성 코드를 상호 검토하고 신뢰 네트워크를 통해 공유함으로써 오픈소스 생태계의 보안과 신뢰성을 높이고자 2018년에 시작된 프로젝트입니다.

하지만 개발자들의 시간 부족으로 인해 충분한 코드 리뷰가 이루어지지 못하는 한계가 있었습니다.

최근 LLM이 복잡한 보안 문제를 찾아내는 데 효과적이라는 평가가 나오면서, AI가 개발자들의 부족한 리뷰 시간을 보완할 수 있다는 가능성이 제기되었습니다.

cargo-crev는 현재 Claude Code 에이전트를 통한 LLM 지원 리뷰 기능을 제공하며, 명령어 한 번으로 여러 의존성을 자동으로 검토할 수 있는 리뷰 루프를 갖추고 있습니다.

LLM 리뷰 결과는 별도의 필드에 기록되어 신뢰도에 따라 선택적으로 활용할 수 있으며, 사용자는 AI 리뷰를 무시하는 옵션도 제공합니다.

초기 테스트 결과 LLM 지원 리뷰는 실용적인 수준의 보안 검토를 가능하게 했으며, 앞으로 기능 개선과 확장이 기대됩니다.

이번 업데이트는 AI를 활용해 오픈소스 공급망 보안 강화를 시도한 첫걸음으로, 개발자들의 적극적인 참여와 피드백이 요구됩니다.