Cover image

VEX로 컨테이너 취약점 노이즈 줄이기

VEX(OpenVEX)는 취약점 스캔 결과를 줄이는 도구가 아니다. 운영 조직이 이 CVE를 왜 무시해도 되는지 기계가 읽을 수 있게 서명하고, 나중에 감사할 수 있게 남기는 방식이다. Trivy로 컨테이너 이미지를 스캔하면 CVE 목록이 쏟아진다. 문제는 숫자 자체가 아니다. 실행 경로에 닿지 않는 취약점, 번들된 JAR 안에 있지만 배포 환경에서는 호출되지 않는 코드, 베이스 이미지 교체만으로 처리하기 어려운 라이브러리가 한 화면에 섞인다. 이 판단은 보통 스프레드시트, Jira 댓글, 보안 예외 문서에 남는다. 스캐너는 그 맥락을 읽지 못한다. CI는 계속 실패하고, 개발자는 같은 취약점을 반복해서 예외 처리한다. ...

July 8, 2026 · 1128 words · gnosyslambda