Ref update queue + commit ledger 기반 branch-aware scan worker

[pureliture]

요약

기존 #2는 multi-branch finding 통합을 다뤘지만, 현재 scan-all/SCAN_TARGET catalog 이후의 운영 모델에서는 더 큰 단위의 설계가 필요하다.

목표는 많은 repository와 여러 branch를 주기적으로 다루면서도 매번 전체 history를 재검사하지 않도록, fetch/discovery와 scan execution을 분리하고 commit-level scan ledger로 재검사를 피하는 것이다.

현재 상태

• scan-all은 enabled SCAN_TARGET을 읽고, 각 repo를 clone/fetch한 뒤 같은 실행 안에서 run_local_scan()을 호출한다.
• fetch_or_clone()은 기존 clone에 대해 git fetch --all --prune을 수행한다.
• GitleaksRunner는 현재 gitleaks git 또는 gitleaks dir를 실행하지만, commit range/ref range를 표현하는 scanner option은 없다.
• Finding.repo.branch와 Finding.repo.commit 필드는 존재하지만 아직 scan context에서 채워지지 않는다.
• scan job queue, worker lease, ref update ledger, commit scan ledger는 아직 없다.

문제

단일 batch scan-all은 초기 MVP에는 단순하지만, repository 수와 branch 수가 커지면 다음 문제가 생긴다.

• fetch와 scan이 같은 critical path에 있어 한 run이 길어지면 다음 주기가 밀린다.
• 새 commit이 일부 branch에만 추가돼도 전체 target 재검사 쪽으로 흐르기 쉽다.
• branch별 잔존 여부와 commit별 scan 여부를 분리해서 추적하기 어렵다.
• worker 병렬성, backpressure, retry, lease, stale branch 정책을 표현할 durable model이 없다.

제안

1. fetch-cron / discover-updates command

주기적으로 enabled target을 fetch하고 ref 변화를 계산한다.

• bare mirror 또는 cache checkout을 갱신한다.
• 각 ref의 old_sha / new_sha를 기록한다.
• 새 commit range를 계산한다.
• scan 대상 commit/range를 SCAN_JOB queue에 enqueue한다.

Queue에는 patch blob을 저장하지 않는다. 최소 metadata만 저장한다.

repo_id
ref_name
old_sha
new_sha
commit_sha or commit_range
scanner_name
scanner_version
rule_pack_version
scanner_config_hash
priority
status
attempts
lease_until
created_at
updated_at

2. scan-worker command

worker는 queue를 polling하고 lease를 획득한 job만 처리한다.

• 하나의 worker process/container는 한 번에 하나의 repo workspace lease를 잡는다.
• job의 commit/range만 checkout 또는 gitleaks git --log-opts 범위로 스캔한다.
• 성공 시 SCAN_LEDGER에 scan completion을 기록한다.
• 실패 시 retry/backoff/dead-letter 상태로 이동한다.

3. Commit-level scan ledger

같은 commit을 같은 scanner/rule/config 조합으로 이미 검사했다면 재검사하지 않는다.

Ledger key 후보:

repo_id
commit_sha
scanner_name
scanner_version
rule_pack_version
scanner_config_hash

rule_pack_version 또는 scanner_config_hash가 바뀌면 기존 scan completion은 재사용하지 않는다.

4. Branch-aware finding/occurrence model

#2의 핵심 문제는 유지한다. 다만 branch fan-out은 scan worker/ledger 설계와 함께 다룬다.

• identity는 가능한 한 secret/rule 중심으로 안정화한다.
• branch/ref/path/line/commit은 occurrence 또는 observation 쪽으로 둔다.
• report/gate/evaluate는 branch별 잔존 여부를 노출한다.

완료 기준

• fetch/discovery가 scan execution과 분리되어 있다.
• ref update가 SCAN_JOB으로 저장되고 worker가 polling/lease로 처리한다.
• 이미 검사한 commit은 동일 scanner/rule/config 조합에서 재검사하지 않는다.
• 새 commit이 추가된 branch만 incremental scan 대상이 된다.
• worker가 중복 실행되어도 같은 job이 동시에 처리되지 않는다.
• finding 또는 observation에서 branch/ref/commit 잔존 여부를 확인할 수 있다.
• 기존 scan-all은 full baseline 또는 fallback path로 유지된다.

Out of scope

• Webhook/on-demand fetch.
• 외부 SCM API 기반 실시간 event ingestion.
• managed queue service 도입.
• Gitleaks를 primary scanner에서 교체.

Supersedes

Supersedes #2. #2의 multi-branch 문제의식은 유지하되, 현재 architecture에서는 queue/ledger/worker 설계와 함께 다루는 편이 더 정확하다.

[pureliture]

진행 최신화 (PR #22)

PR #15(queue/worker MVP) 이후 남았던 gap을 PR #22(branch-aware residual + scan-worker daemon)에서 구현. 완료 기준 현황:

• 1 fetch/discovery ↔ scan execution 분리 — discover-updates / scan-worker (main, [codex] Add incremental scan queue worker MVP #15)
• 2 ref update → SCAN_JOB + worker polling/lease — lease는 main, polling --daemon 모드 PR feat(incremental): branch-aware residual + scan-worker daemon (#12) #22
• 3 동일 scanner/rule/config commit 재검사 안 함 — ledger dedup(main), rule_pack_version 변경 시 무효화→재스캔 PR feat(incremental): branch-aware residual + scan-worker daemon (#12) #22 테스트로 검증
• 4 새 commit 추가된 branch만 incremental — REF_STATE diff + gitleaks <sha>^! (main)
• 5 worker 중복 실행 시 동시 처리 방지 — conditional lease(job/repo) (main)
• 6 finding/observation에서 branch/ref/commit 잔존 확인 — PR feat(incremental): branch-aware residual + scan-worker daemon (#12) #22: Finding.repo.branch populate + observation branch/commit top-level 투영 + residual_for_repo(REPO# 파티션, 새 GSI 없음)
• 7 기존 scan-all full baseline/fallback 유지 — (main)

보류(후속)

• per-branch 잔존의 report-generator UI 렌더링 — 기준6 "확인 가능"은 queryable residual_for_repo로 충족, UI 표면화는 별도.
• cloud-scale GSI 샤딩(hot-partition) — 기존 TODO, Ref update queue + commit ledger 기반 branch-aware scan worker #12 MVP 범위 밖.

설계 고정: status/disposition GLOBAL, branch=occurrence(identity 불변), evaluate_gate 불변.

→ PR #22 머지 시 #12 close 가능(위 보류 2건은 후속 이슈로 분리 권장).

[pureliture]

보류 항목 정리 (업데이트)

• report-UI 잔존 표면화 → 해결. PR #22에 residual CLI 서브커맨드 추가(security-scanner residual --repo <id>, dynamodb): per-branch 잔존 finding 출력. 기준6이 queryable뿐 아니라 CLI로도 확인 가능.
• GSI 샤딩(hot-partition) → #23으로 분리. Ref update queue + commit ledger 기반 branch-aware scan worker #12 이전부터의 cross-cutting 스케일 TODO라 별도.

→ 이제 #12에서 처리 가능한 항목은 전부 PR #22에 포함. PR #22 머지 시 #12 close 가능(잔여는 #23만).

[pureliture]

PR #22 머지 완료(merge fa1c29d). 완료 기준 7개 전부 충족 — 1/4/5/7은 기존, 2(daemon)/3(rule_pack 무효화)/6(per-branch 잔존 + residual CLI)은 PR #22. 잔여는 GSI 샤딩(hot-partition)뿐이며 #23으로 분리됨. 'Refs #12'로 열어둔 거라 수동 close.