feat: implement dynamic gitleaks severity mapping (#1)

[pureliture]

Purpose & Motivation

Gitleaks finding이 모든 룰을 HIGH/MEDIUM으로 저장하던 문제를 고쳐, RuleID와 Tags 기반으로 Finding.severity / Finding.confidence를 동적으로 매핑합니다.

Resolves #1.

Context

구현 범위는 Gitleaks report item을 core Finding으로 변환하는 mapper 계층에 한정했습니다.

• Tags의 severity:<level> / confidence:<level> 값을 우선 적용합니다.
• 명시 태그가 없으면 RuleID 기반 mapping table과 aws- prefix rule을 적용합니다.
• 매핑되지 않는 룰은 기존 default인 HIGH / MEDIUM으로 fallback합니다.
• report path normalization과 invalid path guard도 mapper 책임 안에서 보강했습니다.
• tests/test_gitleaks_mapper.py와 tests/test_dynamic_mapping_e2e.py에 public-safe synthetic fixture 기반 검증을 추가했습니다.

Note

리뷰 시 특히 아래를 봐주세요.

• Tags override → RuleID mapping → default fallback 우선순위가 의도와 맞는지
• path normalization이 repo root escape를 막으면서 기존 relative path 동작을 깨지 않는지
• synthetic test fixture가 public repo policy를 지키는지

검증:

• uv run pytest → 398 passed
• git diff --check → clean

Dependency

• Closes gitleaks 룰 메타데이터를 Finding severity/confidence에 매핑 #1

Checklist

• 이 PR에 포함된 Commit에는 Secret Value가 포함되지 않았음을 확인했습니다.

[gemini-code-assist]

Code Review

This pull request introduces dynamic severity and confidence mapping for Gitleaks findings based on tags and rule IDs, improves path normalization to prevent repository root escapes, and adds comprehensive E2E and unit tests. The review feedback suggests optimizing performance by defining valid severities and confidences as module-level constants, and fixing a path normalization issue where the computed relative path was ignored in favor of the unnormalized path.

Important

The consumer version of Gemini Code Assist on GitHub is being sunset. Starting June 18, 2026, new organization installations will be blocked, and all code review activity will officially cease on July 17, 2026.
For more details on the timeline and next steps, please review the Help Documentation.