docs: secret-detection-results-and-metrics 뷰 갱신 (codex salvage #2, freshness=CURRENT)#63
Conversation
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
![gemini-code-assist[bot]](https://avatars.githubusercontent.com/in/956858?s=60&v=4){kind=small}
There was a problem hiding this comment.
Code Review
This pull request adds a comprehensive documentation section detailing the 'Finding lifecycle / triage / quality loop' for Secret Detection and Vulnerability Findings, including lifecycle flows, state terminology, quality loops, and known gaps. The review feedback suggests improving the consistency of the state terminology dictionary by using exact code model field names (such as VulnerabilityFinding.verifier_verdict and VulnerabilityFinding.triage_state) instead of plain text or conceptual descriptions.
Important
The consumer version of Gemini Code Assist on GitHub is being sunset. Starting June 18, 2026, new organization installations will be blocked, and all code review activity will officially cease on July 17, 2026.
For more details on the timeline and next steps, please review the Help Documentation.
| | 용어 | 적용 대상 | 의미 | Gate 영향 | | ||
| | --- | --- | --- | --- | | ||
| | `NEEDS_REVIEW` | `Finding.triage.verdict`, `VulnerabilityFinding.triage_state` | 아직 사람 또는 verifier가 확정하지 못한 상태 | Secret은 `OPEN`이면 blocking, code-vuln은 severity/precision 조건을 만족하면 blocking | | ||
| | `TRUE_POSITIVE` | `Finding.triage.verdict`, verifier verdict | 실제 signal로 보는 terminal verdict | Secret은 `OPEN`이면 blocking | |
There was a problem hiding this comment.
TRUE_POSITIVE 용어의 적용 대상 열에서 verifier verdict가 백틱 없이 일반 텍스트로 작성되어 있으며, 실제 코드 모델(VulnerabilityFinding)의 필드명인 verifier_verdict와 다르게 공백으로 표기되어 있습니다. 코드와의 일관성을 위해 백틱을 적용하고 실제 필드명인 VulnerabilityFinding.verifier_verdict로 변경하는 것이 좋습니다.
| | `TRUE_POSITIVE` | `Finding.triage.verdict`, verifier verdict | 실제 signal로 보는 terminal verdict | Secret은 `OPEN`이면 blocking | | |
| | `TRUE_POSITIVE` | `Finding.triage.verdict`, `VulnerabilityFinding.verifier_verdict` | 실제 signal로 보는 terminal verdict | Secret은 `OPEN`이면 blocking | |
| | --- | --- | --- | --- | | ||
| | `NEEDS_REVIEW` | `Finding.triage.verdict`, `VulnerabilityFinding.triage_state` | 아직 사람 또는 verifier가 확정하지 못한 상태 | Secret은 `OPEN`이면 blocking, code-vuln은 severity/precision 조건을 만족하면 blocking | | ||
| | `TRUE_POSITIVE` | `Finding.triage.verdict`, verifier verdict | 실제 signal로 보는 terminal verdict | Secret은 `OPEN`이면 blocking | | ||
| | `FALSE_POSITIVE` | Secret/Vulnerability triage | 노이즈로 확정한 terminal verdict | Secret과 code-vuln 모두 blocking에서 제외 | |
There was a problem hiding this comment.
FALSE_POSITIVE 용어의 적용 대상 열에서 Secret/Vulnerability triage라는 개념적 설명 대신, 첫 번째 행(NEEDS_REVIEW)과 동일하게 실제 코드 모델의 필드명인 Finding.triage.verdict, VulnerabilityFinding.triage_state를 명시하여 일관성을 높이는 것이 좋습니다.
| | `FALSE_POSITIVE` | Secret/Vulnerability triage | 노이즈로 확정한 terminal verdict | Secret과 code-vuln 모두 blocking에서 제외 | | |
| | `FALSE_POSITIVE` | `Finding.triage.verdict`, `VulnerabilityFinding.triage_state` | 노이즈로 확정한 terminal verdict | Secret과 code-vuln 모두 blocking에서 제외 | |
1 participant
codex worktree 정리 중 salvage된 문서 5세트 중 freshness=CURRENT로 판정된 독립 문서 1종만 반영.
docs/views/secret-detection-results-and-metrics.md(+58): finding-lifecycle-catalog 출처. 소스 3종(03-runtime-flow, 06-evaluation-loop, 09-public-repo) 해시 main과 완전 일치, PR feat: GHAS급 시크릿 탐지 품질 자율층 M0~M5 (parity SLO, report-only) #58·feat(vuln): GHAS급 vuln/SAST 품질 — code-scanning parity substrate + 인라인 티어 + report-only SLO 게이트 (자율 M1~M3) #59(시크릿/vuln 품질) 이후 최신 기능 반영. product-catalog 활성 codex 영역 밖.🤖 Generated with Claude Code