Graphbit PRFlow

PRFlow: 실질적인 보안 버그를 잡아내는 유일한 AI 코드 리뷰어

현대적인 소프트웨어 개발 환경에서 코드 리뷰는 품질 보증의 핵심적인 단계입니다. 하지만 수동 리뷰는 시간이 많이 소요되며, 기존의 자동화 도구들은 파일 간의 복잡한 의존성을 파악하지 못해 중요한 보안 취약점을 놓치는 경우가 많습니다. PRFlow는 이러한 한계를 극복하기 위해 설계된 혁신적인 AI 코드 리뷰 솔루션입니다. 코드베이스 전체를 인덱싱하고 파일 간의 흐름을 추적함으로써, PRFlow는 단 3분 만에 숙련된 보안 전문가 수준의 리뷰를 제공합니다.

What's PRFlow?

PRFlow는 단순한 정적 분석 도구를 넘어, 전체 소스 코드의 맥락을 이해하는 AI 코드 리뷰어입니다. 코드베이스를 사전에 인덱싱하여 파일 간의 종속성을 파악하고, 매 Pull Request(PR)마다 자동화된 구조적 보안 리뷰를 생성합니다.

기존 도구들이 변경된 코드 줄(Line)만 보는 것과 달리, PRFlow는 변경된 함수가 다른 파일의 코드에 어떤 영향을 미치는지 추적합니다. 이를 통해 XSS, SSRF, SQL 인젝션, 권한 우회와 같은 심각한 보안 이슈를 정확하게 식별합니다. 이미 10개의 실제 PR을 대상으로 한 벤치마크에서 경쟁사 평균 점수인 2.5점을 압도하는 **4.3점(5점 만점)**의 검증된 성능을 기록했습니다.

---

PRFlow의 핵심 특징 (Features)

PRFlow는 시니어 개발자와 보안 엔지니어를 위해 구축된 강력한 기능들을 제공합니다.

1. 시맨틱 코드베이스 메모리 (Semantic Codebase Memory)

PRFlow는 리뷰를 시작하기 전 이미 당신의 코드베이스를 알고 있습니다. 저장소 전체의 의존성과 내부 패턴을 인덱싱하여, PR이 열리는 즉시 관련 있는 모든 맥락을 불러옵니다.

2. 지속적 학습 능력 (Persistent Learning)

팀원의 피드백을 통해 PRFlow는 계속해서 진화합니다. 리뷰 코멘트에 대한 팀의 수정 사항이나 의견을 기억하고, 이를 글로벌하게 적용하여 다음 리뷰에 반영합니다. 시간이 지날수록 PRFlow는 팀의 고유한 코딩 스타일과 표준에 완벽히 동화됩니다.

3. 스마트 컨텍스트 추출 (Smart Context Extraction)

단순히 파일 전체나 diff만 LLM에 전달하지 않습니다. PRFlow는 변경된 함수와 그에 연관된 교차 파일 의존성을 정확히 파악하여 최적화된 컨텍스트만을 추출합니다. 이는 리뷰의 정확도를 획기적으로 높이는 비결입니다.

4. 보안 중심 리뷰 (Security-First Review)

단순한 문법 검사를 넘어, 데이터가 파일 간에 어떻게 흐르는지 추적합니다. 이를 통해 다음과 같은 치명적인 보안 허점을 잡아냅니다:

• XSS (Cross-Site Scripting)
• SSRF (Server-Side Request Forgery)
• SQL Injection (SQLi)
• 권한 우회 (Auth Bypass)
• 경쟁 상태 (Race Conditions)

5. 단일 패스 구조적 리뷰 (Single-Pass Review)

전체 PR을 단 한 번의 과정으로 읽어내어, 1~3분 이내에 점수, 이슈 요약, 강점, 수정 제안이 포함된 완성된 리뷰를 제공합니다.

---

PRFlow 작동 방식 (How It Works)

PRFlow의 에이전트는 웹훅 수신부터 리뷰 게시까지 체계적인 6단계 파이프라인을 거칩니다.

1. 웹훅 수신 (Webhook Received): PR이 생성되거나 업데이트되면 1초 이내에 HMAC-SHA256 검증을 거친 웹훅이 트리거됩니다.
2. 파일 분류 (File Classification): 변경된 모든 파일을 소스 코드, 설정 파일, 생성된 파일, 바이너리로 분류합니다. 잠금 파일(lockfiles)이나 마이그레이션 파일은 자동으로 건너뜁니다.
3. 범위 추출 (Scope Extraction): Python, TS, JS, Go, Java, Rust, C#, Ruby 등 8개 언어에 대해 파일 전체가 아닌 변경된 함수나 클래스의 경계를 식별합니다.
4. 교차 파일 보강 (Cross-File Enrichment): 변경된 함수가 다른 파일의 코드를 호출하는 경우, 해당 참조 함수까지 포함하여 분석합니다. 이를 통해 여러 파일에 걸쳐 있는 보안 취약점을 찾아냅니다.
5. 메모리 검색 (Memory Retrieval): Qdrant 벡터 DB를 조회하여 과거 피드백, 팀의 수정 사항, 코딩 표준을 적용합니다.
6. 리뷰 게시 (Review Posted): 점수, 워크스루, 파일별 이슈, 심각도, 코드 수정 제안이 GitHub PR의 인라인 코멘트로 직접 삽입됩니다.

---

설치 및 사용 방법 (How to Use)

PRFlow는 복잡한 설정 없이 단 5분 만에 도입할 수 있습니다. 별도의 CI/CD 설정이나 GitHub Actions 구성이 필요하지 않습니다.

1. 계정 생성: platform.graphbit.ai에서 계정을 생성합니다.
2. GitHub 앱 설치: GitHub Marketplace에서 PRFlow를 찾아 리뷰를 원하는 저장소를 선택하고 설치합니다.
3. 리뷰 확인: Pull Request를 열면 3분 이내에 PRFlow가 자동으로 리뷰를 게시합니다.

Tip: PRFlow의 코멘트에 직접 답글을 달아 대화형 피드백을 주고받을 수 있습니다. 당신의 답변은 미래의 리뷰 품질을 높이는 학습 데이터로 활용됩니다.

---

실제 사례 및 벤치마크 (Use Case & Benchmark)

PRFlow의 성능은 공개적으로 검증되었습니다. 10개의 실제 오픈 소스 Pull Request를 대상으로 테스트한 결과는 다음과 같습니다.

• Sentry PR #8 결과: 경쟁사(CodeRabbit)가 0개의 이슈를 찾을 때, PRFlow는 권한 우회 및 안전하지 않은 메타데이터 접근 등 7개의 핵심 이슈를 발견했습니다.
• Discourse PR #2 결과: XSS 및 SSRF 보안 리뷰에서 PRFlow는 14개의 이슈를 찾아내며 완승을 거두었습니다.
• 종합 승률: 10개의 PR 중 10개 모두에서 경쟁사를 압도하거나 동등한 수준의 성과를 보였습니다 (평균 점수 4.3 vs 2.5).

---

요금제 안내 (Pricing)

PRFlow는 사용자 수(Seat) 기준이 아닌, 실제 사용량에 따른 Graphbit Coins(GC) 모델을 채택하고 있습니다.

• 특징: 모든 요금제에서 모든 기능, 모든 언어, 모든 저장소 이용이 가능하며 메모리 학습 기능이 포함됩니다.
• 평균 비용: 일반적인 PR 리뷰 1회당 약 1,500 GC가 소모됩니다.
• 주요 티어:
  • CORE (성장 팀용): 1k GC ($25) ~ 10k GC ($250)
  • ELITE (대규모 조직용): 12k GC ($300) ~ 40k GC ($1,000) - 우선순위 처리 및 고급 에이전트 제공

---

자주 묻는 질문 (FAQ)

Q: PRFlow가 지원하는 언어는 무엇인가요? A: Python, TypeScript, JavaScript, Go, Java, Rust, C#, Ruby 총 8개 주요 언어의 함수 단위 분석을 지원합니다.

Q: 리뷰 속도는 얼마나 걸리나요? A: PR이 생성된 후 결과가 게시되기까지 보통 1분에서 3분 정도 소요됩니다.

Q: 자동 생성된 파일도 리뷰하나요? A: 아닙니다. lockfile이나 마이그레이션 파일 등 자동 생성된 파일은 자동으로 식별하여 리뷰 대상에서 제외하므로 효율적입니다.

Q: 우리 팀만의 코딩 표준을 학습시킬 수 있나요? A: 네, PRFlow의 코멘트에 피드백을 남기면 이를 학습하여 다음 리뷰부터 팀의 선호도와 표준을 자동으로 반영합니다.

Q: 현재 어떤 플랫폼에서 사용할 수 있나요? A: 현재 PRFlow는 GitHub 전용으로 제공되며, 별도의 IDE 플러그인은 지원하지 않습니다.