로컬 LLM으로 돌아가는 오픈소스 코드 보안 스캐너 'Quodeq' 공개
Quodeq는 코드 품질과 을 검사하는 오픈소스 스캐너로, 클라우드로 코드를 보내지 않고 를 통해 로컬 모델(예: Gemma)만으로 완전히 동작한다. 계정 가입이나 사용량 수집(텔레메트리) 없이 pipx install quodeq로 설치해 로컬 대시보드에서 결과를 확인한다. 표준의 여섯 항목(보안, 신뢰성, 유지보수성, 성능, 유연성, 사용성)을 기준으로 코드를 훑고, 발견된 각 문제는 CWE(공통 취약점 유형) 번호, 문제 위치, 원인, 수정 방법까지 함께 제시한다.
문제가 없는 부분은 '(COMPLIANT)'로 표시해 검사가 실제로 이뤄졌음을 보여준다. 결과는 로 저장된다. 속도가 더 필요하면 Claude Code, Codex, Gemini CLI 같은 클라우드 기반 도구와 연동할 수도 있지만, 로컬 실행이 기본 방식이며 제작자의 CI(자동 빌드·테스트 환경)도 API 키 없이 만으로 돌아간다.
M4-Max(64GB 메모리) 환경에서 :26b 모델로 분당 6~10개 파일을 검사하는 속도로, 빠르지는 않다고 밝혔다.
핵심 포인트
- 로 로컬 모델(:26b 등)을 돌려 코드를 검사, 외부 전송 없음
- pipx install quodeq로 설치, 로컬 대시보드 제공
- 여섯 항목(보안·신뢰성·유지보수성·성능·유연성·사용성) 기준 검사
- 각 발견 사항에 CWE 번호, 위치, 원인, 수정 방법 포함, 문제없는 부분은 COMPLIANT 표시
- M4-Max 64GB 환경에서 분당 6~10개 파일 검사 속도, 클라우드 LLM 연동도 가능