Mond

AI-Powered Self-Service DevSecOps Platform
AI 기반 셀프서비스 DevSecOps 플랫폼

분석은 AI가, 결정은 사람이.
AI does triage. You decide what matters.

자산, 스캔, 발견, 승인, 감사까지 한 흐름에서.
Inventory, scan, triage, approve, audit in one flow.

Mond Dashboard — Moon-phase 보안 점수 · 7일 trend · 활동 피드 · 주의 자산

_{관리자 초기 세팅 ·
무엇을 제공? ·
내 시나리오 고르기}

더 많은 화면 · More previews

Login Hero · 3D 초승달 · 3 pillars (AI Triage · Self-service · Auto-audit) _{로그인 · SSO · MFA 설정}	AI 인사이트 · 자연어로 자산·발견·정책 질의. 키 없으면 기본 규칙 모드 _{AI provider 세팅 (Anthropic / OpenAI / Bedrock / Ollama)}
지식 허브 · DevSecOps · OWASP · K-PIPA · ISMS-P · PCI DSS · GDPR — AI에 바로 이어 묻기 _{한국 규제 매핑}	IAM 탐색 · AWS · GCP · Azure · Kubernetes · LDAP/AD 멀티 클라우드 권한 + 위험도 _{IAM Source 연동}

📚 어떤 OSS인가요? · What is Mond?

무엇을 푸는가 — DevSecOps 도구가 너무 흩어져 있고, 발견사항이 너무 많고, 의사결정은 너무 느립니다. Mond는 AI가 1차 분석해서 사람이 결정만 하면 되는 흐름을 만듭니다.
어떻게 다른가 — 클라우드 / 스캐너 / AI provider / IdP — 어디에도 묶이지 않습니다. 어댑터로 갈아끼우고, 한국어가 1급 시민입니다.
어디로 가는가 — 자산 자동 동기화, RAG 기반 AI Insights, OPA Rego 평가, CI 패키지로 확장합니다.

📖 자세한 이야기는 → docs/ABOUT.md
🛠️ 설치·운영 가이드 → docs/SETUP.md

In English: a vendor-neutral, self-service DevSecOps platform that consolidates asset inventory, scanning, AI-triaged findings, IAM access requests, policy simulation, and regulation mapping into a single flow. Bring your own scanners (Trivy/Semgrep/Nuclei/...), your own AI provider (Anthropic/OpenAI/Bedrock/Ollama), your own IdP (Keycloak/Okta/Google). See docs/ABOUT.md and docs/SETUP.md.

⚡ 시작하기 · Get started

🐳 Docker Compose — 30초 데모 (로컬·평가용)

git clone https://github.com/jland-93/mond.git && cd mond
cp .env.example .env
# (선택) ANTHROPIC_API_KEY를 .env에 넣으면 실제 Claude 분석이 동작합니다.
docker compose up -d

프론트 → http://localhost:3000
백엔드 docs → http://localhost:8000/docs
첫 가입자가 자동 ADMIN. MFA(패스키 or TOTP) 1회 등록 후 진입.

⛵ Helm chart — 운영 배포 (Kubernetes)

OCI 레지스트리에 자동 배포되는 차트로 한 줄 설치:

helm install mond oci://ghcr.io/jland-93/charts/mond \
  --version 0.1.0 \
  -n mond --create-namespace \
  -f charts/mond/values-prod.yaml \
  --set ingress.hosts[0].host=mond.your-corp.com \
  --set secrets.existingSecret=mond-secrets

차트 소스 → charts/mond/ (values.yaml · values-prod.yaml)
자동 배포 → 태그 push 시 .github/workflows/release.yml helm job
컨테이너 이미지 → ghcr.io/jland-93/mond-backend:<ver> · …-frontend:<ver> (multi-arch amd64/arm64)
EKS / GKE / AKS 권장 설정 · 시크릿 관리(External-Secrets) → docs/SETUP.md Part 2

🛠️ SSO · MFA · AI provider 전환 · 관리자 초기 세팅 → docs/SETUP.md

📋 Overview

Mond (독일어로 "달")은 어떤 클라우드든 어떤 스캐너든 상관없이 동작하는, AI 기반 셀프서비스 DevSecOps 플랫폼입니다. 자산 / 스캔 / 발견사항 / 정책을 단일 모델로 다루고, Claude를 활용해 발견된 이슈를 자동 트리아지 하고 수정 가이드까지 제시합니다.

🎯 Why Mond?

벤더 비종속 — Trivy / Semgrep / Nuclei를 어댑터로 통합. AWS / 특정 클라우드에 묶이지 않음.
AI 셀프서비스 — Claude가 발견사항을 분석해 severity 재평가, 수정 코드 제안, 자연어 쿼리 응답.
즉시 사용 — docker compose up 한 줄. 스캐너 바이너리가 없으면 stub 모드로 UI 데모.
모듈식 — 새 스캐너는 ScannerAdapter 한 클래스로 추가.
Mond 다크 테마 — 가독성 높은 달빛 무드 (다크 네이비 + 보라 글로우).

✨ 핵심 기능

메뉴	기능
Dashboard	보안 점수, 자산/발견 통계, 최근 스캔
Assets	자산 인벤토리 (repo / image / host / URL / cloud / app)
Scans	스캔 트리거 + 어댑터별 실행 이력
Findings	발견사항 조회/상태 변경 + AI 분석 드로어
Policies	SAST / SCA / IaC / DAST / Container / Secrets / Compliance 룰셋
Policy Simulation	"이번 PR에 이 finding이 들어가면 어떤 정책이 깨질까" 미리보기
AI Insights	자연어 쿼리, intent 분류, Claude 답변
Regulations Guide	사업 시나리오 → 적용 규제(K-PIPA·GDPR·HIPAA·PCI-DSS·…) + 시점·의무
Reports	자산별 SBOM(CycloneDX-lite) + 시나리오별 컴플라이언스 리포트 (JSON / Markdown)
Integrations	스캐너 / AI / MCP (stdio+HTTP) / 알림 채널 / GitHub Webhook 안내
Settings	헬스 / 버전 / 환경 / 언어

한국어 기본 · 영어 보조 (i18n)

UI는 한국어를 기본으로 표시하며, 우측 상단 토글로 영어로 전환할 수 있습니다.
DEFAULT_LOCALE=ko|en로 초기값을 바꿀 수 있고, 선택은 브라우저 localStorage에 지속됩니다.

셀프서비스 자동화

기능	방식
자동 스캔 (GitHub push)	`POST /api/v1/webhooks/github` → 매칭 레포 자산 자동 trivy 스캔
Slack/Generic 알림	임계치 이상 finding을 ENV의 Webhook URL로 자동 전송
MCP — Claude Desktop/Code	stdio: `python -m mcp_server`. HTTP+SSE: `/mcp` 마운트

🏗️ 아키텍처

graph LR
    UI[Web UI<br/>React + Vite + Ant Design]
    API[REST API<br/>FastAPI + asyncpg]
    AI[AI Engine<br/>Anthropic Claude]
    SCAN[Scanner Adapters<br/>Trivy · Semgrep · Nuclei]
    DB[(PostgreSQL)]
    R[(Redis)]

    UI -->|/api/v1| API
    API --> DB
    API --> R
    API --> AI
    API --> SCAN

5개 핵심 도메인: Asset · Scan · Finding · Policy · AIInsight

Asset — 보호 대상 (URI + 라벨 + 환경)
Scan — 어댑터 1회 실행 결과
Finding — fingerprint 기반 dedup된 보안 이슈
Policy — 룰셋 + 컴플라이언스 매핑
AIInsight — Claude가 만든 triage / remediation / explain

🚀 Quick Start

사전 요구사항

Docker & Docker Compose
(선택) ANTHROPIC_API_KEY — 없어도 기본 규칙 모드로 모든 화면이 동작합니다.

실행

git clone https://github.com/jland-93/mond.git
cd mond
cp .env.example .env
# .env에 ANTHROPIC_API_KEY를 넣으면 실제 Claude 분석이 작동합니다.
docker compose up -d

백엔드 API: http://localhost:8000/docs
프론트엔드: http://localhost:3000

첫 부팅 시 데모 자산 3개(레포 / 컨테이너 이미지 / URL)와 정책 3개가 자동 시드됩니다.

첫 ADMIN 로그인 — 막힘 방지 가이드

/login 화면에 이메일을 입력해 첫 로그인하는 사용자가 자동으로 ADMIN으로 가입됩니다.
ADMIN은 기본 MFA_REQUIRED_ROLES=admin,reviewer 정책에 따라 즉시 /mfa로 이동하며,
패스키 또는 TOTP 중 하나를 인라인으로 등록해야 합니다.

환경	등록 가능 수단
`http://localhost:3000`	패스키(브라우저 생체인증) + TOTP 모두 가능
사내 IP / HTTP 도메인 (예: `http://192.168.1.10:3000`)	패스키는 브라우저 정책상 차단 — TOTP를 사용하세요 (Google Authenticator · 1Password · Authy)
HTTPS 운영 도메인	둘 다 정상

만약 잠겼다면 — 운영자 복구 CLI

비밀번호 매니저 분실 등으로 모든 MFA factor에 접근할 수 없게 됐을 때:

docker compose exec backend python -m scripts.admin_unlock [email protected]
# 또는 확인 프롬프트 없이:
docker compose exec backend python -m scripts.admin_unlock [email protected] --yes

해당 사용자의 모든 MFA factor (패스키·TOTP·백업코드)가 삭제되고, 다음 화면에서
첫 등록 화면이 다시 보입니다. 사용자 데이터·자산·정책은 그대로 유지됩니다.

MFA 강제 완화 (개발/데모 환경)

데모 환경에서 MFA 강제를 끄고 싶다면 .env에:

# 아무도 강제 안 함 (옵션으로만)
MFA_REQUIRED_ROLES=
# 또는 ADMIN만 빼기
MFA_REQUIRED_ROLES=reviewer

운영에서는 반드시 admin,reviewer 이상 유지를 권장합니다.

로컬 개발 (도커 없이)

# 백엔드
cd backend
python -m venv .venv && source .venv/bin/activate
pip install -r requirements.txt
DATABASE_URL=postgresql+asyncpg://mond:mond@localhost:5432/mond \
  uvicorn main:app --reload

# 프론트엔드
cd frontend
npm install
npm run dev

운영 배포 — Kubernetes (Helm)

태그가 푸시되면 ghcr.io에 mond-backend/mond-frontend 이미지와 OCI Helm 차트가 자동 배포됩니다.

# 1) 시크릿 미리 생성 (External-Secrets/Sealed-Secrets로 대체 가능)
kubectl create ns mond
kubectl -n mond create secret generic mond-secrets \
  --from-literal=SECRET_KEY="$(python -c 'import secrets;print(secrets.token_urlsafe(48))')" \
  --from-literal=ANTHROPIC_API_KEY="sk-ant-..." \
  --from-literal=SSO_PROVIDERS="keycloak" \
  --from-literal=SSO_KEYCLOAK_ISSUER="https://keycloak.your-corp.com/realms/mond" \
  --from-literal=SSO_KEYCLOAK_CLIENT_ID="mond" \
  --from-literal=SSO_KEYCLOAK_CLIENT_SECRET="..." \
  --from-literal=DATABASE_URL="postgresql+asyncpg://user:pwd@rds.../mond" \
  --from-literal=REDIS_URL="redis://elasticache.../0"

# 2) Helm 설치 (OCI 레지스트리)
helm install mond oci://ghcr.io/jland-93/charts/mond \
  --version 0.1.0 \
  -n mond \
  -f charts/mond/values-prod.yaml \
  --set ingress.hosts[0].host=mond.your-corp.com

자세한 옵션: charts/mond/values.yaml · charts/mond/values-prod.yaml

EKS 가이드

항목	권장
이미지	`ghcr.io/jland-93/mond-backend:<ver>` · `…-frontend:<ver>` (multi-arch amd64/arm64)
DB / 캐시	RDS Postgres 16 + ElastiCache Redis (subchart `postgresql.enabled=false`)
Ingress	AWS Load Balancer Controller (`ingressClassName: alb` + ACM)
시크릿	External-Secrets Operator → AWS Secrets Manager / Parameter Store
컴퓨트	IRSA로 `serviceAccount.annotations`에 IAM Role ARN 부여
관측	Prometheus 스크레이프 — backend 컨테이너 8000/metrics

운영 환경(ENVIRONMENT=production)에서는 약한 SECRET_KEY/DEBUG=true/AUTH_MODE=dev/SESSION_SECURE=false 조합을 부팅 단계에서 거부합니다 (backend/app/core/config.py).

🤖 AI 동작 방식

자기 환경의 AI API를 직접 끌어다 씁니다. 모든 provider가 같은 추상화 layer를 통해 호출되며, .env에서 한 줄로 전환됩니다.

Provider	ENV	모델 예시	한국에서 의미
Anthropic (직접)	`AI_PROVIDER=anthropic` + `ANTHROPIC_API_KEY`	`claude-haiku-4-5-20251001`	기본값
OpenAI / Azure OpenAI	`AI_PROVIDER=openai` + `OPENAI_API_KEY` (+ `OPENAI_BASE_URL` for Azure)	`gpt-4o-mini` / `gpt-4o`	GPT 라이선스가 있는 조직
AWS Bedrock	`AI_PROVIDER=bedrock` + IAM 자격	`anthropic.claude-3-5-sonnet-20241022-v2:0`	AWS 비용·정책 통합
Ollama / vLLM (로컬)	`AI_PROVIDER=ollama` + `OLLAMA_BASE_URL`	`llama3.1:8b` / `llama3.1:70b`	폐쇄망·금융·공공·병원 — 데이터 외부 유출 금지 조직

키를 설정하지 않으면 기본 규칙 fallback으로 모든 UI가 작동합니다. 응답에는 항상 {provider}:{model} 라벨이 함께 기록되어 출처 추적이 가능합니다.

# 예) GPT를 쓰는 조직
AI_PROVIDER=openai
OPENAI_API_KEY=sk-proj-...
OPENAI_MODEL_DEFAULT=gpt-4o-mini

# 예) 사내 폐쇄망에서 Ollama로
AI_PROVIDER=ollama
OLLAMA_BASE_URL=http://ollama.internal:11434
OLLAMA_MODEL_DEFAULT=llama3.1:8b

🧩 스캐너 어댑터

backend/app/scanners/에서 새 어댑터를 만들 수 있습니다.

class MyAdapter(ScannerAdapter):
    name = "my-tool"
    supported_asset_types = (AssetType.REPOSITORY.value,)

    async def scan(self, asset: Asset) -> ScanResult:
        ...
        return ScanResult(findings=[...], raw_output={...})

registry.py에 한 줄 등록하면 UI 메뉴(Integrations) + 스캔 트리거(Scans)에 즉시 노출됩니다. 바이너리가 없을 때는 stub 결과를 반환하도록 구현해 사용자가 빈 화면을 보지 않도록 하는 것을 권장합니다.

기본 동봉 어댑터:

Trivy — 컨테이너 이미지 / IaC / SBOM
Semgrep — 정적 코드 분석 (SAST)
Nuclei — 템플릿 기반 동적 스캔 (DAST)

🗺️ 로드맵

5도메인 + AI 트리아지 MVP
Trivy / Semgrep / Nuclei stub 어댑터
한국어/영어 i18n (ko 기본 · en 보조)
Regulations Guide (K-PIPA · ISMS-P · K-EFSA · CSAP · GDPR · HIPAA · PCI-DSS · SOC2 · ISO-27001 · COPPA · EU AI Act)
Policy Simulation (PR diff 미리보기)
SBOM / Compliance 리포트 (JSON · Markdown)
GitHub Webhook 자동 스캔
Slack / Generic Webhook 알림
MCP 서버 (stdio + HTTP/SSE)
멀티유저 + RBAC + OIDC SSO (Keycloak · Okta · Google)
MFA — 패스키(WebAuthn/FIDO2) + TOTP + 백업 코드
IAM 셀프서비스 — AWS · Kubernetes · LDAP/AD · GCP · Azure (5종 어댑터)
Helm 차트 (charts/mond) + 운영용 멀티스테이지 Docker 이미지
AI provider 추상화 — Anthropic · OpenAI · AWS Bedrock · Ollama(로컬)

v0.2 로드맵

SBOM 실 의존성 추출 (package.json · go.mod · Dockerfile 파싱)
AI Insights RAG — 조직 문서/정책을 검색해 응답 근거화
비동기 스캔 큐 (Celery) — 인라인 실행 대체
OPA Rego 정책 평가
자산 자동 동기화 (Kubernetes / AWS Auto-scaling / GitHub org)
Webhook push 이벤트 → diff 분석 후 적절한 스캐너 선택
CI 통합 패키지 (GitHub Actions / GitLab CI step)
Rate limiting / abuse protection
AI 프롬프트 E2E 암호화 (고객 코드 포함 시)
GCP / Azure IAM 어댑터 권한 부여(grant) 완성도 보강

🧪 Known Limitations (v0.1.0)

신뢰성 측면에서 정직하게 밝혀둡니다.

SBOM — 현재 CycloneDX-lite stub. 실 의존성 추출은 v0.2 (UI에 experimental 배지 표시)
스캐너 — 동기 인라인 실행. 대용량/장시간 스캔은 타임아웃 위험. 큐 도입은 v0.2
AI Insights — provider 호출은 동작하지만 응답에 RAG(조직 문서 검색)는 미적용 — hallucination 위험을 인지하고 인간 검토와 함께 사용 권장. AI 생성 카드는 ADMIN 전용
IAM 어댑터 — AWS · K8s · LDAP/AD는 권한 부여/회수 완성. GCP · Azure는 보강 중 (capability API가 ready/coming_soon/demo를 정직하게 노출)
테스트 커버리지 — 의도적으로 낮음 (MVP). 기여 환영
정책 템플릿의 규제 매핑 — 참고용 출발점이며 법적 자문이 아닙니다

🤝 Contributing

CONTRIBUTING.md를 참고하세요. 새 스캐너 어댑터, AI 프롬프트 개선, 정책 셋 추가 PR을 환영합니다.

📄 License

MIT — LICENSE

🧭 문서 한눈에 · Doc Map

문서 어디서든 다른 곳으로 한 번에 — 처음이라면 Setup → Part 0 부터.

문서	위치	무엇
🏠 메인 README (이 문서)	`/README.md`	프로젝트 소개 · 스크린샷 · 빠른 시작
🌙 About	`docs/ABOUT.md`	왜 만들었나 · 무엇을 푸는가 · 로드맵
🛠️ Setup	`docs/SETUP.md`	설치 · 운영 · Part 0 — 시나리오 선택
🏗️ Architecture	`docs/development/architecture.md`	시스템 구조 · 모듈 · 데이터 흐름
🎨 Brand Guidelines	`docs/assets/brand-guidelines.md`	로고 · 컬러 · 타이포
🤝 Contributing	`CONTRIBUTING.md`	기여 가이드 · PR 규칙
🔐 Security Policy	`SECURITY.md`	취약점 신고 절차
📜 Code of Conduct	`CODE_OF_CONDUCT.md`	커뮤니티 규범
📋 Changelog	`CHANGELOG.md`	버전별 변경 내역
✅ Pre-release Checklist	`PRE_RELEASE_CHECKLIST.md`	릴리즈 전 점검 항목
📦 Helm Chart	`charts/mond/`	`values.yaml` · `values-prod.yaml`
🐳 Docker Compose	`docker-compose.yml`	로컬 데모용
⚙️ 환경 변수 예시	`.env.example`	모든 ENV 키 + 주석

시나리오별 빠른 진입

🐳 A. 개인·평가 → SETUP Part 1 (Docker 30초)
🏢 B. 사내 데모 → SETUP Part 1 + Part 4 (Dev+MFA) + Part 5
🚀 C. 운영 (스타트업) → SETUP Part 2 (Helm) + Part 3 (Anthropic) + Part 4 (SSO+MFA) + Part 6 (운영)
🔒 D. 폐쇄망 (대기업/공공/금융) → Part 2-C 시크릿(Sealed) + Part 3 (Ollama) + Part 4 (Keycloak+MFA) + Part 6 (백업)

🌙 Illuminating the path to secure DevOps