Skip to content

Security: Hong0531/siteai

Security

SECURITY.md

๐Ÿ”’ ๋ณด์•ˆ ๊ฐ€์ด๋“œ๋ผ์ธ

๐Ÿšจ ๋ณด์•ˆ ์ด์Šˆ ์‹ ๊ณ 

์ค‘์š”: ๋ณด์•ˆ ์ทจ์•ฝ์ ์„ ๋ฐœ๊ฒฌํ•˜์‹  ๊ฒฝ์šฐ, ์ ˆ๋Œ€ ๊ณต๊ฐœ์ ์œผ๋กœ ์ด์Šˆ๋ฅผ ๋“ฑ๋กํ•˜์ง€ ๋งˆ์„ธ์š”.

์‹ ๊ณ  ๋ฐฉ๋ฒ•

  1. ๋น„๊ณต๊ฐœ ์ฑ„๋„: ๊ฐœ๋ฐœํŒ€์— ์ง์ ‘ ์—ฐ๋ฝ
  2. ๋ณด์•ˆ ์ด๋ฉ”์ผ: security@example.com
  3. ๋‚ด๋ถ€ ๋ณด๊ณ : ํŒ€ ๋‚ด๋ถ€ ๋ณด์•ˆ ๋‹ด๋‹น์ž์—๊ฒŒ ๋ณด๊ณ 

์‹ ๊ณ  ์‹œ ํฌํ•จํ•  ์ •๋ณด

  • ์ทจ์•ฝ์  ์œ ํ˜• ๋ฐ ์„ค๋ช…
  • ์žฌํ˜„ ๋‹จ๊ณ„
  • ์˜ํ–ฅ ๋ฒ”์œ„
  • ๋ฐœ๊ฒฌ ์ผ์‹œ
  • ์—ฐ๋ฝ์ฒ˜ ์ •๋ณด

๐Ÿ” ๋ณด์•ˆ ์ฒดํฌ๋ฆฌ์ŠคํŠธ

ํ™˜๊ฒฝ ๋ณ€์ˆ˜ ๊ด€๋ฆฌ

  • .env ํŒŒ์ผ์ด .gitignore์— ํฌํ•จ๋˜์–ด ์žˆ๋Š”๊ฐ€?
  • ์‹ค์ œ ๋น„๋ฐ€๋ฒˆํ˜ธ๊ฐ€ ์ฝ”๋“œ์— ํ•˜๋“œ์ฝ”๋”ฉ๋˜์–ด ์žˆ์ง€ ์•Š์€๊ฐ€?
  • ํ™˜๊ฒฝ๋ณ„๋กœ ๋‹ค๋ฅธ ์„ค์ •๊ฐ’์„ ์‚ฌ์šฉํ•˜๋Š”๊ฐ€?

๋ฐ์ดํ„ฐ๋ฒ ์ด์Šค ๋ณด์•ˆ

  • ๊ฐ•๋ ฅํ•œ ๋น„๋ฐ€๋ฒˆํ˜ธ๋ฅผ ์‚ฌ์šฉํ•˜๋Š”๊ฐ€?
  • ๋ฐ์ดํ„ฐ๋ฒ ์ด์Šค ์‚ฌ์šฉ์ž์—๊ฒŒ ์ตœ์†Œ ๊ถŒํ•œ๋งŒ ๋ถ€์—ฌํ–ˆ๋Š”๊ฐ€?
  • SQL ์ธ์ ์…˜ ๋ฐฉ์ง€ ์กฐ์น˜๊ฐ€ ๋˜์–ด ์žˆ๋Š”๊ฐ€?

API ๋ณด์•ˆ

  • HTTPS๋ฅผ ์‚ฌ์šฉํ•˜๋Š”๊ฐ€?
  • JWT ํ† ํฐ ๋งŒ๋ฃŒ ์‹œ๊ฐ„์ด ์ ์ ˆํ•œ๊ฐ€?
  • ์ž…๋ ฅ ๋ฐ์ดํ„ฐ ๊ฒ€์ฆ์ด ๋˜์–ด ์žˆ๋Š”๊ฐ€?
  • CORS ์„ค์ •์ด ์ ์ ˆํ•œ๊ฐ€?

์˜์กด์„ฑ ๋ณด์•ˆ

  • ์ •๊ธฐ์ ์œผ๋กœ npm audit์„ ์‹คํ–‰ํ•˜๋Š”๊ฐ€?
  • ์•Œ๋ ค์ง„ ๋ณด์•ˆ ์ด์Šˆ๊ฐ€ ์žˆ๋Š” ํŒจํ‚ค์ง€๋ฅผ ์—…๋ฐ์ดํŠธํ–ˆ๋Š”๊ฐ€?
  • ํ”„๋กœ๋•์…˜ ๋นŒ๋“œ ์‹œ ๊ฐœ๋ฐœ ์˜์กด์„ฑ์„ ์ œ์™ธํ•˜๋Š”๊ฐ€?

๐Ÿ›ก๏ธ ๋ณด์•ˆ ๋ชจ๋ฒ” ์‚ฌ๋ก€

1. ์ธ์ฆ ๋ฐ ๊ถŒํ•œ

  • JWT ํ† ํฐ ๋งŒ๋ฃŒ ์‹œ๊ฐ„: ์ตœ๋Œ€ 7์ผ
  • ๋น„๋ฐ€๋ฒˆํ˜ธ ์ •์ฑ…: ์ตœ์†Œ 8์ž, ํŠน์ˆ˜๋ฌธ์ž ํฌํ•จ
  • ๋‹ค์ค‘ ์ธ์ฆ(MFA) ๊ณ ๋ ค

2. ๋ฐ์ดํ„ฐ ๋ณดํ˜ธ

  • ๋ฏผ๊ฐํ•œ ๋ฐ์ดํ„ฐ ์•”ํ˜ธํ™” ์ €์žฅ
  • ๋กœ๊ทธ์— ๋ฏผ๊ฐํ•œ ์ •๋ณด ํฌํ•จ ๊ธˆ์ง€
  • ์ •๊ธฐ์ ์ธ ๋ฐฑ์—… ๋ฐ ๋ณต๊ตฌ ํ…Œ์ŠคํŠธ

3. ๋„คํŠธ์›Œํฌ ๋ณด์•ˆ

  • ๋ฐฉํ™”๋ฒฝ ์„ค์ •
  • ๋ถˆํ•„์š”ํ•œ ํฌํŠธ ์ฐจ๋‹จ
  • VPN ์‚ฌ์šฉ ๊ณ ๋ ค

4. ๋ชจ๋‹ˆํ„ฐ๋ง ๋ฐ ๋กœ๊น…

  • ๋ณด์•ˆ ์ด๋ฒคํŠธ ๋ชจ๋‹ˆํ„ฐ๋ง
  • ์ ‘๊ทผ ๋กœ๊ทธ ๊ธฐ๋ก
  • ๋น„์ •์ƒ ํ™œ๋™ ๊ฐ์ง€

๐Ÿ“‹ ์ •๊ธฐ ๋ณด์•ˆ ์ ๊ฒ€

์ฃผ๊ฐ„

  • ์˜์กด์„ฑ ๋ณด์•ˆ ์ ๊ฒ€ (npm audit)
  • ๋กœ๊ทธ ํŒŒ์ผ ๊ฒ€ํ† 
  • ์ ‘๊ทผ ๊ถŒํ•œ ์ ๊ฒ€

์›”๊ฐ„

  • ๋ณด์•ˆ ์—…๋ฐ์ดํŠธ ์ ์šฉ
  • ๋ฐฑ์—… ๋ฐ์ดํ„ฐ ๊ฒ€์ฆ
  • ๋ณด์•ˆ ์ •์ฑ… ๊ฒ€ํ† 

๋ถ„๊ธฐ๋ณ„

  • ๋ณด์•ˆ ์ทจ์•ฝ์  ์Šค์บ”
  • ์นจํˆฌ ํ…Œ์ŠคํŠธ ๊ณ ๋ ค
  • ๋ณด์•ˆ ๊ต์œก ์‹ค์‹œ

๐Ÿšซ ๊ธˆ์ง€ ์‚ฌํ•ญ

  • ์ ˆ๋Œ€ ํ•˜์ง€ ๋ง ๊ฒƒ:
    • ๋ฏผ๊ฐํ•œ ์ •๋ณด๋ฅผ Git์— ์ปค๋ฐ‹
    • ์‹ค์ œ ๋น„๋ฐ€๋ฒˆํ˜ธ๋ฅผ ์ฝ”๋“œ์— ํฌํ•จ
    • ๋ณด์•ˆ ์ด์Šˆ๋ฅผ ๊ณต๊ฐœ์ ์œผ๋กœ ๋…ผ์˜
    • ํ”„๋กœ๋•์…˜ ํ™˜๊ฒฝ์—์„œ ๋””๋ฒ„๊ทธ ๋ชจ๋“œ ํ™œ์„ฑํ™”
    • ๊ธฐ๋ณธ ๋น„๋ฐ€๋ฒˆํ˜ธ ์‚ฌ์šฉ

๐Ÿ“š ์ถ”๊ฐ€ ๋ฆฌ์†Œ์Šค


โš ๏ธ ๊ฒฝ๊ณ : ์ด ๊ฐ€์ด๋“œ๋ผ์ธ์„ ์ค€์ˆ˜ํ•˜์ง€ ์•Š์œผ๋ฉด ๋ณด์•ˆ ์œ„ํ—˜์ด ๋ฐœ์ƒํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๋ชจ๋“  ๊ฐœ๋ฐœ์ž๋Š” ์ด ๋ฌธ์„œ๋ฅผ ์ •๊ธฐ์ ์œผ๋กœ ๊ฒ€ํ† ํ•˜๊ณ  ์ค€์ˆ˜ํ•ด์•ผ ํ•ฉ๋‹ˆ๋‹ค.

There aren't any published security advisories