# 보안 가이드라인

## 필수 보안 점검

모든 커밋 전:
- [ ] 하드코딩된 시크릿이 없는가 (API 키, 비밀번호, 토큰)
- [ ] 모든 사용자 입력이 검증되었는가
- [ ] SQL 인젝션 방지가 되었는가 (매개변수화된 쿼리)
- [ ] XSS 방지가 되었는가 (HTML 새니타이징)
- [ ] CSRF 보호가 활성화되었는가
- [ ] 인증/인가가 검증되었는가
- [ ] 모든 엔드포인트에 속도 제한이 있는가
- [ ] 에러 메시지가 민감한 데이터를 노출하지 않는가

## 시크릿 관리

- 소스 코드에 시크릿을 절대 하드코딩하지 않기
- 항상 환경 변수나 시크릿 매니저 사용
- 시작 시 필요한 시크릿이 존재하는지 검증
- 노출되었을 수 있는 시크릿은 교체

## 보안 대응 프로토콜

보안 이슈 발견 시:
1. 즉시 중단
2. **security-reviewer** 에이전트 사용
3. 계속 진행하기 전에 치명적 이슈 수정
4. 노출된 시크릿 교체
5. 유사한 이슈가 있는지 전체 코드베이스 검토