everything-claude-code/docs/ko-KR/rules/security.md

보안 가이드라인

필수 보안 점검

모든 커밋 전:

• 하드코딩된 시크릿이 없는가 (API 키, 비밀번호, 토큰)
• 모든 사용자 입력이 검증되었는가
• SQL 인젝션 방지가 되었는가 (매개변수화된 쿼리)
• XSS 방지가 되었는가 (HTML 새니타이징)
• CSRF 보호가 활성화되었는가
• 인증/인가가 검증되었는가
• 모든 엔드포인트에 속도 제한이 있는가
• 에러 메시지가 민감한 데이터를 노출하지 않는가

시크릿 관리

• 소스 코드에 시크릿을 절대 하드코딩하지 않기
• 항상 환경 변수나 시크릿 매니저 사용
• 시작 시 필요한 시크릿이 존재하는지 검증
• 노출되었을 수 있는 시크릿은 교체

보안 대응 프로토콜

보안 이슈 발견 시:

1. 즉시 중단
2. security-reviewer 에이전트 사용
3. 계속 진행하기 전에 치명적 이슈 수정
4. 노출된 시크릿 교체
5. 유사한 이슈가 있는지 전체 코드베이스 검토