콘텐츠로 이동

보안 감사

AI에게 앱의 보안 상태를 검토해 달라고 요청하고, 아래 모범 사례를 따르며, Settings 페이지에서 시크릿을 관리하세요.

Proyecta의 보안은 플랫폼 기본값, AI 기반 검토, 그리고 몇 가지 습관의 조합으로 처리됩니다. 보안에 대해 어떻게 생각해야 하는지 알아봅시다.

Command Palette(Cmd+K / Ctrl+K)를 열고 Run Security Audit을 선택하세요. 이렇게 하면 AI에게 포괄적인 보안 프롬프트가 전송되며, AI는 전체 코드베이스를 읽고 우선순위가 지정된 발견 사항과 구체적인 수정 방법으로 취약점을 알려줍니다.

감사 항목은 다음과 같습니다:

  • 소스 파일에 하드코딩된 API 키, 토큰, 또는 비밀번호
  • 클라이언트에 시크릿을 노출하는 VITE_ 접두사 환경 변수
  • API endpoint의 서버 측 입력 유효성 검사 누락
  • 인증이 없는 페이지 또는 API endpoint
  • 이스케이프되지 않은 사용자 콘텐츠 (XSS 위험)
  • 의존성 취약점
  • Mixed content 또는 하드코딩된 http:// URL
  • 파일 업로드 유효성 검사 누락

채팅에서 직접 보안 감사를 실행하거나 특정 영역으로 범위를 좁힐 수도 있습니다:

  • "Review my checkout flow for security issues"
  • "Check the admin pages — who can access what?"
  • "Look at every endpoint that writes to the database and tell me if any of them are missing authorization"

시크릿을 안전하게 보관하세요

  • 모든 API 키, 데이터베이스 자격 증명, 서드파티 토큰을 Settings 페이지의 환경 변수 섹션에 저장하세요
  • 채팅 메시지에 시크릿을 붙여넣거나 코드에 commit하지 마세요
  • 시크릿이 노출된 경우, 즉시 서드파티 제공업체에서 해당 시크릿을 폐기하고 새로운 것을 생성하세요

접근을 제한하세요

  • 앱에 역할 기반 권한을 구현하세요 ("Add admin and member roles. Only admins can access /admin pages.")
  • 민감한 페이지와 endpoint를 인증된 사용자로 제한하세요
  • 클라이언트가 아닌 서버 측에서 항상 사용자 입력의 유효성을 검사하세요

어디서나 HTTPS를 사용하세요

  • 게시된 모든 Proyecta 앱은 자동으로 HTTPS를 통해 제공됩니다
  • SSL 인증서는 자동으로 발급 및 갱신됩니다
  • 커스텀 도메인의 경우, DNS가 올바르게 연결되면 동일하게 적용됩니다

의존성을 최신 상태로 유지하세요

  • 주기적으로 AI에게 요청하세요: "Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones."
  • AI가 변경한 내용을 검토하세요 — 의존성 업그레이드에는 때때로 breaking change가 포함될 수 있습니다

큰 변경 후에는 감사를 실행하세요

  • 인증, 결제, 파일 업로드 추가 또는 사용자 데이터를 다루는 작업 후에는 감사를 다시 실행하세요
  • 처음으로 프로덕션에 게시하기 전에 전체 점검을 수행하세요
  • HTTPS 및 인증서*.proyecta.live 서브도메인에 대해 자동 제공
  • 환경 변수 — 시크릿은 전용 시크릿 스토어에 저장되어 앱의 backend(Convex)에 동기화되며, 코드베이스에는 commit되지 않습니다. 참고: 시크릿은 프로젝트에 접근할 수 있는 워크스페이스 멤버에게 표시됩니다.
  • 격리된 런타임 — 각 프로젝트는 자체 컨테이너에서 실행되므로, 개발 환경 문제가 다른 사용자에게 영향을 미치지 않습니다
  • 첫 번째 게시 전에 감사를 실행하세요 — 전체 점검을 통해 문제가 배포되기 전에 발견할 수 있습니다.
  • 큰 변경 후에는 다시 실행하세요 — 인증, 결제, 또는 파일 업로드를 추가하면 새로운 공격 표면이 생깁니다.
  • 범위를 좁히세요 — 특정 영역에 대한 감사는 전체 앱 점검보다 빠르고 더 철저합니다.