Skip to content

Security: TeamKoHong/teamitakaFrontend2

Security

SECURITY.md

๐Ÿ”’ ๋ณด์•ˆ ๊ฐ€์ด๋“œ

โš ๏ธ ์ค‘์š” ๋ณด์•ˆ ์‚ฌํ•ญ

1. ํ™˜๊ฒฝ ๋ณ€์ˆ˜ ๊ด€๋ฆฌ

  • ์ ˆ๋Œ€ ํ•˜๋“œ์ฝ”๋”ฉ ๊ธˆ์ง€: API ํ‚ค, ํ† ํฐ, ๋น„๋ฐ€๋ฒˆํ˜ธ ๋“ฑ์„ ์ฝ”๋“œ์— ์ง์ ‘ ์ž‘์„ฑํ•˜์ง€ ๋งˆ์„ธ์š”
  • ํ™˜๊ฒฝ ๋ณ€์ˆ˜ ์‚ฌ์šฉ: ๋ชจ๋“  ๋ฏผ๊ฐํ•œ ์ •๋ณด๋Š” .env ํŒŒ์ผ์— ์ €์žฅํ•˜๊ณ  ํ™˜๊ฒฝ ๋ณ€์ˆ˜๋กœ ์ ‘๊ทผํ•˜์„ธ์š”
  • .env ํŒŒ์ผ ๋ณดํ˜ธ: .env ํŒŒ์ผ์€ .gitignore์— ํฌํ•จ๋˜์–ด ์žˆ์–ด Git์— ์ปค๋ฐ‹๋˜์ง€ ์•Š์Šต๋‹ˆ๋‹ค

2. ํ˜„์žฌ ์„ค์ •๋œ ํ™˜๊ฒฝ ๋ณ€์ˆ˜

# .env.local (๋กœ์ปฌ ๊ฐœ๋ฐœ์šฉ)
REACT_APP_API_BASE_URL=http://localhost:3000

# .env.production (ํ”„๋กœ๋•์…˜์šฉ)
REACT_APP_API_BASE_URL=https://your-production-api.com

3. ๋ณด์•ˆ ์ฒดํฌ๋ฆฌ์ŠคํŠธ

  • ํ•˜๋“œ์ฝ”๋”ฉ๋œ JWT ํ† ํฐ ์ œ๊ฑฐ๋จ
  • ํ•˜๋“œ์ฝ”๋”ฉ๋œ API ํ‚ค ์ œ๊ฑฐ๋จ
  • ๋””๋ฒ„๊น…์šฉ ๋กœ๊ทธ ์ œ๊ฑฐ๋จ
  • ํ™˜๊ฒฝ ๋ณ€์ˆ˜ ํ…œํ”Œ๋ฆฟ ํŒŒ์ผ ์ƒ์„ฑ๋จ
  • .gitignore์— ๋ฏผ๊ฐํ•œ ํŒŒ์ผ๋“ค ์ถ”๊ฐ€๋จ

4. ๊ฐœ๋ฐœ ์‹œ ์ฃผ์˜์‚ฌํ•ญ

  1. ํ† ํฐ ๊ด€๋ฆฌ: JWT ํ† ํฐ์€ ํ™˜๊ฒฝ ๋ณ€์ˆ˜๋‚˜ ์•ˆ์ „ํ•œ ์ €์žฅ์†Œ์—์„œ ๊ฐ€์ ธ์˜ค์„ธ์š”
  2. API ํ‚ค: Supabase, AWS ๋“ฑ์˜ API ํ‚ค๋Š” ํ™˜๊ฒฝ ๋ณ€์ˆ˜๋กœ ๊ด€๋ฆฌํ•˜์„ธ์š”
  3. ๋””๋ฒ„๊น…: ํ”„๋กœ๋•์…˜์—์„œ๋Š” console.log๋กœ ๋ฏผ๊ฐํ•œ ์ •๋ณด๋ฅผ ์ถœ๋ ฅํ•˜์ง€ ๋งˆ์„ธ์š”
  4. CORS: ์ ์ ˆํ•œ CORS ์„ค์ •์œผ๋กœ ๋ณด์•ˆ์„ ๊ฐ•ํ™”ํ•˜์„ธ์š”

5. ๋ฐฐํฌ ์ „ ํ™•์ธ์‚ฌํ•ญ

  • ๋ชจ๋“  ํ•˜๋“œ์ฝ”๋”ฉ๋œ ๋ฏผ๊ฐํ•œ ์ •๋ณด ์ œ๊ฑฐ
  • ํ™˜๊ฒฝ ๋ณ€์ˆ˜๊ฐ€ ์˜ฌ๋ฐ”๋ฅด๊ฒŒ ์„ค์ •๋จ
  • ํ”„๋กœ๋•์…˜ ํ™˜๊ฒฝ์—์„œ ๋””๋ฒ„๊น… ๋กœ๊ทธ ๋น„ํ™œ์„ฑํ™”
  • HTTPS ์‚ฌ์šฉ (ํ”„๋กœ๋•์…˜)
  • ์ ์ ˆํ•œ CORS ์„ค์ •

๐Ÿšจ ๋ฐœ๊ฒฌ๋œ ๋ณด์•ˆ ๋ฌธ์ œ (ํ•ด๊ฒฐ๋จ)

ํ•ด๊ฒฐ๋œ ๋ฌธ์ œ๋“ค:

  1. ํ•˜๋“œ์ฝ”๋”ฉ๋œ JWT ํ† ํฐ - src/services/auth.js์—์„œ ์ œ๊ฑฐ
  2. ํ•˜๋“œ์ฝ”๋”ฉ๋œ Supabase ํ‚ค - ํ™˜๊ฒฝ ๋ณ€์ˆ˜๋กœ ๋ณ€๊ฒฝ
  3. ๋””๋ฒ„๊น…์šฉ ๋กœ๊ทธ - ๋ฏผ๊ฐํ•œ ์ •๋ณด ์ถœ๋ ฅ ๋กœ๊ทธ ์ œ๊ฑฐ
  4. ๋ถ€์ ์ ˆํ•œ API ์—”๋“œํฌ์ธํŠธ - ์˜ฌ๋ฐ”๋ฅธ ์—”๋“œํฌ์ธํŠธ๋กœ ์ˆ˜์ •

์ถ”๊ฐ€ ๊ถŒ์žฅ์‚ฌํ•ญ:

  • ์ •๊ธฐ์ ์ธ ๋ณด์•ˆ ๊ฐ์‚ฌ ์ˆ˜ํ–‰
  • ์˜์กด์„ฑ ์ทจ์•ฝ์  ์Šค์บ”
  • ์ฝ”๋“œ ๋ฆฌ๋ทฐ ์‹œ ๋ณด์•ˆ ๊ฒ€ํ†  ํฌํ•จ
  • ๋ฏผ๊ฐํ•œ ์ •๋ณด ๋…ธ์ถœ ๋ฐฉ์ง€๋ฅผ ์œ„ํ•œ ์ •์  ๋ถ„์„ ๋„๊ตฌ ์‚ฌ์šฉ

There arenโ€™t any published security advisories