권한 경계
계정, 토큰, 역할은 필요한 API와 리소스만 접근하도록 나누고 오래 쓰는 권한을 줄입니다.
보안 모범 사례 운영 점검 기준
최소 권한, 입력 검증, 의존성 점검을 배포 전후에 반복 가능한 운영 습관으로 묶습니다.
입력 경계
DTO validation, pipe, 예외 필터가 같은 조건을 바라보게 해 잘못된 값이 service까지 내려가지 않게 합니다.
배포 경계
SAST, DAST, dependency scan을 배포 파이프라인에 붙여 취약점 발견 시 멈출 수 있게 합니다.
관리자 권한은 일상 작업 계정과 분리하고 필요한 시간에만 부여되도록 정책을 둡니다.
요청 body, params, query가 모두 검증되고 실패 응답 형식이 일관적인지 확인합니다.
패키지 업데이트와 보안 공지를 확인하는 주기를 정하고 위험도가 높은 항목부터 처리합니다.