운영 점검표

개발 중, 릴리스 전, 운영 중 점검 지점이 다르다

보안 모범 사례는 문서가 아니라 반복 실행되는 체크리스트와 자동 스캔으로 유지된다.

개발 중

DTO · Guard · ConfigModule 규칙

코드 리뷰 기준에 입력 검증, 권한 검사, 설정 검증을 포함한다.

릴리스 전

SAST · 의존성 스캔

배포 승인 조건으로 정적 분석과 패키지 취약점 결과를 확인한다.

런타임 방어

Helmet · 예외 필터 · 로그 마스킹

운영 요청이 들어오는 경계에서 헤더, 오류, 로그를 보호한다.

운영 중

DAST · 알림 · 패치

실행 환경에서 취약점을 반복 확인하고 패치 PR과 알림을 연결한다.

SAST

코드 실행 전 탐지

Semgrep, SonarQube 등으로 위험 패턴을 찾는다.

DAST

실행 환경 공격면 확인

OWASP ZAP 등으로 인증 우회와 세션 문제를 점검한다.

Dependency

외부 패키지 위험 관리

Snyk, Dependabot 알림을 배포 흐름에 연결한다.