security-pipeline

Overview

보안 파이프라인 스킬은 코드 변경 시 자동으로 CWE Top 25 기반 보안 검증을 수행한다. /handoff-verify --security, /commit-push-pr 실행 시 통합 동작한다. 보안 체크리스트 참조: ~/.claude/skills/_reference/security-checklist.md

effort:max가 항상 강제 적용된다. 보안 검증은 축약하지 않는다.

---

Trigger Conditions

파일 패턴 기반 자동 트리거

다음 패턴을 포함하는 파일이 변경되면 보안 파이프라인이 자동으로 실행된다:

패턴	트리거 수준	설명
**/auth/**	Full Scan	인증 관련 모듈
**/payment/**	Full Scan	결제 처리 모듈
**/api/**	CWE Scan	API 엔드포인트
**/middleware/**	CWE Scan	미들웨어
**/session*	CWE Scan	세션 관리
**/token*	CWE Scan	토큰 처리
**/crypto*	CWE Scan	암호화 로직
**/admin/**	Full + STRIDE	관리자 기능
**/upload*	CWE Scan	파일 업로드
**/.env*	Credential Scan	환경변수 파일
**/config/secret*	Credential Scan	시크릿 설정

커밋 기반 자동 트리거

/commit-push-pr 실행 시 staged 파일 목록에서 위 패턴이 감지되면, 커밋 전 보안 파이프라인이 자동으로 실행된다.

---

CWE Scanning Rules

Critical (커밋 차단)

CWE ID	Rule	Grep Pattern
CWE-89	SQL Injection	query\(.*\$\{, query\(.*\+
CWE-79	XSS	innerHTML, dangerouslySetInnerHTML, v-html
CWE-78	OS Command Injection	exec\(.*\$\{, spawn\(.*req\.
CWE-77	Command Injection	Template string in shell command
CWE-798	Hardcoded Credentials	apiKey\s*=\s*['"], secret\s*=\s*['"]

High (경고, 커밋 허용)

CWE ID	Rule	Grep Pattern
CWE-22	Path Traversal	\.\.\/ with user input
CWE-352	CSRF	POST handler without csrf check
CWE-287	Improper Auth	Route without auth middleware
CWE-862	Missing Authz	Handler without role/permission check
CWE-502	Unsafe Deserialization	eval\(, new Function\(
CWE-918	SSRF	fetch\(.*req\., axios.*req\.
CWE-434	Unrestricted Upload	Upload without validation
CWE-269	Privilege Escalation	Role change without verification

Medium (정보 제공)

CWE ID	Rule	Grep Pattern
CWE-200	Info Disclosure	console\.log.*password|token|secret
CWE-20	Input Validation	Endpoint without schema validation
CWE-327	Broken Crypto	md5\(, sha1\(, Math\.random\(\)
CWE-276	Incorrect Perms	origin:\s*['"]?\*, 0o?777

---

Auto-Fix Rules

자동 수정은 사용자 승인 후 적용한다. 신뢰도가 High인 항목만 자동 수정 대상이다.

Parameterized Queries (CWE-89)

Before: db.query(`SELECT * FROM users WHERE id = '${id}'`)
After:  db.query('SELECT * FROM users WHERE id = $1', [id])

Environment Variables (CWE-798)

Before: const apiKey = 'sk-proj-abc123'
After:  const apiKey = process.env.API_KEY
+ .env.example에 API_KEY= 추가

Safe DOM Manipulation (CWE-79)

Before: element.innerHTML = userInput
After:  element.textContent = userInput

Remove Sensitive Logs (CWE-200)

Before: console.log('Token:', token)
After:  // (line removed)

Secure Hash (CWE-327)

Before: const hash = md5(data)
After:  const hash = crypto.createHash('sha256').update(data).digest('hex')

---

Integration Points

/handoff-verify (v6)

/handoff-verify 커맨드의 검증 단계에서 보안 검사가 포함된다. verify-agent가 민감 파일 변경을 감지하면 이 스킬을 자동 호출한다.

/commit-push-pr

커밋 전 자동 보안 게이트로 동작한다:

• Critical 발견 시: 커밋 차단 (BLOCKED)
• High 발견 시: 경고 표시 후 사용자 확인 (WARN)
• Medium 이하만 존재: 통과 (PASS)

/security-review (통합됨)

이전 security-review 스킬의 OWASP 체크리스트는 _reference/security-checklist.md로 전환. 전체 보안 리뷰 시 이 스킬의 CWE Top 25 매핑 + STRIDE + 의존성 검사가 수행되며, 체크리스트 참조 파일을 함께 로드한다.

---

effort:max Enforcement

이 스킬은 항상 effort:max로 실행된다. 보안 검증에서 분석 깊이를 줄이는 것은 허용하지 않는다.

적용 범위:

• CWE 패턴 매칭 시 false positive 최소화를 위한 컨텍스트 분석
• STRIDE 분류 시 전체 데이터 흐름 추적
• 자동 수정 제안 시 사이드 이펙트 검증
• 의존성 검사 시 transitive dependency 포함