워크스페이스 내 모든 프로젝트에 걸쳐 보안 발견 사항, 스캔 커버리지, 예약된 스캔, 시크릿, 의존성 위험을 모니터링합니다.
워크스페이스 보안 센터
워크스페이스 내 모든 프로젝트에 걸쳐 보안 발견 사항, 스캔 커버리지, 예약된 스캔, 시크릿, 의존성 위험을 모니터링합니다.
Security center는 팀이 위험을 식별하고, 수정의 우선순위를 정하고, 프로젝트 전반의 보안 커버리지를 대규모로 추적하는 데 도움이 됩니다.
- 사용 가능 플랜: Business, Enterprise
- 접근 권한: 워크스페이스 admins와 owners
- 위치: Settings → Workspace → Security center
Security center는 모든 프로젝트에 걸친 워크스페이스 전반의 보안 상태 뷰를 제공합니다.
- 개별 프로젝트의 발견 사항을 검토, 수정, 업데이트하려면 프로젝트 보안 뷰를 여세요.
- Lovable의 보안 모델과 스캐닝 접근법 개요는 Security overview를 참조하세요.
- 안전한 코드 작성과 일반적인 보안 실수 회피에 대한 실용적인 가이드는 Lovable 앱을 위한 보안 모범 사례를 참조하세요.
Security center가 보여주는 것
Security center는 워크스페이스 보안의 다른 측면에 집중하는 여러 섹션으로 구성되어 있습니다.
내보내기를 지원하는 각 탭은 오른쪽 상단에 Export 드롭다운을 보여줍니다. 드롭다운은 모두 내보내거나 현재 필터링된 뷰만 내보내는 옵션을 제공합니다. 모든 내보내기는 CSV 파일로 다운로드됩니다.
Code analysis
워크스페이스 내 모든 프로젝트에 걸쳐 **내장 보안 스캔(Basic scan 및 Deep scan)**에서 가져온 보안 발견 사항을 검토합니다. 요약 카드는 총 프로젝트 수, 발견 사항이 있는 프로젝트 수, 스캔 커버리지를 한눈에 보여줍니다.
각 프로젝트에 대해 다음을 봅니다:
- Publish status: 프로젝트의 게시 상태(게시되지 않음, 워크스페이스에 내부 게시, 또는 공개 외부 게시)
- Auth providers: 프로젝트에 구성된 인증 공급자(Email, Phone, Google, Apple, SAML SSO)
- Errors: 즉시 주의가 필요한 critical 보안 이슈
- Warnings: 검토해야 하는 중요한 보안 우려
- Info: 추가 컨텍스트를 제공하는 정보성 발견 사항
- Scan status: 프로젝트가 마지막으로 스캔된 시점(라이브 스캐닝 표시기 포함)
- Last edited: 프로젝트가 마지막으로 편집된 시점
- CSV export: 프로젝트 테이블을 CSV 파일로 내보냅니다. 내보내기에는 프로젝트 이름, 프로젝트 ID, 게시 상태, error/warning/info 카운트, 마지막 스캔 날짜, 마지막 편집 날짜가 포함됩니다.
- Scan trigger: 개별 프로젝트를 열지 않고 Deep security scan 시작
- View: 프로젝트의 Security view 열기
보안 상태, 게시 상태, 인증 공급자, 스캔 상태, 또는 이름별로 프로젝트를 검색, 필터링, 정렬하여 중요한 것에 빠르게 집중할 수 있습니다.
Supply chain security
전체 워크스페이스의 의존성 취약점을 모니터링합니다. 요약 카드는 심각도별 취약점 카운트와 전체 스캔 커버리지를 강조합니다.
- 두 가지 뷰: 프로젝트별 또는 취약점별로 취약점 검토
- 심각도별 취약점: critical, high, medium으로 분류
- 영향받는 프로젝트: 취약한 의존성을 사용하는 프로젝트
- 취약한 패키지: 패키지 이름, 영향받는 버전, 가능한 경우 수정된 버전
- CSV export: Export 드롭다운은 활성 뷰에 따라 여러 옵션을 제공합니다:
- Export full dependency list: 모든 프로젝트의 모든 패키지의 전체 목록 다운로드(서버 측 생성)
- Export all projects 또는 Export all vulnerabilities: 전체 프로젝트 또는 취약점 테이블 다운로드
- Export current filter: 필터가 활성화된 경우 필터링된 결과만 다운로드
심각도, 게시 상태, CVE, 패키지 이름, 또는 취약점 제목으로 취약점을 필터링하고 검색할 수 있습니다.
Secrets overview
단일 테이블에서 워크스페이스의 모든 프로젝트에 걸쳐 모든 시크릿을 봅니다. Secrets overview는 admin에게 어떤 시크릿이 존재하고 어떤 프로젝트에 속하는지에 대한 가시성을 제공합니다. 프로젝트별 또는 시크릿별로 시크릿을 그룹화할 수 있습니다.
각 시크릿에 대해 다음을 봅니다:
- Secret name: 시크릿 이름(예:
OpenAI API Key). 시크릿 값은 절대 표시되지 않습니다. - Associated project: 시크릿이 속한 프로젝트
- Type: 시크릿 유형(사용자 생성 또는 Lovable 생성)
- Publish status: 연관된 프로젝트의 게시 상태(게시되지 않음, 워크스페이스에 내부 게시, 또는 공개 외부 게시)
- Creation date: 시크릿이 추가된 시점
- Security findings: 프로젝트 수준 보안 발견 사항 및 심각도
- View: 프로젝트의 시크릿 페이지를 열어 개별 시크릿을 업데이트하거나 제거할 수 있습니다
- CSV export: Export 드롭다운은 여러 옵션을 제공합니다:
- Export everything: 모든 프로젝트에 걸친 전체 시크릿 테이블 다운로드
- Export current filter: 필터가 활성화된 경우 필터링된 결과만 다운로드. 내보내기에는 프로젝트 이름, 프로젝트 ID, 게시 상태, 시크릿 이름, 시크릿 유형, 통합, 생성 날짜, 프로젝트 수준 보안 발견 사항이 포함됩니다. 시크릿 값은 절대 포함되지 않습니다.
모든 프로젝트에서 시크릿 이름으로 검색하고, 게시 상태, 시크릿 유형, 보안 발견 사항으로 필터링할 수 있습니다. 필터를 적용하면 Export current filter 옵션이 나타나며 현재 페이지뿐만 아니라 전체 필터링된 결과 세트를 포함합니다.
시크릿과 함께 표시된 보안 발견 사항은 개별 시크릿이 아닌 프로젝트에 묶입니다.
Schedule security scans (Enterprise 전용)
Enterprise 플랜의 워크스페이스 admins와 owners는 선택된 프로젝트에 걸쳐 자동으로 실행되도록 Deep security scans를 예약할 수 있습니다. 예약된 스캔은 admin이 수동으로 스캔을 트리거하지 않고도 프로젝트를 커버하는 데 도움이 됩니다.
각 워크스페이스는 하나의 스캔 일정을 가질 수 있습니다. 일정에는 두 개의 구성 필드가 있습니다:
- Projects: 어떤 프로젝트를 포함할지 선택:
- No projects: 예약된 보안 스캔을 끔
- Published projects: 내부 또는 외부로 게시된 프로젝트만 스캔
- All projects: 워크스페이스의 모든 프로젝트 스캔
- Cadence: 예약된 보안 스캔이 얼마나 자주 실행되는지 선택:
- Weekly: 워크스페이스 시간대로 매주 월요일 08:00에 실행
- Monthly: 워크스페이스 시간대로 매월 1일 08:00에 실행
변경 사항은 자동으로 저장됩니다.
다음을 통해 일정을 관리하고 모니터링할 수도 있습니다:
- Run now: 다음 예약 실행을 기다리지 않고 예약된 스캔을 즉시 트리거
- Last run status: 일정이 마지막으로 언제 실행되었는지, 성공했는지, 상대적 타임스탬프 확인
예약된 보안 스캔은 크레딧을 소비합니다. 예약된 스캔에 포함된 각 프로젝트는 일정이 실행될 때마다 1 크레딧을 사용합니다. 예를 들어 10개 프로젝트를 커버하는 주간 일정은 월에 약 40 크레딧을 사용합니다.
Deep scan이 작동하는 방식에 대한 자세한 내용은 Security overview를 참조하세요.
Security center를 사용하는 이유
Security center는 위험을 가시적이고, 비교 가능하고, 실행 가능하게 만들어 팀이 보안 이슈를 따라잡는 데 도움이 됩니다.
- 중앙 집중식 감독
프로젝트를 개별적으로 열지 않고 전체 워크스페이스의 보안 발견 사항을 검토합니다. - 명확한 우선순위
critical 오류, high-severity 취약점, 또는 outdated 스캔이 있는 프로젝트에 집중합니다. - 스캔 커버리지 가시성
어떤 프로젝트가 최신 상태이고 어떤 프로젝트가 보안 검토가 필요한지 봅니다. - 의존성 위험 인식
취약한 의존성이 여러 프로젝트에 어떻게 영향을 미치는지 이해하고 업데이트를 효율적으로 조율합니다. - 시크릿 가시성
한곳에서 워크스페이스의 모든 시크릿을 보고, 오래된 자격 증명을 식별하고, 중앙 뷰에서 시크릿을 관리합니다.
보안 스캔 실행
결과를 보는 것 외에도 개별 프로젝트를 열지 않고 Code analysis 탭에서 보안 스캔을 트리거할 수 있습니다.
- 중앙에서 스캔 실행: Code analysis 탭에서 모든 프로젝트에 대해 Deep security scan 시작
- 마지막 스캔 타임스탬프: 각 프로젝트가 언제 마지막으로 스캔되었는지 확인해 outdated 결과를 한눈에 식별
- 위험한 프로젝트 식별: 공개되었거나 최근에 변경되었지만 outdated 또는 누락된 스캔 결과를 가진 프로젝트 찾기
- Never-scanned 탐지: 스캐닝 프로세스가 완전히 건너뛰어졌을 수 있는 경우를 잡기 위해 한 번도 스캔되지 않은 프로젝트 플래그
이는 특히 각 프로젝트를 개별적으로 방문하지 않고 많은 수의 프로젝트에 걸쳐 일관된 스캔 커버리지를 유지하는 데 유용합니다.
Deep security scans 예약 (Enterprise)
수동으로 트리거하는 대신 Deep scans가 반복 주기로 실행되도록 하려면 Schedule security scans에서 일정을 구성하세요. 예약된 스캔은 실행당 프로젝트당 1 크레딧이 청구됩니다. Code analysis 탭의 온디맨드 스캔은 계속 무료입니다.
일반적인 사용 사례
Security center는 일상적인 검토와 시간 민감한 보안 작업을 모두 지원합니다. 다음이 포함됩니다:
- 릴리스 준비 및 감사
출시 또는 컴플라이언스 검토 전에 프로젝트가 보안 표준을 충족하는지 확인합니다. - 프로젝트 온보딩 및 핸드오프
상속받거나 이전된 프로젝트가 스캔되었고 보안 위험을 도입하지 않는지 확인합니다. - Critical 취약점 대응
새 의존성 이슈가 발표될 때 영향받는 프로젝트를 빠르게 식별합니다. - 시크릿 감사
이름으로 특정 API 키를 검색하고 사용하는 모든 프로젝트를 봅니다. 사용 감사 또는 키 회전 조율을 쉽게 만듭니다. - 오래된 시크릿 정리
생성 날짜로 시크릿을 정렬해 사용하지 않는 프로젝트에 묶인 오래된 자격 증명을 찾고, 불필요한 노출을 줄이기 위해 제거합니다. - 보안 보고
감사, 검토, 또는 내부 추적을 위해 특정 시점의 스냅샷이 필요할 때 의존성 또는 시크릿 데이터를 CSV 파일로 내보냅니다. - 지속적인 모니터링
주간 또는 월간 주기의 일부로 발견 사항을 정기적으로 검토하고 새 이슈를 처리합니다.
Security center 사용 모범 사례
Security center는 고정된 워크플로보다 지속적인 검토를 위해 설계되었습니다. 다음 모범 사례는 팀이 일반적으로 이를 사용하는 방식을 반영합니다.
- 워크스페이스 개요로 시작
전체 보안 상태를 검토해 errors, warnings, 또는 outdated 스캔이 있는 프로젝트가 얼마나 되는지 이해합니다. - 주의가 필요한 프로젝트 우선
필터를 사용해 critical errors, high-severity 취약점, 또는 최근 warnings가 있는 프로젝트에 집중합니다. - 스캔 신선도 확인
최근에 스캔되지 않고 업데이트된 보안 검토가 필요할 수 있는 프로젝트를 식별합니다. - 의존성 취약점 검토
심각도별로 취약한 패키지를 검사해 어떤 이슈가 여러 프로젝트에 영향을 미치고 조율된 업데이트가 필요한지 봅니다. - 개별 프로젝트 내에서 조치
프로젝트의 View 액션을 사용해 보안 세부 정보를 열고, 새 스캔을 실행하고, 의존성을 업데이트하고, 프로젝트 보안 뷰에서 발견 사항을 해결합니다.