프로젝트 보안 뷰

배포 전에 단일 프로젝트의 보안 발견 사항을 검토하고, 취약점을 수정하고, 의존성 리스크를 관리하세요.

보안 뷰란?

보안 뷰는 단일 프로젝트의 보안 발견 사항을 보여줍니다. 애플리케이션의 서로 다른 부분을 분석하는 네 가지 자동화된 보안 스캐너의 결과를 한곳에 모아줍니다:

• RLS 분석: 데이터베이스 테이블의 Row Level Security 정책을 검토합니다
• 데이터베이스 보안 검사: 데이터베이스 스키마와 RLS 구성에서 안전하지 않은 패턴을 검토합니다
• 코드 보안 리뷰: 애플리케이션 코드에서 일반적인 취약점을 분석합니다
• 의존성 감사: npm 의존성에서 알려진 보안 취약점을 스캔합니다

이러한 스캐너의 결과가 보안 뷰에 함께 표시되므로 리스크를 파악하고, 조치를 취하고, 프로젝트가 배포 준비가 되었는지 확인할 수 있습니다.

각 스캐너의 작동 방식과 스캔 실행 시점에 대한 자세한 내용은 보안 개요를 참조하세요.

Lovable 프로젝트 내에서 Preview 옆의 + 버튼을 클릭하면 Security 탭을 찾을 수 있습니다.

보안 뷰를 사용하는 이유

• 이슈를 조기에 발견
  보안 이슈는 배포 후보다 개발 중에 수정하기가 더 쉽습니다. 보안 뷰는 잘못 구성된 데이터베이스 접근, 안전하지 않은 코드 패턴, 취약한 의존성 등 일반적인 문제를 앱이 라이브되기 전에 식별하는 데 도움을 줍니다.
• 중요한 것에 집중
  모든 보안 발견 사항이 동일한 리스크를 가지는 것은 아닙니다. 발견 사항은 심각도별로 분류되므로 중요한 이슈를 먼저 우선 처리하고 낮은 리스크의 권장 사항은 나중에 검토할 수 있습니다.
• 가이드 수정으로 시간 절약
  많은 발견 사항에는 자동 수정 옵션이나 명확한 가이드가 포함되어 있습니다. Lovable에 특정 이슈 수정을 직접 요청하고 결과 변경 사항을 검토할 수 있습니다.
• 프로젝트 변화에 따른 보안 추적
  프로젝트가 변경되면 이전 스캔 결과가 오래될 수 있습니다. 보안 뷰는 스캔을 새로고침해야 할 때를 명확히 보여주므로 항상 프로젝트의 현재 보안 상태를 알 수 있습니다.

컨텍스트로 스캔 정확도 개선

Add context를 클릭하여 프로젝트의 보안 컨텍스트를 설명하세요. 이는 AI 스캐너가 권장 사항을 맞춤화하고 오탐(false positive)을 줄이는 데 도움을 줍니다.

유용한 컨텍스트에는 다음이 포함됩니다:

• 프로젝트의 목적
• 앱을 사용하는 대상
• 데이터가 민감한지 여부
• 환경이 개발, 스테이징, 프로덕션 중 어디인지

컨텍스트는 프로젝트의 Knowledge에 저장되며 향후 스캔에 적용됩니다. 보안 컨텍스트는 프로젝트에 대한 사실을 설명해야 하며, 정당한 리스크를 무시하는 것을 정당화해서는 안 됩니다.

스캔 상태 이해하기

보안 뷰 상단의 스캔 상태는 보안 결과가 최신 변경 사항을 반영하는지 보여줍니다.

• Up to date: 모든 스캐너가 프로젝트의 현재 버전을 반영합니다.
• Out of date: 하나 이상의 스캐너가 프로젝트 변경 이후 실행되지 않았습니다.
• Scanning: 스캔이 현재 진행 중입니다.

스캔 결과는 코드의 특정 버전에 연결됩니다. 프로젝트가 변경되면 이전 결과가 더 이상 정확하지 않을 수 있으며 오래된 것으로 표시됩니다.

스캔 업데이트

Update를 클릭하여 오래된 모든 스캐너를 새로고침하세요. 이 작업은 무료이며 크레딧을 소비하지 않습니다. 업데이트가 필요한 스캐너만 실행됩니다.

다음 경우에 스캔을 업데이트해야 합니다:

• 배포 전
• 중요한 코드 또는 데이터베이스 변경 후
• 의존성을 추가하거나 업데이트할 때
• 프로덕션 애플리케이션의 정기적인 점검

보안 발견 사항 처리

모든 발견 사항은 Detected issues 아래에 심각도 수준별로 그룹화되어 표시됩니다. 오류가 있으면 기본적으로 오류부터 표시됩니다.

• Error: 즉시 주의가 필요한 중요한 문제
• Warning: 검토하고 필요시 수정해야 할 이슈
• Info: 구현을 고려할 제안 사항

발견 사항을 클릭하면 확장되어 전체 세부 정보를 볼 수 있습니다:

• 어떤 스캐너가 발견했는지
• 이슈에 대한 상세 설명
• 이슈가 보안에 중요한 이유
• 제안된 수정 단계

발견 사항을 여러 방법으로 처리할 수 있습니다:

• 특정 발견 사항 수정
  발견 사항 내의 인라인 채팅을 사용하여 Lovable에 해당 이슈를 분석하거나 수정하도록 요청하세요. 이 작업은 무료이며 크레딧을 소비하지 않습니다.
• 여러 발견 사항 한 번에 수정
  Try to fix all을 사용하여 현재 필터의 모든 발견 사항에 대해 자동 수정을 시도하세요. 이 작업은 무료이며 크레딧을 소비하지 않습니다. 자동 수정은 코드 보안 리뷰 스캔이 최신 상태여야 합니다. Lovable이 수행한 변경 사항을 항상 검토하고 철저히 테스트하세요.

발견 사항이 사용 사례에 해당하지 않는 경우 이유를 입력하여 무시(ignore) 할 수 있습니다. 무시된 발견 사항은 계속 표시되며, 무시됨 라벨이 표시되고, 언제든지 복원할 수 있습니다.

발견 사항을 무시하는 것은 신중한 결정이어야 합니다. 발견 사항이 적용되는지 확신이 없다면 무시하기 전에 Lovable에 설명을 요청하세요.

보안 뷰 내의 모든 작업은 무료입니다. 채팅에서의 대화형 보안 리뷰는 크레딧을 소비합니다. 자세한 내용은 보안 개요를 참조하세요.

고급 기능

Advanced view가 활성화되면 보안 뷰에서 더 깊은 검사와 제어를 위한 추가 도구와 세부 정보가 표시됩니다.

스캐너별 상태

Advanced view를 토글하고 스캔 상태 뱃지를 클릭하면 각 스캐너에 대한 상세 정보를 볼 수 있습니다:

• 각 스캐너의 마지막 실행 시점
• 결과가 최신인지 여부
• 어떤 스캐너가 현재 오래된 상태인지

이를 통해 정확히 무엇이 확인되었고, 무엇이 오래되었으며, 스캔을 새로고침해야 하는지 파악할 수 있습니다.

의존성 관리

Advanced view가 활성화되면 보안 뷰에 모든 프로덕션 npm 의존성과 알려진 취약점을 나열하는 Project dependencies 섹션이 표시됩니다.

각 의존성에 대해 다음을 확인할 수 있습니다:

• 패키지 이름과 버전
• Critical, High, Medium을 포함한 심각도별 취약점 수
• 취약한 패키지에 대한 Fix here 액션

추가로 다음 기능도 사용할 수 있습니다:

• 취약한 패키지만 필터링하여 표시
• 새로운 의존성 감사 트리거
• 감사 또는 컴플라이언스 리뷰를 위한 모든 의존성 및 취약점의 JSON 보고서 다운로드

의존성을 최신 상태로 유지하는 것은 시간이 지남에 따라 보안 리스크를 줄이는 가장 효과적인 방법 중 하나이며, 특히 새로운 취약점이 공개될 때 중요합니다.

보안 뷰 사용 모범 사례

보안 뷰는 배포 전 최종 점검뿐만 아니라 개발 전반에 걸쳐 지속적으로 사용하도록 설계되었습니다. 다음은 빌더들이 일반적으로 사용하는 모범 사례입니다.

• 보안 발견 사항을 최신 상태로 유지
  발견 사항을 정기적으로 검토하고 결과가 오래된 경우 스캔을 새로고침하세요. 특히 기능 추가, 데이터베이스 접근 변경, 의존성 업데이트 후에 중요합니다.
• 중요한 이슈 우선 처리
  경고나 정보 항목보다 Error 수준의 발견 사항을 먼저 처리하세요. Critical 발견 사항은 종종 악용 가능한 취약점을 나타냅니다.
• 두 가지 스캐닝 방식 모두 활용
  보안 뷰의 자동화 스캔을 구조화된 점검과 타겟 수정에 사용하세요. 자동화 스캐너가 놓칠 수 있는 이슈를 잡기 위해 주기적으로 채팅에서 Lovable에 "내 앱의 보안을 검토해줘"라고 요청하여 서술형 분석으로 보완하세요.
• 의존성 리스크를 사전에 관리
  의존성 섹션을 정기적으로 검토하고 심각도가 높은 취약점은 신속하게 처리하세요.
• 수정 사항을 검토하고 확인
  자동 수정은 시간을 절약할 수 있지만, 변경 사항을 항상 검토하고 개발을 계속하기 전에 앱을 테스트하세요.
• 발견 사항 무시 시 신중하게 판단
  발견 사항이 명확히 해당되지 않는 경우에만 무시하세요. 프로젝트가 변화함에 따라 무시된 발견 사항을 재검토하세요.
• 배포 후에도 모니터링 지속
  배포가 보안 작업의 끝이 아닙니다. 앱이 시간이 지남에 따라 변경되면 새로운 발견 사항을 모니터링하세요.

FAQ