Lovable한국어 문서

스캔 결과를 검토하고, 취약점을 수정하고, 게시 전후로 단일 프로젝트의 의존성 위험을 관리합니다.

프로젝트 보안 뷰

스캔 결과를 검토하고, 취약점을 수정하고, 게시 전후로 단일 프로젝트의 의존성 위험을 관리합니다.

Security view란?

Security view는 단일 프로젝트의 보안 발견 사항을 보여줍니다. Lovable의 내장 보안 스캐너와 Wiz, Aikido 같은 선택적 보안 커넥터의 결과를 한곳에 모아 위험을 이해하고, 조치를 취하고, 프로젝트가 게시 준비가 되었는지 검증할 수 있게 합니다.

각 스캔의 작동 방식과 스캔 실행 시점에 대한 자세한 내용은 Security overview를 참조하세요.

프로젝트 툴바에서 More → Security로 이동하면 Lovable 프로젝트 내의 Security 탭을 찾을 수 있습니다.

Security view는 단일 프로젝트에 집중합니다.

  • 여러 프로젝트에 걸쳐 보안 발견 사항과 의존성 위험을 모니터링하려면 Security center를 사용하세요.
  • 보안 발견 사항, PII, 소유권, 라이프사이클, 활동을 프로젝트별 단일 검토 우선순위로 묶는 포트폴리오 수준 뷰는 Workspace insights를 참조하세요(Enterprise).
  • 안전한 코드 작성과 일반적인 보안 실수 회피에 대한 실용적인 가이드는 Lovable 앱을 위한 보안 모범 사례를 참조하세요.

Security view를 사용하는 이유

  • 모든 프로젝트 보안 소스를 한곳에서 검토
    내장 스캔 결과와 선택적 커넥터 발견 사항이 함께 나타나므로 프로젝트의 보안 상태를 이해하기 위해 별도의 도구를 확인할 필요가 없습니다.
  • 이슈를 일찍 잡기
    보안 이슈는 배포 후보다 개발 중에 수정하기 더 쉽습니다. Security view는 잘못 구성된 데이터베이스 접근, 안전하지 않은 코드 패턴, 취약한 의존성 같은 일반적인 문제를 앱이 라이브가 되기 전에 식별하는 데 도움이 됩니다.
  • 중요한 것에 집중
    모든 보안 발견 사항이 같은 위험을 갖지는 않습니다. 발견 사항은 심각도별로 분류되어 있어 critical 이슈를 먼저 우선하고 위험이 낮은 권장 사항은 나중에 검토할 수 있습니다.
  • 가이드된 수정으로 시간 절약
    많은 발견 사항에는 자동화된 교정 옵션이나 명확한 가이드가 포함됩니다. 특정 이슈를 수정해 달라고 Lovable에게 직접 요청하고 결과 변경을 검토할 수 있습니다.
  • 프로젝트가 진화하면서 보안 추적
    프로젝트가 변경되면 이전 스캔 결과가 오래되었을 수 있습니다. Security view는 스캔을 새로 고쳐야 할 때를 명확하게 보여주므로 항상 프로젝트의 현재 보안 상태를 알 수 있습니다.

스캔 상태 이해

Security view 상단의 스캔 상태는 보안 결과가 최신 변경을 반영하는지 보여줍니다.

  • Up to date: 모든 스캔이 프로젝트의 현재 버전을 반영합니다.
  • Out of date: 프로젝트가 변경된 후 하나 이상의 스캔이 실행되지 않았습니다.
  • Scanning: 스캔이 현재 실행 중입니다.

스캔 결과는 코드의 특정 버전에 묶입니다. 프로젝트가 변경되면 이전 결과가 더 이상 정확하지 않을 수 있으며 outdated로 표시됩니다.

Basic 및 Deep 스캔 실행

Security view 상단의 스캔 배너를 사용해 사용 가능한 스캔을 실행하고 최신 스캔 상태를 확인합니다. 현재 프로젝트 상태에 따라 Basic security scan 또는 Deep security scan 같은 액션이 표시될 수 있습니다.

Basic 스캔은 더 빠른 구성 및 의존성 확인이고, Deep 스캔은 더 상세한 agentic 코드 리뷰를 실행합니다. 두 액션 모두 무료이며 크레딧을 소비하지 않습니다.

Deep scan은 작업 중 자동으로 실행되지 않습니다. 프로젝트 보안 뷰, 워크스페이스 보안 센터, 또는 Basic 스캔이 통과되었을 때 게시 대화상자에서 실행할 수 있습니다.

다음 시점에 스캔을 실행해야 합니다:

  • 게시 전
  • 중요한 코드 또는 데이터베이스 변경 후
  • 의존성을 추가하거나 업데이트할 때
  • 운영 애플리케이션에 대해 주기적으로

포함된 보안 발견 사항

Security view는 한 프로젝트의 보안 발견 사항을 모읍니다. 프로젝트 설정과 워크스페이스 통합에 따라 다음을 포함할 수 있습니다:

  • Basic scan 발견 사항: row-level security(RLS) 정책 린팅, 데이터베이스 스키마 검토, 의존성 감사의 데이터베이스 및 의존성 발견 사항.
  • Deep scan 발견 사항: 접근 제어 이슈, 보호되지 않은 백엔드 엔드포인트, 노출된 시크릿, 안전하지 않은 입력 처리, 기타 코드 수준 위험을 포함한 agentic 코드베이스 리뷰 발견 사항.
  • Wiz 발견 사항: 연결된 Wiz 통합에서 가져온 정적 분석 및 소프트웨어 구성 분석 결과(취약한 의존성과 위험한 코드 패턴 포함).
  • Aikido 발견 사항: Aikido 커넥터를 통해 실행된 AI 침투 테스트에서 확인된 악용 가능한 이슈.
  • 프로젝트 의존성: 프로젝트 npm 의존성 목록, 알려진 취약점, 심각도 카운트, 수정 액션, 필터, JSON 내보내기.

발견 사항은 스캐너와 심각도별로 그룹화되어 각 이슈가 어디서 왔는지 이해하고, 중요한 것을 우선하고, 수정, 무시, 또는 추가 조사 여부를 결정할 수 있습니다.

보안 발견 사항 검토 및 수정

모든 발견 사항은 Detected issues 아래에 나타나며 심각도 수준별로 그룹화됩니다.

최신 스캔에서 아무것도 발견되지 않으면 Lovable은 No issues found 상태를 표시합니다. 이는 최신 스캔이 발견 사항을 노출하지 않았다는 의미일 뿐 프로젝트에 보안 위험이 없음을 보장하지는 않습니다.

오류가 있으면 뷰는 기본적으로 그것을 먼저 표시합니다.

  • Error: 즉시 주의가 필요한 critical 문제
  • Warning: 검토하고 필요한 경우 수정해야 하는 이슈
  • Info: 구현을 고려할 제안

발견 사항을 클릭해 펼쳐 다음을 포함한 전체 세부 정보를 검토합니다:

  • 발견 사항을 만든 스캔
  • 이슈에 대한 상세한 설명
  • 이슈가 보안에 왜 중요한지
  • 권장 교정 단계

발견 사항을 여러 방식으로 처리할 수 있습니다:

  • 특정 발견 사항 수정
    채팅에서 발견 사항을 참조해 Lovable에게 해당 이슈를 분석하거나 수정해 달라고 요청합니다. 이는 표준 채팅 사용으로 취급되며 크레딧을 소비합니다.
  • 여러 발견 사항을 한 번에 수정
    Try to fix all을 사용해 현재 필터의 모든 발견 사항에 대한 자동 교정을 시도합니다. Deep scan 결과가 최신 상태여야 합니다. 이 액션은 무료이며 크레딧을 소비하지 않습니다.

Lovable이 만든 변경 사항을 항상 검토하고 철저히 테스트하세요.

발견 사항이 사용 사례에 적용되지 않으면 이유를 제공하여 무시할 수 있습니다. 무시된 발견 사항은 계속 표시되며 ignored 레이블로 표시되고 언제든지 복원할 수 있습니다.

발견 사항을 무시하는 것은 신중한 결정이어야 합니다. 발견 사항이 적용되는지 확실하지 않으면 무시하기 전에 Lovable에 설명을 요청하세요.

Security view에서 스캔 실행과 자동 수정 액션 사용은 무료입니다. 채팅에서의 대화형 보안 리뷰와 채팅에서 발견 사항 참조는 크레딧을 소비합니다. 자세한 내용은 Security overview를 참조하세요.

Lovable이 적격 발견 사항을 자동으로 수정하도록 하기

워크스페이스 및 프로젝트 설정에 따라 Lovable은 정규 에이전트 작업 중에 일반적인 row-level security(RLS) 및 데이터베이스 접근 이슈와 같은 적격 Basic scan 발견 사항을 자동으로 수정할 수 있습니다. 워크스페이스 및 프로젝트 설정이 상호 작용하는 방식과 적격 발견 사항에 대해서는 Lovable이 적격 발견 사항을 자동으로 수정하도록 하기를 참조하세요.

프로젝트 의존성 검토

Security view는 프로젝트 npm 패키지 수와 알려진 취약점 수를 표시하는 Project dependencies 섹션을 보여줍니다.

Review를 클릭해 의존성 목록을 엽니다. 거기에서 다음을 볼 수 있습니다:

  • 패키지 이름과 버전
  • critical, high, medium을 포함한 심각도별 취약점 수
  • 취약한 패키지에 대한 Fix here 액션

또한 다음을 할 수 있습니다:

  • 패키지 이름으로 의존성 검색
  • 취약점이 있는 패키지만 표시하도록 필터링
  • Scan dependencies를 클릭해 의존성 감사 새로 고침
  • Download list를 클릭해 감사 또는 컴플라이언스 검토를 위해 모든 의존성과 취약점의 JSON 보고서 다운로드

의존성을 최신 상태로 유지하는 것은 특히 새 취약점이 공개될 때 시간이 지남에 따라 보안 위험을 줄이는 가장 효과적인 방법 중 하나입니다.

보안 메모리로 스캔 정확도 향상

Edit security memory를 클릭해 프로젝트의 보안 메모리 문서를 엽니다. 이 문서는 보안 스캐너 및 Lovable 에이전트와 공유되며 프로젝트를 평가하는 방식을 안내합니다.

문서는 다음을 다뤄야 합니다:

  • 접근 제어 관점에서 앱이 어떻게 작동하는지에 대한 짧은 설명. 예를 들어 인증된 사용자가 있는지, 어떤 역할이 존재하는지, 또는 민감한 데이터를 처리하는지.
  • 앱의 비즈니스 로직 내에서 절대로 일어나지 않아야 하는 것. 예를 들어 사용자가 서로의 비공개 데이터를 읽거나, 관리자 작업에 인증되지 않은 접근.
  • 취약점을 만들지 말아야 할 것. 이 섹션은 또한 에이전트가 스캔 중에 위험을 수용할 때 업데이트됩니다. 각 항목은 어떤 위험이 수용되는지 설명하는 한 줄입니다. 이 섹션을 정당한 보안 이슈를 무시하는 데 사용하지 마세요.

보안 스캐너는 각 스캔 전에 이 문서를 읽고 특정 프로젝트에 대한 권장 사항을 조정하고 거짓 양성을 줄이는 데 사용합니다. 모든 섹션을 즉시 채울 필요는 없습니다. 앱의 보안 상태에 대해 더 많이 알게 됨에 따라 컨텍스트를 추가하세요.

보안 메모리를 사용해 정당한 보안 이슈를 무시하지 마세요. 앱의 목적, 사용자, 데이터 민감도에 대한 컨텍스트를 제공하는 데 집중하세요.

Security view 사용 모범 사례

Security view는 게시 전 마지막 점검만이 아니라 개발 전반에 걸쳐 지속적으로 사용하도록 설계되었습니다. 다음 모범 사례는 빌더가 일반적으로 이를 사용하는 방식을 반영합니다.

  • 보안 발견 사항 최신 상태 유지
    발견 사항을 정기적으로 검토하고, 특히 기능 추가, 데이터베이스 접근 변경, 의존성 업데이트 후 결과가 outdated가 되면 스캔을 새로 고치세요.
  • Critical 이슈 우선
    warnings 또는 informational 항목보다 error 수준 발견 사항을 먼저 처리하세요. Critical 발견 사항은 종종 악용 가능한 취약점을 나타냅니다.
  • 두 스캐닝 접근법 모두 사용
    구조화된 확인과 타겟팅된 수정에는 Security view의 내장 Basic 및 Deep 스캔을 사용하세요. 자동 스캔이 놓칠 수 있는 이슈를 잡을 수 있는 서술형 분석을 위해 채팅에서 주기적으로 Lovable에게 "내 앱의 보안을 검토해 줘"라고 요청해 보완하세요. 워크스페이스가 Wiz 또는 Aikido를 사용하는 경우 해당 커넥터 발견 사항을 Lovable의 내장 스캔 결과와 함께 검토하세요.
  • 의존성 위험을 능동적으로 관리
    의존성 섹션을 정기적으로 검토하고 high-severity 취약점을 신속하게 처리하세요.
  • 수정 사항 검토 및 검증
    자동 수정은 시간을 절약할 수 있지만 항상 변경 사항을 검토하고 개발을 계속하기 전에 앱을 테스트하세요.
  • 발견 사항을 무시할 때 신중하게
    명확하게 적용되지 않을 때만 발견 사항을 무시하세요. 프로젝트가 진화하면서 무시된 발견 사항을 다시 살펴보세요.
  • 게시 후에도 계속 모니터링
    게시는 보안 작업의 끝이 아닙니다. 앱이 시간이 지남에 따라 변경되면서 새 발견 사항을 모니터링하세요.

자동 스캔은 일반적인 이슈를 잡는 데 도움이 되지만 완전한 보안을 보장할 수는 없습니다. 민감한 데이터 또는 중요한 기능을 처리하는 앱의 경우 추가적인 전문 보안 검토를 고려하세요.

FAQ

On this page