Lovable 한국어 문서

Wiz로 프로젝트 취약점 스캔하기

Wiz를 사용하여 Lovable 프로젝트의 취약점과 코드 보안 이슈를 자동으로 스캔하고, 배포 전에 알려진 CVE와 위험한 코드 패턴을 잡아내세요.

Wiz 보안 스캔이란

Wiz는 Lovable에 자동화된 보안 스캔을 제공합니다. 연결되면 Wiz가 프로젝트의 취약한 의존성과 위험한 코드 패턴을 스캔하고, 발견 사항을 프로젝트의 보안 뷰에 직접 표시합니다.

Wiz 스캔은 두 가지 분석을 결합합니다.

  • Software composition analysis (SCA)
    프로젝트의 의존성 트리(패키지 lockfile, 설치된 라이브러리, 전이 의존성)를 검사하여 알려진 CVE가 있는 패키지를 식별합니다
  • Static application security testing (SAST)
    안전하지 않은 패턴, 하드코딩된 시크릿, 위험한 API 사용 등 보안 이슈를 찾기 위해 소스 코드를 분석합니다

각 발견 사항에 대해 Wiz는 심각도, 영향을 받는 위치, 수정 가이드, Wiz의 전체 세부 정보로 연결되는 링크를 보고합니다.

이는 Lovable의 다른 내장 보안 스캐너를 보완합니다.

  • RLS analysisDatabase security check는 Cloud/Supabase 구성을 검사하여 누락된 행 수준 보안 정책과 데이터베이스 설정 오류를 찾습니다.
  • Code security review는 AI를 사용하여 코드를 분석하고 노출된 시크릿, 열려 있는 엔드포인트, 입력 유효성 검사 이슈와 같은 취약점을 찾습니다.
  • Dependency audit은 알려진 취약점에 대해 npm 의존성을 확인합니다.
  • Wiz scanning은 Wiz의 지속적으로 업데이트되는 보안 데이터베이스를 기반으로 엔터프라이즈급 취약점 및 코드 보안 탐지를 추가합니다.

Wiz 스캔은 Lovable의 표준 보안 스캔 모음의 일부로 실행됩니다. 보안 스캔을 트리거하면 Wiz가 다른 스캐너와 함께 자동으로 실행됩니다.

Wiz 스캔을 사용해야 하는 경우

  • 출시 또는 배포 전
    서비스 시작 전에 취약한 의존성과 위험한 코드 패턴이 있는지 확인하기 위해 스캔을 실행하세요.
  • 의존성 추가 또는 업데이트 후
    새 패키지를 설치하거나 기존 패키지를 업데이트한 후 새로 도입된 취약점을 확인하기 위해 다시 스캔하세요.
  • 지속적인 관행으로
    Wiz 스캔은 보안 스캔 모음의 일부로 자동 실행되므로, 연결된 프로젝트는 새로운 취약점이 공개될 때마다 지속적으로 점검됩니다.
  • 컴플라이언스와 보안 태세를 위해
    Wiz 스캔을 다른 보안 스캐너와 함께 사용하여 프로젝트의 보안 상태를 종합적으로 파악하세요.

Wiz가 프로젝트를 스캔하는 방법

보안 스캔이 실행되면 Lovable은 프로젝트 코드를 안전한 샌드박스 환경에 마운트하고 Wiz CLI 스캐너를 실행합니다. 스캐너는 프로젝트의 **software bill of materials (SBOM)**과 소스 파일을 검사하고, 의존성과 코드 모두를 Wiz의 보안 데이터베이스와 대조합니다.

발견 사항은 심각도별로 분류됩니다.

Wiz 심각도보안 뷰 레벨
CriticalError
HighWarning
Medium and lowerInfo

취약점 및 공급망 발견 사항은 심각도별로 통합되어 레벨당 하나의 항목으로 집계되며(예: "Critical vulnerabilities in application dependencies"), 영향을 받는 각 패키지와 그 위치가 나열됩니다. SAST 발견 사항은 파일과 줄 단위로 개별적으로 표시됩니다.

각 발견 사항에는 다음이 포함됩니다.

  • 영향을 받는 패키지 또는 파일
  • 위치 (파일 경로, SAST 발견 사항의 경우 줄 번호)
  • Wiz의 설명과 수정 가이드
  • Wiz의 전체 세부 정보로 직접 연결되는 링크

발견 사항은 다른 스캐너의 결과와 함께 Security view에 나타나며, Wiz 연결에 귀속된 섹션에 표시됩니다. 각 Wiz 발견 사항에는 Wiz 로고가 표시되어 출처를 식별할 수 있습니다.

사전 요구사항

  • 배포 추가 권한이 있는 Wiz 계정
  • Wiz Token URL: 테넌트의 OAuth 인증 엔드포인트(Cognito 또는 Auth0). 어느 것을 사용할지 확실하지 않다면 Cognito를 먼저 시도해 보세요. Wiz 관리자가 올바른 엔드포인트를 확인해 줄 수 있습니다.
  • Wiz를 연결하려면 Lovable 워크스페이스 owner 또는 admin 역할이 필요합니다

모든 스캔은 Wiz 배포의 권한과 할당량을 사용합니다. 사용량은 Lovable이 아닌 Wiz에서 직접 처리합니다.

Wiz 연결 방법

워크스페이스 admin 또는 owner가 Wiz 배포를 사용하여 Lovable 워크스페이스를 Wiz에 연결합니다. 워크스페이스당 하나의 Wiz 연결만 추가할 수 있습니다.

Step 1: Wiz에서 Lovable 통합 배포 생성

Lovable 통합 배포를 통해 Lovable이 Wiz에 인증하여 스캔을 실행할 수 있습니다.

Wiz 포털에 로그인

Wiz 포털로 이동합니다.

새 Lovable 통합 배포 생성 및 구성

자격 증명 복사

Client IDClient Secret을 복사합니다. 안전한 곳에 보관하세요. 시크릿은 한 번만 표시됩니다.

Client Secret은 비밀번호처럼 작동합니다. 안전하게 보관하고 절대 공개적으로 공유하지 마세요.

Step 2: Wiz를 Lovable에 연결

Wiz 커넥터로 이동

Connectors → App connectors로 이동하여 Wiz를 선택합니다.

새 연결 추가

Add connection을 클릭합니다.

연결 세부 정보 입력

  • Display name: 연결의 이름을 지정합니다. 예: Wiz.
  • Client ID: Wiz의 Lovable 통합 배포에서 가져옵니다.
  • Client Secret: Wiz의 Lovable 통합 배포에서 가져옵니다.
  • Advanced settings → Token URL: Lovable은 기본적으로 Cognito(https://auth.app.wiz.io/oauth/token)로 설정되며, 대부분의 테넌트에 대해 올바른 값입니다. Wiz 테넌트가 Auth0를 사용하는 경우 Token URL을 https://auth.wiz.io/oauth/token으로 변경하세요. Wiz 관리자가 어느 것을 사용할지 확인해 줄 수 있습니다.
  • Who can access this connection: 특정 사용자로 접근을 제한하거나 워크스페이스 전체를 초대합니다. 자세한 내용은 Connection-level access를 참조하세요.

    워크스페이스 전체에 대해 보안 스캔을 활성화하려면 워크스페이스 전체를 반드시 초대하세요.

연결 생성

Connect를 클릭합니다. 연결되면 해당 연결에 접근 권한이 있는 프로젝트에서 다음번 보안 스캔이 실행될 때 Wiz 스캔이 자동으로 포함됩니다.

발견 사항 보기 및 수정 방법

Wiz 발견 사항은 각 프로젝트의 Security view에 다른 스캐너의 발견 사항과 함께 나타납니다.

보안 뷰 열기

프로젝트를 열고 Security 탭으로 이동합니다. Wiz 발견 사항은 자체 섹션에 나열됩니다. 각 Wiz 발견 사항에는 출처를 식별할 수 있도록 Wiz 배지가 표시됩니다.

발견 사항 세부 정보 검토

발견 사항을 클릭하여 펼치면 영향을 받는 패키지 또는 파일, 위치, 설명, 수정 가이드, Wiz의 리포트 링크 등 전체 세부 정보를 확인할 수 있습니다.

이슈 수정

수정 가이드에 따라 영향을 받는 의존성 또는 코드를 업데이트합니다.

수정 검증

새 스캔을 실행하여 이슈가 해결되었는지 확인합니다. 마지막 스캔 이후 프로젝트에 새 커밋이 있을 경우 발견 사항은 **(outdated)**로 표시됩니다.

Wiz 연결 관리

워크스페이스 adminsownersConnectors → App connectors → Wiz에서 Wiz 연결을 관리할 수 있습니다.

  • Update credentials
    연결을 열어 Client ID, Client Secret 또는 Token URL을 편집합니다. 배포 자격 증명을 교체할 때 유용합니다.
  • Delete
    워크스페이스 연결과 자격 증명을 영구적으로 삭제합니다. 이 작업은 되돌릴 수 없습니다. 워크스페이스의 모든 프로젝트에서 Wiz 스캔이 중단되며, 기존 Wiz 발견 사항은 더 이상 보안 뷰에 나타나지 않습니다.

Twitch에 앱 연결하기

Previous Page

WordPress.com에 앱 연결하기

Next Page

On this page

Wiz로 프로젝트 취약점 스캔하기Wiz 보안 스캔이란Wiz 스캔을 사용해야 하는 경우Wiz가 프로젝트를 스캔하는 방법사전 요구사항Wiz 연결 방법Step 1: Wiz에서 Lovable 통합 배포 생성Step 2: Wiz를 Lovable에 연결발견 사항 보기 및 수정 방법Wiz 연결 관리