🛡️ Laravel Secure Baseline: 파이프라인이 마땅히 받아야 할 수호자

Source: Dev.to

Laravel 프로젝트에서 검사하는 항목

• 환경 안전성: APP_DEBUG, APP_KEY, APP_URL, APP_ENV
• 보안 쿠키 및 헤더: HSTS, CSP, X-Frame-Options, SameSite, Secure, HttpOnly
• 위험한 설정: CORS 와일드카드, 낮은 로그 레벨, 노출된 스토리지
• 디버그 누수: Telescope, Horizon, phpinfo() 및 디버그 라우트가 있어서는 안 되는 곳에 존재하는 경우
• 의존성 관리: 오래되었거나 보안에 취약한 Composer 패키지
• 메타데이터 보안: APP_URL 불일치, 관대함 세션 드라이버, 상세 오류

선택적 --fail-on 감지는 CI에서 안전하지 않은 값이 발견될 때 배포를 차단할 수 있습니다. 중요한 문제가 감지되면 도구는 실패 코드와 함께 종료합니다, 예:

🚨 CI BLOCKED — APP_DEBUG=true detected in production environment.

빠른 설치

composer require ind4skylivey/laravel-secure-baseline --dev

최소 GitHub Actions 단계

- run: php artisan secure:scan --fail-on=fail --error-exit-code=1

이 명령을 GitHub Actions CI 작업에 추가하여 워크플로에 보안 자세와 빛나는 방패를 제공합니다.

생성되는 출력 형식

• CLI 텍스트 보고서
• HTML 대시보드
• JSON 구조화 출력
• Markdown 보고서
• SARIF (GitHub 보안 알림용)
• CI 실패 시 GitHub 주석
• “전문 보안 전설” 느낌을 위한 SARIF + Markdown 조합

--fail-on=fail 모드는 문제가 발견될 때 배포를 차단합니다.

팀이 채택하는 이유

• 안전하지 않은 환경에서 APP_DEBUG=true가 나타날 경우 CI 배포를 차단합니다.
• 기본적으로 보안 쿠키와 헤더를 적용합니다.
• 외부 호출 없이 의존성을 스캔합니다.
• SARIF와 같은 GitHub 친화적인 보안 형식을 출력합니다.
• 빠르고 로컬에서 실행되며 터미널의 주의 범위를 넘어서는 데이터를 수집하지 않습니다.

데모

✅ All clear. The deploy rune glows softly. You may pass.

이 도구는 코드를 읽고, 문제를 포착하며, 보고서를 생성합니다—즉, CI가 갑옷을 입은 것과 같습니다.

요새에 기여하기

새로운 검증 아이디어가 있나요? 제안해 주세요. 합리적이든, 기이하든, 영감을 받은 것이든—CI와 실제 환경에서 검증 가능한 모든 검증이 환영합니다.

• 보안 제안은 SECURITY.md에 기록합니다.
• 풀 리퀘스트를 통한 코드 개선.
• 이슈 티켓을 통한 건전한 대화.

CI 파이프라인은 엄격하고 예측 가능하며 빠라야 합니다. 보안 검증도 마찬가지입니다. Laravel Secure Baseline을 사용하면 배포가 중단되지 않고, 앱이 누출되지 않으며, 개발자는 안심하고 잠을 잘 수 있습니다. 우주의 이상함은 변함없지만, 배포 파이프라인은 그럴 필요가 없습니다.