우리는 웹사이트 규정 준수 테스트를 위해 3개의 CLI 도구를 오픈소싱합니다

Source: Dev.to

우리는 유럽 웹사이트용 스캐너를 구축하고, 독립 실행형 유틸리티로도 훌륭히 작동하는 내부 도구 세 가지를 추출했습니다. 모두 MIT 라이선스이며, TypeScript 기반, CI 친화적이며 Node 18+에서 실행됩니다.

Cookie Consent Validator

사이트의 쿠키 배너에서 “Reject All”(전체 거부)를 클릭하고, 추적이 실제로 중단되는지 확인합니다.

npx @trustyourwebsite/cookie-consent-validator https://your-site.com

• CMP(Cookiebot, OneTrust, Complianz, CookieYes, Iubenda, 일반형)를 감지합니다.
• 거부 전후의 쿠키와 네트워크 요청을 기록합니다.
• 배너가 장식용일 뿐인 경우 위반 사항을 표시합니다.
• 네덜란드 DPA(데이터 보호 기관) 벌금 사례에서 영감을 받았습니다(예: Kruidvat €600K, Coolblue €40K).

GitHub: trustyourwebsite/cookie-consent-validator

Security Headers Checker

사이트의 보안 헤더를 A+부터 F까지 등급 매기고, 개선 방안을 제시합니다.

npx @trustyourwebsite/security-headers https://your-site.com

• HSTS, CSP(전체 지시문 파싱, unsafe-inline/unsafe-eval 플래그), X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/​CORP/​COEP를 검사합니다.
• 서버 및 X-Powered-By 버전 노출을 표시합니다.
• 런타임 의존성이 없습니다.
• CI 모드: --ci --min-grade B 옵션을 사용하면 등급이 임계값 이하로 떨어질 경우 코드 1로 종료합니다.

GitHub: trustyourwebsite/security-headers

DNS Auth Check

도메인의 SPF, DKIM, DMARC 구성을 검증합니다.

npx @trustyourwebsite/dns-auth-check your-domain.com

• 재귀적 SPF 조회 카운팅 – 포함된 메커니즘이 10회 조회 제한(RFC 7208)을 초과하는 경우를 감지합니다. 이는 Google Workspace + Mailchimp + 거래형 발송자와 같은 설정에서 흔히 발생하는 숨겨진 오류입니다.
• DKIM 선택자를 자동으로 탐색합니다(12개 이상의 일반 선택자를 탐색)하여 사전에 알 필요가 없습니다.
• DMARC 정책, BIMI, MTA‑STS를 검사합니다.
• 런타임 의존성이 없으며 node:dns/promises를 사용합니다.

GitHub: trustyourwebsite/dns-auth-check

세 도구 모두 MIT 라이선스로 배포되며, JSON 및 표 형식으로 출력하고 CI 플래그를 지원합니다. 풀 리퀘스트를 환영합니다.

이러한 검사에 추가로 접근성, 이미지 저작권, 다크 패턴 탐지, 법적 페이지 검증까지 포함한 단일 스캔을 원한다면, 전체 스캐너를 사용해 보세요 .