콘텐츠로 건너뛰기

Claude Code 앱 보안

Claude Code 앱을 위한 근거 기반 보안 점검

배포 URL부터 시작하고 필요한 경우에만 소스를 연결합니다. BoringSec은 관찰된 근거와 권한 또는 저장소 접근이 필요한 검사를 분리합니다.

출시 전 또는 인증, 데이터 접근, 의존성, 환경 설정 변경 후에 사용하세요.

소유하거나 명시적으로 허가받은 시스템만 스캔하세요. 심층 엔진에는 확인된 권한이 필요하며 대상에 따라 사용할 수 없을 수 있습니다.

보고서 / 예시 발견예시
치명적

보고서 구조 예시

서버 자격 증명이 클라이언트 코드에 노출됨

근거
지원되는 서버 전용 자격 증명 형식이 번들 또는 연결 소스에 있으며 값은 마스킹됩니다.
의미
브라우저에 전달된 코드는 저장소가 비공개여도 공개 정보입니다.
수정 및 검증
자격 증명을 폐기·교체하고 작업을 서버로 이동한 뒤 재배포하고 검증하세요.

이는 설명을 위한 예시이며 고객 애플리케이션의 결과가 아닙니다. 실제 보고서는 스캐너, 근거 상태, 대상별 커버리지 한계를 표시합니다.

일반적인 위험 경로

더 자세히 살펴볼 항목

이는 Claude Code 프로젝트와 관련된 위험 패턴이며 모든 프로젝트에 문제가 있다는 뜻은 아닙니다. 스캐너 근거가 있을 때만 발견 항목이 생성됩니다.

시크릿이 브라우저로 전달됨

서버 자격 증명이 프론트엔드 설정이나 배포 번들을 통해 공개될 수 있습니다.

인증은 있지만 인가가 없음

서버 측 소유권 검사가 없으면 유효한 세션만으로 레코드를 보호할 수 없습니다.

설정과 의존성 드리프트

빠른 변경 과정에서 개방된 정책, 디버그 경로, 취약한 패키지가 남을 수 있습니다.

정직한 커버리지

각 스캔 표면이 입증할 수 있는 범위

공개 URL, 연결된 소스, 승인된 심층 엔진은 서로 다른 질문에 답합니다. BoringSec은 근거를 분리하고 부분적·차단됨·사용 불가 상태를 명시합니다.

공개 방법론 읽기 (영어)
공개 URL

배포된 웹 표면

외부에서 관찰 가능한 TLS, 헤더, 쿠키, CORS, 노출 파일과 기술 신호를 확인합니다.

공개 URL

배포 JavaScript

제한된 동일 출처 번들을 검사하고 누락된 부분은 부분 커버리지로 기록합니다.

조건부

독립 심층 엔진

Nuclei, OWASP ZAP, Medusa는 권한이 확인되고 사용 가능한 경우에만 실행됩니다.

연결된 소스

저장소 컨텍스트

명시적으로 연결한 저장소에서 시크릿, 인증, 의존성 신호를 추가합니다.

관찰에서 검증까지

다음 조치를 위한 보고서

  1. 01

    관찰

    공개 응답을 검사하고 적용 가능한 백그라운드 엔진을 시작합니다.

  2. 02

    근거 확인

    무엇을 어떤 스캐너가 어느 신뢰도로 관찰했는지 확인합니다.

  3. 03

    맥락에 맞게 수정

    Claude Code 관련 맥락과 구체적인 수정 경로를 사용합니다.

  4. 04

    재테스트

    새 평가를 실행하고 이후 회귀는 모니터링으로 감지합니다.

스캔 전 질문

플랫폼 자격 증명이 필요한가요?

아니요. URL 스캔은 공개 표면만 관찰하며 저장소와 인증 컨텍스트는 별도로 명시해 연결합니다.

URL만으로 무엇을 입증할 수 있나요?

외부에서 관찰 가능한 근거는 제시하지만 비공개 코드나 인증 후 흐름의 안전성까지 입증하지는 못합니다.

깨끗한 결과면 완전히 안전한가요?

아니요. 미검사, 차단, 사용 불가 영역은 통과로 처리하지 않고 명시합니다.

스캔이 대상을 변경하나요?

공개 흐름은 제한된 요청만 사용하며 발견한 자격 증명을 쓰거나 데이터를 의도적으로 변경하지 않습니다.

배포된 애플리케이션을 확인하고 모든 수정을 검증하세요

공개 URL부터 시작하고 필요한 경우에만 소스 또는 인증된 컨텍스트를 추가하세요.

보안 스캔 시작