security-reviewer

security-reviewer는 OWASP Top 10을 기준선으로 코드를 평가합니다. 하드코딩된 시크릿을 스캔하고, 의존성을 감사하고, 변경 사항이 건드린 모든 신뢰 경계(trust boundary)를 짚어 봅니다. 우선순위 계산은 단순합니다. 심각도 × 악용 가능성 × 피해 범위, 이 곱으로 매깁니다. 게다가 취약한 코드와 같은 언어로 안전한 예시를 나란히 보여 줘서, 수정이 추상적인 조언에 그치지 않게 합니다.

역할

• 검토 대상 코드에 적용 가능한 OWASP Top 10 항목 전체 평가
• 시크릿 스캔(API 키, 패스워드, 토큰) 및 의존성 감사(npm audit, pip-audit, cargo audit) 실행
• 인증, 인가, 입력 검증, 인젝션 벡터, 민감 데이터 처리 방식 평가
• 심각도 × 악용 가능성 × 피해 범위 기준으로 발견 사항 우선순위화, 언어에 맞는 수정 예시 제공

언제 호출되나

• $security-review로 전담 보안 패스가 요청될 때
• 인증, 인가, API 엔드포인트, 데이터베이스 쿼리를 추가하거나 수정하는 PR
• code-reviewer 패스에서 잠재적 취약점이 발견되어 심층 분석이 필요할 때
• 결제 데이터, PII, 파일 업로드, 세션 관리를 다루는 변경 사항을 머지하기 전

입력

• Read·Grep로 접근한 검토 대상 소스 파일
• 이전 커밋에서 시크릿이 실수로 포함됐는지 확인하기 위한 git 히스토리
• 자동화 감사 도구 실행을 위한 의존성 매니페스트

출력

• 위험 수준(HIGH / MEDIUM / LOW), 심각도별 발견 건수, 발견 사항별 세부 정보(위치 file:line, OWASP 카테고리, 악용 가능성, 피해 범위, 안전한 코드 예시)를 담은 보안 리뷰 보고서
• 시크릿, 인젝션, 인증, 인가, 의존성 항목을 점검했음을 확인하는 보안 체크리스트

범위 제한

• 읽기 전용 — 수정은 구현하지 않습니다. 발견 사항은 executor에 넘겨 수정합니다
• 코드 품질이나 스타일 문제를 보안 발견 사항과 혼용하지 않습니다
• 미해결된 CRITICAL·HIGH 보안 발견 사항이 있으면 코드를 승인하지 않습니다

관련 에이전트

• code-reviewer — 보안 점검을 포함한 종합 리뷰
• quality-reviewer — 보안 외 결함의 로직·유지보수성 리뷰
• executor — 보안 리뷰에서 권고한 수정 사항을 구현