security-pipelinelisted

## Overview 보안 파이프라인 스킬은 코드 변경 시 자동으로 CWE Top 25 기반 보안 검증을 수행한다. `/handoff-verify --security`, `/commit-push-pr` 실행 시 통합 동작한다. 보안 체크리스트 참조: `~/.claude/skills/_reference/security-checklist.md` effort:max가 항상 강제 적용된다. 보안 검증은 축약하지 않는다. --- ## Trigger Conditions ### 파일 패턴 기반 자동 트리거 다음 패턴을 포함하는 파일이 변경되면 보안 파이프라인이 자동으로 실행된다: | 패턴 | 트리거 수준 | 설명 | |------|-------------|------| | `**/auth/**` | Full Scan | 인증 관련 모듈 | | `**/payment/**` | Full Scan | 결제 처리 모듈 | | `**/api/**` | CWE Scan | API 엔드포인트 | | `**/middleware/**` | CWE Scan | 미들웨어 | | `**/session*` | CWE Scan | 세션 관리 | | `**/token*` | CWE Scan | 토큰 처리 | | `**/crypto*` | CWE Scan | 암호화 로직 | | `**/admin/**` | Full + STRIDE | 관리자 기능 | | `**/upload*` | CWE Scan | 파일 업로드 | | `**/.env*` | Credential Scan | 환경변수 파일 | | `**/config/secret*` | Credential Scan | 시크릿 설정 | ### 커밋 기반 자동 트리거 `/commit-push-pr` 실행 시 staged 파일 목록에서 위 패턴이 감지되면, 커밋 전 보안 파이프라인이 자동으로 실행된다. --- ## CWE Scanning Rules ### Critical (커밋 차단) | CWE ID | Rule | Grep Pattern | |--------|------|--------------| | CWE-89 | SQL Injection | `query\(.*\$\{`, `query\(.*\+` | | CWE-79 | XSS | `innerHTML`, `dangerouslySetInnerHTML`, `v-html` | | CWE-78 | OS Command Injection | `exec\(.*\$\{`, `spawn\(.*req\.` | | CWE-77 | Command Injection | Template string in shell command | | CWE-798 | Hardcoded Credentials | `apiKey\s*=\s*['"]`, `secret\s*=\s*['"]` | ### High (경고, 커밋 허용) | CWE ID | Rule | Grep Pattern | |--------|------|--------------| | CWE-22 | Path Traversal | `\.\