Docs: 7장 박승훈 4차

7장/박승훈.md

@@ -441,17 +441,28 @@
 
 <br />
 
+### 최소 권한 원칙
+
+- 최소한의 권한만을 꼭 필요한 시간만큼만 제일 짧게 부여하라.
+- 더 높은 권한이 필요하다면 권한을 얻은 후 최소한의 필요한 일만 수행하고 바로 권한을 파기하여 위험을 줄여야 한다.
+- 권한이야말로 '적을수록 낫다'
+
+<br />
+
 > 나의 생각
 
-프론트엔드의 경우 프레임워크, 라이브러리, 백엔드단에서 보안에 대한 고려가 많이 돼서 아직은 크게 와닿지는 않는 것 같았다. 이후에 이 책을 다시 보게 된다면 조금 더 주목하게 될 부분인 것 같다.
+회사에서 매번 권한을 요청하고 받고 돌려주는 게 너무너무 귀찮았는데 보안 정책을 잘 지키고 있어서 그렇구나 싶었고, 내가 서비스를 만들더라도 보안 정책에서 권한의 최소화를 잘 지킬 필요가 있겠구나 싶었다.
 
 <br />
 
-다만 챙길 부분이 몇 가지 있다.
+### 민감 정보를 암호화하라
+
+- 프로젝트의 모든 걸 버전 관리 시스템에 넣어야 하지만, 암호나 API 키, SSH 키, 암호화 비밀번호, 그 밖의 다른 인증 정보를 소스 코드용 버전 관리 시스템에 넣지 말라.
+- 키나 암호는 보통 빌드나 배포 프로세스 내에서 설정 파일이나 환경 변수로 관리한다.
+
+<br />
 
-- 민감 정보를 암호화하라.
-  + 프로젝트의 모든 걸 버전 관리 시스템에 넣어야 하지만, 암호나 API 키, SSH 키, 암호화 비밀번호, 그 밖의 다른 인증 정보를 소스 코드용 버전 관리 시스템에 넣지 말라.
-  + 키나 암호는 보통 빌드나 배포 프로세스 내에서 설정 파일이나 환경 변수로 관리한다.
+AWS 비밀번호나 API키를 github에 Public으로 당당하게 게시한 짤들이나, AWS 키를 털려서 수 천만원이 청구되고 AWS에 엄청 빌었다는 썰들이 생각났다. 안전불감증은 돈 잃기 전에 끝내야 한다.
 
 <br />