diff --git "a/7\354\236\245/\353\260\225\354\212\271\355\233\210.md" "b/7\354\236\245/\353\260\225\354\212\271\355\233\210.md" index d64398f..2d14d4b 100644 --- "a/7\354\236\245/\353\260\225\354\212\271\355\233\210.md" +++ "b/7\354\236\245/\353\260\225\354\212\271\355\233\210.md" @@ -441,17 +441,28 @@
+### 최소 권한 원칙 + +- 최소한의 권한만을 꼭 필요한 시간만큼만 제일 짧게 부여하라. +- 더 높은 권한이 필요하다면 권한을 얻은 후 최소한의 필요한 일만 수행하고 바로 권한을 파기하여 위험을 줄여야 한다. +- 권한이야말로 '적을수록 낫다' + +
+ > 나의 생각 -프론트엔드의 경우 프레임워크, 라이브러리, 백엔드단에서 보안에 대한 고려가 많이 돼서 아직은 크게 와닿지는 않는 것 같았다. 이후에 이 책을 다시 보게 된다면 조금 더 주목하게 될 부분인 것 같다. +회사에서 매번 권한을 요청하고 받고 돌려주는 게 너무너무 귀찮았는데 보안 정책을 잘 지키고 있어서 그렇구나 싶었고, 내가 서비스를 만들더라도 보안 정책에서 권한의 최소화를 잘 지킬 필요가 있겠구나 싶었다.
-다만 챙길 부분이 몇 가지 있다. +### 민감 정보를 암호화하라 + +- 프로젝트의 모든 걸 버전 관리 시스템에 넣어야 하지만, 암호나 API 키, SSH 키, 암호화 비밀번호, 그 밖의 다른 인증 정보를 소스 코드용 버전 관리 시스템에 넣지 말라. +- 키나 암호는 보통 빌드나 배포 프로세스 내에서 설정 파일이나 환경 변수로 관리한다. + +
-- 민감 정보를 암호화하라. - + 프로젝트의 모든 걸 버전 관리 시스템에 넣어야 하지만, 암호나 API 키, SSH 키, 암호화 비밀번호, 그 밖의 다른 인증 정보를 소스 코드용 버전 관리 시스템에 넣지 말라. - + 키나 암호는 보통 빌드나 배포 프로세스 내에서 설정 파일이나 환경 변수로 관리한다. +AWS 비밀번호나 API키를 github에 Public으로 당당하게 게시한 짤들이나, AWS 키를 털려서 수 천만원이 청구되고 AWS에 엄청 빌었다는 썰들이 생각났다. 안전불감증은 돈 잃기 전에 끝내야 한다.