From 4838e934b2984dd3c6dca37d559f701a446d6d8d Mon Sep 17 00:00:00 2001
From: psh1126 <psh1126@midasin.com>
Date: Tue, 3 Sep 2024 22:50:18 +0900
Subject: [PATCH] =?UTF-8?q?Docs:=207=EC=9E=A5=20=EB=B0=95=EC=8A=B9?=
 =?UTF-8?q?=ED=9B=88=204=EC=B0=A8?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 .../\353\260\225\354\212\271\355\233\210.md"  | 21 ++++++++++++++-----
 1 file changed, 16 insertions(+), 5 deletions(-)

diff --git "a/7\354\236\245/\353\260\225\354\212\271\355\233\210.md" "b/7\354\236\245/\353\260\225\354\212\271\355\233\210.md"
index d64398f..2d14d4b 100644
--- "a/7\354\236\245/\353\260\225\354\212\271\355\233\210.md"
+++ "b/7\354\236\245/\353\260\225\354\212\271\355\233\210.md"
@@ -441,17 +441,28 @@
 
 <br />
 
+### 최소 권한 원칙
+
+- 최소한의 권한만을 꼭 필요한 시간만큼만 제일 짧게 부여하라.
+- 더 높은 권한이 필요하다면 권한을 얻은 후 최소한의 필요한 일만 수행하고 바로 권한을 파기하여 위험을 줄여야 한다.
+- 권한이야말로 '적을수록 낫다'
+
+<br />
+
 > 나의 생각
 
-프론트엔드의 경우 프레임워크, 라이브러리, 백엔드단에서 보안에 대한 고려가 많이 돼서 아직은 크게 와닿지는 않는 것 같았다. 이후에 이 책을 다시 보게 된다면 조금 더 주목하게 될 부분인 것 같다.
+회사에서 매번 권한을 요청하고 받고 돌려주는 게 너무너무 귀찮았는데 보안 정책을 잘 지키고 있어서 그렇구나 싶었고, 내가 서비스를 만들더라도 보안 정책에서 권한의 최소화를 잘 지킬 필요가 있겠구나 싶었다.
 
 <br />
 
-다만 챙길 부분이 몇 가지 있다.
+### 민감 정보를 암호화하라
+
+- 프로젝트의 모든 걸 버전 관리 시스템에 넣어야 하지만, 암호나 API 키, SSH 키, 암호화 비밀번호, 그 밖의 다른 인증 정보를 소스 코드용 버전 관리 시스템에 넣지 말라.
+- 키나 암호는 보통 빌드나 배포 프로세스 내에서 설정 파일이나 환경 변수로 관리한다.
+
+<br />
 
-- 민감 정보를 암호화하라.
-  + 프로젝트의 모든 걸 버전 관리 시스템에 넣어야 하지만, 암호나 API 키, SSH 키, 암호화 비밀번호, 그 밖의 다른 인증 정보를 소스 코드용 버전 관리 시스템에 넣지 말라.
-  + 키나 암호는 보통 빌드나 배포 프로세스 내에서 설정 파일이나 환경 변수로 관리한다.
+AWS 비밀번호나 API키를 github에 Public으로 당당하게 게시한 짤들이나, AWS 키를 털려서 수 천만원이 청구되고 AWS에 엄청 빌었다는 썰들이 생각났다. 안전불감증은 돈 잃기 전에 끝내야 한다.
 
 <br />