메인 콘텐츠로 건너뛰기
Replit에서 게시하면 프로젝트가 실제 트래픽을 받을 수 있습니다. Replit의 보안 도구는 취약점을 찾고, Agent로 승인된 문제를 수정하고, 감사에 필요한 증거를 보관하는 데 도움을 줍니다.

보안이 중요한 이유

  • 게시된 프로젝트는 공개 경로와 API를 포함해 인터넷에서 접근할 수 있습니다.
  • 최신 프로젝트는 많은 패키지에 의존하며, 게시 이후에도 새로운 CVE가 나타날 수 있습니다.
  • AI가 생성한 코드도 특히 인증, 데이터베이스 쿼리, 시크릿, 데이터 처리와 관련해 보안 검토가 필요합니다.
  • 컴플라이언스 프로그램은 종종 종속성 인벤토리, 취약점 추적, 완화 조치에 대한 증거를 요구합니다.

시작하는 방법

  • 패키지를 설치하고 있나요? Package Firewall이 설치 시점에 악성 종속성을 차단하며, 기본으로 켜져 있습니다.
  • 단일 프로젝트에서 작업 중인가요? Project Security Center를 사용하세요.
  • 워크스페이스 전체를 감사하고 있나요? Workspace Security Center를 사용하세요.
  • 용어의 정의가 필요한가요? 보안 개념을 읽어보세요.
Replit의 보안 도구는 앱 생애주기의 서로 다른 시점을 보호하며, 함께 작동합니다.
  • 설치 시점: Package Firewall이 악성 및 손상된 패키지를 다운로드되기 전에 차단합니다.
  • 설치 후: 자동 종속성 스캔이 새로 공개된 CVE를 탐지하며, Auto-Protect가 이에 대한 Agent 패치를 준비할 수 있습니다.
  • 게시 전: Security Agent가 코드베이스를 감사해 코드, 종속성, 개인정보 관련 취약점을 찾아냅니다.
대부분의 스캔 작업은 동일한 루프를 따릅니다: 스캔, 결과 검토, Agent로 수정, 다시 게시, 필요 시 증거 내보내기.

제품 내에서 보안이 위치하는 곳

프로젝트 내부

Security 패널을 열어 프로젝트 수준의 발견 사항을 검토하고, Agent 보안 스캔을 실행하고, 게시 전에 종속성 취약점을 확인하세요.
프로젝트의 Publish 흐름에서 Security 패널을 여는 Review security 버튼

워크스페이스 내부

홈 사이드바에서 Security를 선택해 프로젝트 전체의 취약점을 검토하고, 노출도에 따라 발견 사항의 우선순위를 정하고, 워크스페이스 수준의 스캔 기록을 추적하세요.
전체 스캔 수, 전체 취약점 수, 심각도별로 그룹화된 CVE를 보여주는 Workspace Security Center의 랜딩 화면

게시 및 설정에서

  • Publish > Advanced에서 Block publishing of critical vulnerabilities를 사용해 심각한(critical) 발견 사항이 배포되지 않도록 막을 수 있습니다.
  • Settings > Account > Advanced에서 Agent가 준비하는 종속성 완화 조치에 대한 Auto-Protect 심각도 임계값을 설정하세요.

추가로 읽어보기