Files

T

Antigravity Agent 93ec7e9056 [G1-Sync] Manual knowledge update

2026-05-09 21:08:02 +09:00

4.0 KiB

Raw Blame History

id, title, category, status, source_trust_level, verification_status, created_at, updated_at, tags, tech_stack, applied_in, aliases

title

Secrets Management

비밀은 (1) 코드에 절대 X, (2) 환경 변수 또는 secret manager, (3) 로그 / 응답 / error 에 redact, (4) 정기 rotate. .env.example 만 commit, .env 는 gitignore.

📖 핵심 개념

비밀: API key, JWT secret, DB password, OAuth client secret, SMTP password, signing key.
환경 분리: dev / staging / prod 각각 다른 값.
Rotation: 정기 변경. compromise 시 즉시.
Audit: 누가 언제 access 했는지.

💻 코드 패턴

환경 변수 + 부팅 시 검증

import { z } from 'zod';

const Env = z.object({
  DATABASE_URL: z.string().url(),
  JWT_SECRET: z.string().min(32),
  STRIPE_SECRET_KEY: z.string().regex(/^sk_(test|live)_/),
  AWS_ACCESS_KEY_ID: z.string().optional(),
  AWS_SECRET_ACCESS_KEY: z.string().optional(),
  REDIS_URL: z.string().url(),
});

export const env = Env.parse(process.env);
// 부팅 시 누락 secret 발견 → 즉시 종료. silent failure 방지.

.env 가족

.env                  # 로컬, gitignore
.env.example          # 키 이름만, 값은 placeholder, commit
.env.production       # 절대 commit X. CI/Vault 에서 주입

.gitignore:

.env
.env.*
!.env.example

Cloud secret manager

// AWS Secrets Manager
import { SecretsManagerClient, GetSecretValueCommand } from '@aws-sdk/client-secrets-manager';

const sm = new SecretsManagerClient({});
const res = await sm.send(new GetSecretValueCommand({ SecretId: 'prod/db' }));
const secret = JSON.parse(res.SecretString!);

// 또는 부팅 시 secret manager → process.env 주입

Logger redact (pino)

import pino from 'pino';
export const logger = pino({
  redact: {
    paths: [
      'req.headers.authorization',
      'req.headers.cookie',
      '*.password',
      '*.token',
      '*.secret',
      '*.creditCard',
      'env.JWT_SECRET',
    ],
    censor: '[REDACTED]',
  },
});

Pre-commit — gitleaks

# .pre-commit-config.yaml
repos:
  - repo: https://github.com/zricethezav/gitleaks
    rev: v8.18.0
    hooks:
      - id: gitleaks

Rotation 자동화

// Stripe key rotation 예시
const KEYS = [process.env.STRIPE_SECRET_KEY_NEW, process.env.STRIPE_SECRET_KEY_OLD].filter(Boolean);
// 새 키 deploy 전후 짧은 기간 둘 다 valid.

🤔 의사결정 기준

환경	저장
로컬 dev	`.env` (gitignore)
CI	CI 자체 secret store (GitHub Actions Secrets, GitLab CI variables)
Cloud (AWS/GCP/Azure)	Secrets Manager / Parameter Store + IAM
Kubernetes	Sealed Secrets / External Secrets Operator
클라이언트 (모바일 / SPA)	API key 노출 금지 → BFF 또는 OAuth flow
Edge function	환경 변수 + 짧은 TTL key

❌ 안티패턴

하드코딩: const KEY = "sk_live_...". git history 영구 노출.
.env commit: 즉시 공개. rotate 필요.
Slack / 이메일로 비밀 전송: 평문 보관. 사용 후도 남음.
모든 사람이 prod secret 접근: 최소 권한 원칙. break-glass 절차.
rotation 없음: 한 번 leak 후 영구 노출.
secret 을 응답에 echo: error 메시지에 connection string. catch 후 generic.
client-side env (NEXT_PUBLIC_*) 에 진짜 secret: 번들에 들어가 누구나 봄.
build-time 에 inline: 빌드 아티팩트에 박힘.

🤖 LLM 활용 힌트

"secret 은 항상 process.env. 부팅 시 zod parse" 강제.
클라이언트 코드에 secret 보내지 마라 — BFF 패턴.
gitleaks pre-commit + CI gate.

4.0 KiB Raw Blame History

Secrets Management

📖 핵심 개념

💻 코드 패턴

환경 변수 + 부팅 시 검증

.env 가족

Cloud secret manager

Logger redact (pino)

Pre-commit — gitleaks

Rotation 자동화

🤔 의사결정 기준

❌ 안티패턴

🤖 LLM 활용 힌트

🔗 관련 문서

4.0 KiB

Raw Blame History