본 저장소는 포트폴리오 / 학습 목적의 코드베이스입니다. 운영 환경에서 그대로 사용하는 것을 전제로 만들지 않았습니다. 그렇더라도 결제 도메인 특성상 보안 취약점은 빠르게 다루는 것이 좋다고 판단하여 신고 채널을 열어둡니다.
main 브랜치만 보안 패치 대상입니다. 태그된 릴리스(v*) 는 별도로 backport 하지
않습니다.
| Branch | Supported |
|---|---|
main |
yes |
| 그 외 | no |
발견하신 취약점은 공개 이슈가 아니라 아래 채널로 알려주세요.
- GitHub Security Advisories: 본 저장소의 Security → Report a vulnerability
- 또는 maintainer 이메일:
wittyahn@users.noreply.github.com
신고 시 가능하면 다음 정보를 함께 부탁드립니다.
- 취약점이 영향을 주는 모듈 / 파일 경로
- 재현 절차 (요청 예시, 입력값 등)
- 추정되는 영향 범위 (정보 노출, 권한 상승, 잔액 변조 등)
- 가능한 경우 의심되는 fix 방향
확인 후 평일 기준 5일 이내에 일차 회신을 드리는 것을 목표로 합니다. 학습 목적 저장소이므로 회신이 늦어질 수 있는 점 양해 부탁드립니다.
CI 에서 다음 스캔을 함께 수행합니다.
- OWASP Dependency-Check (PR 시점, SARIF 업로드)
- Trivy 컨테이너 이미지 스캔 (
HIGH/CRITICAL발견 시 빌드 실패)
따라서 의존성 / 베이스 이미지에서 발견된 취약점은 PR 또는 main 빌드의 SARIF / 체크 결과로 노출됩니다.