코드 리뷰와 보안 검사
매번 커밋할 때 자동으로 한 번 훑어줘 — 보안 문제는 어디 숨을 수도 없어
이 템플릿이 뭘 하는 거야?
매번 git commit 전에 AI가 자동으로 코드를 한 번 훑어줄 거야. 보안 취약점, 코드 냄새, 의존성 문제 다 잡아낼 수 있어.
warning 떴다고 다 고칠 필욘 없는 그런 도구 아니야. AI가 진짜 고쳐야 할 거 뭔지, 왜 고쳐야 하는지, 어떻게 고칠지 알려주고, 우선순위까지 정해주고, 고칠 코드도 줘.
3개 템플릿이 3가지 상황을 커버: 제출 전 리뷰, 종속성 스캔, 코드 품질 검사. 따로 써도 되고, 파이프라인으로 연결해도 돼.
코드 보안의 현 상황
넌 보안 검사를 해야 한다는 걸 알아, 근데 매번 「일단 배포하고」라고 생각해. 진짜 보안 사고 나면 3일 전 코드를 보니 SQL Injection 취약점이 명백했어. 안 하고 싶은 게 아니라, 하기가 너무 귀찮은 거야 —— 도구가 200개 warning을 뱉어내면, 뭐가 진짜 중요한지 못 알겠어.
템플릿 1: CSV 데이터 정제
커밋 전에 자동으로 리뷰 실행해. 심각한 문제면 바로 막아, 취약점 있는 코드가 레포에 안 들어가.
Git Commit Hook 감사 · TASK 템플릿
TASK
## TASK: Pre-Commit 코드 감사템플릿 2: 코드 검토 담당자
제3자 의존성은 보안 위험의 핫스팟이야. 이 템플릿이 주기적으로 의존성 트리를 스캔하고, 알려진 취약점이 있는지 봐줄 거야.
종속성 취약점 스캔 · TASK 템플릿
TASK
## TASK: 종속성 보안 스캔템플릿 3: 개인 관심사 구독
보안 문제만 아니라 —— 코드 가독성, 복잡도, 중복도도 중요해. 기술 부채가 쌓이고 쌓이니까 이 템플릿이 정기적으로 체크하는 거 도와줘.
코드 품질 검사 · TASK 템플릿
TASK
## TASK: 코드 품질 리뷰조합 Skill 설정
코드 리뷰 템플릿은 파일 읽기랑 Git 작업 권한이 필요해. 아래가 pre-commit hook 설정 참고:
코드 리뷰 Git Hook 설정
skill_config:
allow_bypass를 false로 설정하는 게 좋음 —— 아니면 뭔가 문제 생길 때마다 건너뛰기를 선택해서 감사 의미가 없어짐. 긴급할 때만 git commit --no-verify 써도 되지만 알고는 있어야 함.
관련 자료
코드 리뷰는 개발 프로세스의 한 부분일 뿐, 이것들도 봐:
- 코드 리뷰 활용 사례 —— 실제 프로젝트에서 코드 리뷰 어떻게 할까
- 골로 센 프로그래머형 템플릿 —— SOUL 층의 프로그래머 페르소나. 감사와 함께 쓰기
- 개발자 페르소나 —— AI한테 너의 기술 스택을 알려