05843da1c4
- Replaced SELECT* queries in 8 models with explicit columns. - Began modularizing work-report-calendar.js by creating CalendarAPI.js, CalendarState.js, and CalendarView.js. - Refactored manage-project.js to use global API helpers. - Fixed API container crash by adding missing volume mounts to docker-compose.yml. - Added new migration for missing columns in the projects table. - Documented current DB schema and deployment notes.
26 lines
1.6 KiB
Markdown
26 lines
1.6 KiB
Markdown
# 생산팀 내부 포털 프로젝트 검토 리포트
|
|
|
|
## 1. 보안 취약점 분석 (2025-07-29)
|
|
|
|
### 1.1. 개요
|
|
|
|
`api.hyungi.net` 백엔드 서버의 NPM 패키지들을 대상으로 보안 취약점 분석을 수행한 결과, **총 3개의 취약점 (높음 1, 낮음 2)** 이 발견되었습니다.
|
|
|
|
### 1.2. 취약점 상세 내역
|
|
|
|
| 라이브러리 | 심각도 | 문제 내용 | 해결 방안 |
|
|
| ----------------- | ------ | ------------------------------------------- | --------------------------------------------- |
|
|
| `tar-fs` | **높음** | 악의적인 tar 파일 압축 해제 시 경로 조작 가능 | `npm audit fix` 명령어로 즉시 해결 가능 |
|
|
| `brace-expansion` | 낮음 | 정규식 서비스 거부(ReDoS) 공격에 취약 | `npm audit fix` 명령어로 즉시 해결 가능 |
|
|
| `pm2` | 낮음 | 정규식 서비스 거부(ReDoS) 공격에 취약 | 현재 해결 버전 없음. 향후 `pm2` 업데이트 필요 |
|
|
|
|
### 1.3. 권고 사항
|
|
|
|
1. **즉시 조치:** 개발 환경 또는 다음 배포 시, `api.hyungi.net` 디렉토리에서 아래 명령어를 실행하여 `tar-fs`와 `brace-expansion` 라이브러리를 안전한 버전으로 업데이트해야 합니다.
|
|
```bash
|
|
npm audit fix
|
|
```
|
|
2. **지속적인 모니터링:** `pm2` 패키지의 취약점은 현재 해결책이 없으므로, 주기적으로 새로운 버전이 릴리즈되었는지 확인하고 업데이트를 적용해야 합니다.
|
|
|
|
---
|
|
*본 문서는 지속적으로 업데이트될 수 있습니다.* |