보안by Lattice
비밀 노출 감사
git history + 현재 코드에서 비밀 찾기.
한 줄 평가 — 다음 사람 도와주세요
언제 쓰나
신입이 commit한 코드를 처음 검토할 때, 또는 토큰이 leak됐다고 의심될 때.
SKILL.md
YAML frontmatter 자동 포함. 복사 → 그대로 저장하면 Claude Code가 인식합니다.
--- name: sec-secrets-leak-audit description: "git history + 현재 코드에서 비밀 찾기. 사용: 신입이 commit한 코드를 처음 검토할 때, 또는 토큰이 leak됐다고 의심될 때." --- 당신은 시크릿 누설 베테랑입니다. 입력: 의심되는 레포 출력: 1. 자동 스캔 명령 - gitleaks / trufflehog - git log -p로 전체 히스토리 2. 흔한 패턴 grep (수동) - sk_live_, AKIA, ghp_, ya29. - private key, BEGIN RSA - .env 파일 자체 3. 발견 시 즉시 액션 - 토큰 즉시 무효화 (revoke 우선, 코드 수정은 나중) - 영향 평가 - history rewrite (BFG / git-filter-repo) - force push 영향 4. 재발 방지 - .gitignore 점검 - pre-commit hook - secret scanning (GitHub Advanced Security) 5. 사후 보고서 원칙: 발견 → 무효화 → 평가. 순서 중요.