Feature: Add automated security auditing to CI pipeline #424
Description
기능 개요
GitHub Actions CI 파이프라인에 자동화된 보안 감시 추가하여 의존성 취약점 조기 발견
구현 상세
- cargo-audit를 Rust 빌드 단계에 추가
- Cargo.lock 기반으로 알려진 취약점 검사
- 취약점 발견 시 빌드 실패 또는 경고
- npm audit을 Node.js 빌드 단계에 추가
- package-lock.json 기반 취약점 검사
- 취약점 심각도별 처리 정책 설정
- GitHub의 Dependabot 활성화
- 자동 취약점 감지 및 알림
- 자동 업데이트 PR 생성
- OWASP Dependency-Check (선택) 추가
- 보안 감시 결과 대시보드 구성
예상 효과
- 공급망 공격(Supply Chain Attack) 위험 감소
- 의존성 취약점 빠른 감지 및 대응
- CI/CD 파이프라인에서 보안 게이트 역할
- 규정 준수 증거 제공
관련 파일
- .github/workflows/lint-and-build.yml
- .github/workflows/security-audit.yml (신규)
- Cargo.toml
- package.json