@mandujs/core 0.9.45 → 0.10.0

package/src/lockfile/validate.ts

@@ -0,0 +1,308 @@
+/**
+ * Mandu Lockfile 검증 ✅
+ *
+ * Lockfile과 현재 설정의 일치 여부 검증
+ */
+
+import { diffConfig } from "../utils/differ.js";
+import { computeCurrentHashes, resolveMcpSources } from "./generate.js";
+import {
+  type ManduLockfile,
+  type LockfileValidationResult,
+  type LockfileError,
+  type LockfileWarning,
+  type LockfileMode,
+  type LockfilePolicyOptions,
+  DEFAULT_POLICIES,
+  LOCKFILE_SCHEMA_VERSION,
+  BYPASS_ENV_VAR,
+} from "./types.js";
+
+// ============================================
+// 검증
+// ============================================
+
+/**
+ * Lockfile 검증
+ *
+ * @param config 현재 설정
+ * @param lockfile Lockfile 데이터
+ * @returns 검증 결과
+ *
+ * @example
+ * ```typescript
+ * const lockfile = await readLockfile(projectRoot);
+ * if (lockfile) {
+ *   const result = validateLockfile(config, lockfile);
+ *   if (!result.valid) {
+ *     console.error("Lockfile mismatch:", result.errors);
+ *   }
+ * }
+ * ```
+ */
+export function validateLockfile(
+  config: Record<string, unknown>,
+  lockfile: ManduLockfile,
+  mcpConfig?: Record<string, unknown> | null
+): LockfileValidationResult {
+  const errors: LockfileError[] = [];
+  const warnings: LockfileWarning[] = [];
+
+  // 현재 해시 계산
+  const { configHash, mcpConfigHash } = computeCurrentHashes(config, mcpConfig);
+  const { mcpServers } = resolveMcpSources(config, mcpConfig);
+
+  // 1. 스키마 버전 체크
+  if (lockfile.schemaVersion !== LOCKFILE_SCHEMA_VERSION) {
+    warnings.push({
+      code: "LOCKFILE_OUTDATED",
+      message: `Lockfile schema version mismatch: expected ${LOCKFILE_SCHEMA_VERSION}, got ${lockfile.schemaVersion}`,
+      details: {
+        expected: LOCKFILE_SCHEMA_VERSION,
+        actual: lockfile.schemaVersion,
+      },
+    });
+  }
+
+  // 2. 설정 해시 비교
+  if (configHash !== lockfile.configHash) {
+    errors.push({
+      code: "CONFIG_HASH_MISMATCH",
+      message: "Configuration has changed since lockfile was generated",
+      details: {
+        expected: lockfile.configHash,
+        actual: configHash,
+      },
+    });
+  }
+
+  // 3. MCP 설정 해시 비교 (있는 경우)
+  if (lockfile.mcpConfigHash && mcpConfigHash !== lockfile.mcpConfigHash) {
+    errors.push({
+      code: "MCP_CONFIG_HASH_MISMATCH",
+      message: "MCP configuration has changed since lockfile was generated",
+      details: {
+        expected: lockfile.mcpConfigHash,
+        actual: mcpConfigHash,
+      },
+    });
+  }
+
+  // 4. MCP 서버 변경 감지
+  if (lockfile.mcpServers && mcpServers) {
+    const lockedServers = new Set(Object.keys(lockfile.mcpServers));
+    const currentServers = new Set(Object.keys(mcpServers));
+
+    // 추가된 서버
+    for (const server of currentServers) {
+      if (!lockedServers.has(server)) {
+        warnings.push({
+          code: "MCP_SERVER_ADDED",
+          message: `MCP server "${server}" was added`,
+          details: { server },
+        });
+      }
+    }
+
+    // 삭제된 서버
+    for (const server of lockedServers) {
+      if (!currentServers.has(server)) {
+        warnings.push({
+          code: "MCP_SERVER_REMOVED",
+          message: `MCP server "${server}" was removed`,
+          details: { server },
+        });
+      }
+    }
+  }
+
+  // 5. 스냅샷 누락 경고
+  if (!lockfile.snapshot) {
+    warnings.push({
+      code: "SNAPSHOT_MISSING",
+      message: "Lockfile does not include configuration snapshot",
+    });
+  }
+
+  // 6. Diff 계산 (오류가 있는 경우에만)
+  let diff;
+  if (errors.length > 0 && lockfile.snapshot) {
+    const configForDiff = mcpServers
+      ? { ...config, mcpServers }
+      : config;
+    diff = diffConfig(lockfile.snapshot.config, configForDiff);
+  }
+
+  return {
+    valid: errors.length === 0,
+    errors,
+    warnings,
+    diff,
+    currentHash: configHash,
+    lockedHash: lockfile.configHash,
+  };
+}
+
+// ============================================
+// 정책 기반 검증
+// ============================================
+
+/**
+ * 환경 정책에 따른 검증 수행
+ */
+export function validateWithPolicy(
+  config: Record<string, unknown>,
+  lockfile: ManduLockfile | null,
+  mode?: LockfileMode,
+  mcpConfig?: Record<string, unknown> | null
+): {
+  result: LockfileValidationResult | null;
+  action: "pass" | "warn" | "error" | "block";
+  bypassed: boolean;
+} {
+  const resolvedMode = mode ?? detectMode();
+  const policy = DEFAULT_POLICIES[resolvedMode];
+  const bypassed = isBypassed();
+
+  // Lockfile 없는 경우
+  if (!lockfile) {
+    const action = bypassed ? "warn" : policy.onMissing;
+    return {
+      result: null,
+      action: action === "create" ? "warn" : action,
+      bypassed,
+    };
+  }
+
+  // 검증 수행
+  const result = validateLockfile(config, lockfile, mcpConfig);
+
+  // 통과
+  if (result.valid) {
+    return { result, action: "pass", bypassed };
+  }
+
+  // 불일치 시 정책 적용
+  const action = bypassed ? "warn" : policy.onMismatch;
+  return { result, action, bypassed };
+}
+
+/**
+ * 현재 모드 감지
+ */
+export function detectMode(): LockfileMode {
+  // CI 환경
+  if (
+    process.env.CI === "true" ||
+    process.env.GITHUB_ACTIONS === "true" ||
+    process.env.GITLAB_CI === "true"
+  ) {
+    return "ci";
+  }
+
+  // 빌드 모드 (npm run build 등)
+  if (process.env.npm_lifecycle_event === "build") {
+    return "build";
+  }
+
+  // 프로덕션
+  if (process.env.NODE_ENV === "production") {
+    return "production";
+  }
+
+  return "development";
+}
+
+/**
+ * 우회 환경변수 체크
+ */
+export function isBypassed(): boolean {
+  return process.env[BYPASS_ENV_VAR] === "1" || process.env[BYPASS_ENV_VAR] === "true";
+}
+
+// ============================================
+// 빠른 검증
+// ============================================
+
+/**
+ * 해시만 빠르게 비교
+ */
+export function quickValidate(
+  config: Record<string, unknown>,
+  lockfile: ManduLockfile,
+  mcpConfig?: Record<string, unknown> | null
+): boolean {
+  const { configHash } = computeCurrentHashes(config, mcpConfig);
+  return configHash === lockfile.configHash;
+}
+
+/**
+ * Lockfile이 최신인지 확인
+ */
+export function isLockfileStale(
+  config: Record<string, unknown>,
+  lockfile: ManduLockfile,
+  mcpConfig?: Record<string, unknown> | null
+): boolean {
+  return !quickValidate(config, lockfile, mcpConfig);
+}
+
+// ============================================
+// 검증 결과 포맷팅
+// ============================================
+
+/**
+ * 검증 결과를 콘솔 메시지로 변환
+ */
+export function formatValidationResult(
+  result: LockfileValidationResult
+): string {
+  const lines: string[] = [];
+
+  if (result.valid) {
+    lines.push("✅ Lockfile 검증 통과");
+    lines.push(`   해시: ${result.currentHash}`);
+  } else {
+    lines.push("❌ Lockfile 검증 실패");
+    lines.push("");
+
+    for (const error of result.errors) {
+      lines.push(`   🔴 ${error.message}`);
+      if (error.details) {
+        lines.push(`      예상: ${error.details.expected}`);
+        lines.push(`      실제: ${error.details.actual}`);
+      }
+    }
+  }
+
+  if (result.warnings.length > 0) {
+    lines.push("");
+    lines.push("   경고:");
+    for (const warning of result.warnings) {
+      lines.push(`   ⚠️  ${warning.message}`);
+    }
+  }
+
+  return lines.join("\n");
+}
+
+/**
+ * 정책 액션에 따른 메시지 생성
+ */
+export function formatPolicyAction(
+  action: "pass" | "warn" | "error" | "block",
+  bypassed: boolean
+): string {
+  const bypassNote = bypassed ? " (우회됨)" : "";
+
+  switch (action) {
+    case "pass":
+      return "✅ Lockfile 검증 통과";
+    case "warn":
+      return `⚠️  Lockfile 불일치 - 경고${bypassNote}`;
+    case "error":
+      return `❌ Lockfile 불일치 - 빌드 실패${bypassNote}`;
+    case "block":
+      return `🛑 Lockfile 불일치 - 서버 시작 차단${bypassNote}`;
+  }
+}

package/src/runtime/security.ts

@@ -0,0 +1,155 @@
+/**
+ * Runtime Security
+ *
+ * 동적 import 및 경로 접근 보안 검증
+ */
+
+import path from "path";
+import type { Result } from "../error/result";
+import { ok, err } from "../error/result";
+import { SecurityError } from "../error/domains";
+
+/**
+ * 허용된 import 경로 패턴
+ */
+const ALLOWED_IMPORT_PATTERNS = [
+  /^app\//,           // app/ 디렉토리 (FS Routes)
+  /^src\/client\//,   // 클라이언트 코드
+  /^src\/server\//,   // 서버 코드
+  /^src\/shared\//,   // 공유 코드
+  /^spec\//,          // Spec 디렉토리 (레거시)
+];
+
+/**
+ * 허용된 파일 확장자
+ */
+const ALLOWED_EXTENSIONS = [".ts", ".tsx", ".js", ".jsx", ".mjs"];
+
+/**
+ * 차단된 경로 패턴
+ */
+const BLOCKED_PATTERNS = [
+  /node_modules/,     // node_modules 직접 접근 차단
+  /\.env/,            // 환경 변수 파일
+  /\.git/,            // Git 디렉토리
+  /\.mandu\/.*\.json$/, // 설정 파일
+];
+
+/**
+ * 동적 import 경로 검증
+ *
+ * @param rootDir 프로젝트 루트 디렉토리
+ * @param modulePath 상대 모듈 경로 (예: "app/layout.tsx")
+ * @returns 검증된 전체 경로 또는 에러
+ */
+export function validateImportPath(
+  rootDir: string,
+  modulePath: string
+): Result<string> {
+  // 1. 경로 정규화
+  const normalized = path.posix.normalize(modulePath).replace(/\\/g, "/");
+
+  // 2. Path traversal 체크
+  if (normalized.includes("..")) {
+    return err(
+      new SecurityError(
+        "path_traversal",
+        `경로 탐색 공격 감지: ${modulePath}`,
+        modulePath
+      ).toManduError()
+    );
+  }
+
+  // 3. 차단된 패턴 체크
+  for (const pattern of BLOCKED_PATTERNS) {
+    if (pattern.test(normalized)) {
+      return err(
+        new SecurityError(
+          "import_violation",
+          `차단된 경로 접근: ${modulePath}`,
+          modulePath
+        ).toManduError()
+      );
+    }
+  }
+
+  // 4. 화이트리스트 검증
+  const isAllowed = ALLOWED_IMPORT_PATTERNS.some((pattern) =>
+    pattern.test(normalized)
+  );
+
+  if (!isAllowed) {
+    return err(
+      new SecurityError(
+        "import_violation",
+        `허용되지 않은 import 경로: ${modulePath}. 허용된 경로: app/, src/client/, src/server/, src/shared/, spec/`,
+        modulePath
+      ).toManduError()
+    );
+  }
+
+  // 5. 확장자 검증 (있는 경우만)
+  const ext = path.extname(normalized);
+  if (ext && !ALLOWED_EXTENSIONS.includes(ext)) {
+    return err(
+      new SecurityError(
+        "import_violation",
+        `허용되지 않은 파일 확장자: ${ext}`,
+        modulePath
+      ).toManduError()
+    );
+  }
+
+  // 6. 전체 경로 생성
+  const fullPath = path.join(rootDir, normalized);
+
+  // 7. 최종 경로가 rootDir 내에 있는지 확인
+  const resolvedPath = path.resolve(fullPath);
+  const resolvedRoot = path.resolve(rootDir);
+
+  if (!resolvedPath.startsWith(resolvedRoot + path.sep)) {
+    return err(
+      new SecurityError(
+        "path_traversal",
+        `루트 디렉토리 외부 접근 시도: ${modulePath}`,
+        modulePath
+      ).toManduError()
+    );
+  }
+
+  return ok(fullPath);
+}
+
+/**
+ * 안전한 동적 import
+ *
+ * @param rootDir 프로젝트 루트 디렉토리
+ * @param modulePath 상대 모듈 경로
+ * @returns 로드된 모듈 또는 null
+ */
+export async function safeImport<T = unknown>(
+  rootDir: string,
+  modulePath: string
+): Promise<T | null> {
+  const validation = validateImportPath(rootDir, modulePath);
+
+  if (!validation.ok) {
+    console.error(`[Mandu Security] ${validation.error.message}`);
+    return null;
+  }
+
+  try {
+    const module = await import(validation.value);
+    return module as T;
+  } catch (error) {
+    console.error(`[Mandu] Failed to import: ${modulePath}`, error);
+    return null;
+  }
+}
+
+/**
+ * 모듈 경로 검증 (boolean 반환)
+ */
+export function isValidImportPath(rootDir: string, modulePath: string): boolean {
+  return validateImportPath(rootDir, modulePath).ok;
+}