create-claude-pipeline 0.1.0

package/template/.claude/skills/implement-components/SKILL.md

@@ -0,0 +1,217 @@
+---
+name: implement-components
+description: "FE 개발자가 디자인 명세 기반으로 React/Next.js 컴포넌트를 구현할 때 일관된 패턴을 유지하기 위한 skill. Props 타입 정의, 상태 처리(Loading/Error/Empty), 파일 배치, 반응형 구현까지의 구현 기준을 제공한다. FE Agent가 STEP 4(구현)에서 컴포넌트를 작성할 때, 새 컴포넌트를 만들거나 기존 컴포넌트를 수정할 때 반드시 사용한다."
+---
+
+# Implement Components
+
+FE 개발자가 컴포넌트를 구현할 때 일관된 패턴을 따르기 위한 skill이다.
+
+같은 팀에서 작성한 코드처럼 보이려면 모든 컴포넌트가 동일한 구조를 따라야 한다. 이 skill은 "컴포넌트를 어떻게 작성할 것인가"에 대한 팀 규약이다.
+
+---
+
+## 파일 배치 규칙
+
+컴포넌트의 역할에 따라 저장 위치가 정해진다. 이 규칙은 프로젝트가 커져도 파일을 쉽게 찾을 수 있게 해준다.
+
+```
+src/
+├── components/
+│   ├── ui/                    # 공통 UI 컴포넌트 (Button, Input, Modal 등)
+│   │   ├── Button.tsx
+│   │   └── Input.tsx
+│   └── [feature]/             # 기능별 컴포넌트 (ProductCard, CartItem 등)
+│       ├── ProductCard.tsx
+│       └── CartItem.tsx
+├── hooks/                     # 커스텀 훅
+│   ├── useProducts.ts
+│   └── useAuth.ts
+├── types/                     # 타입 정의
+│   ├── product.ts
+│   └── user.ts
+├── lib/
+│   └── api/                   # API 클라이언트 함수
+│       ├── client.ts          # axios/fetch 인스턴스
+│       └── products.ts        # API 호출 함수
+├── app/ (또는 pages/)         # 페이지
+│   └── products/
+│       └── page.tsx
+└── styles/                    # 스타일
+    └── globals.css
+```
+
+**판단 기준:**
+- 2개 이상의 페이지에서 사용 → `components/ui/`
+- 특정 기능에서만 사용 → `components/[feature]/`
+- 페이지 자체 → `app/` 또는 `pages/`
+
+기존 프로젝트에 이미 다른 구조가 있으면 **기존 구조를 따른다**. 이 규칙은 신규 프로젝트이거나 구조가 없을 때의 기본값이다.
+
+---
+
+## 컴포넌트 구현 패턴
+
+모든 컴포넌트는 아래 3단계로 구현한다.
+
+### 1단계: Props 타입 정의
+
+컴포넌트의 인터페이스를 먼저 확정한다. 코드를 작성하기 전에 "이 컴포넌트가 무엇을 받고, 무엇을 노출하는지"를 명확히 한다.
+
+```tsx
+interface ProductCardProps {
+  product: Product;
+  onAddToCart: (productId: string) => void;
+  isWishlisted?: boolean;
+  onToggleWishlist?: (productId: string) => void;
+}
+```
+
+**규칙:**
+- 필수 props와 선택 props를 구분한다 (`?`로 선택적 표시)
+- 콜백은 `on` 접두어를 사용한다 (`onClick`, `onSubmit`)
+- 데이터 타입은 `types/` 폴더에서 import한다
+- `any` 타입은 사용하지 않는다
+
+### 2단계: 컴포넌트 함수 작성
+
+```tsx
+export function ProductCard({ product, onAddToCart, isWishlisted = false, onToggleWishlist }: ProductCardProps) {
+  // 컴포넌트 로직
+}
+```
+
+**규칙:**
+- `export function` 사용 (named export)
+- `default export`는 페이지 컴포넌트에서만 사용
+- destructuring으로 props를 받는다
+- 선택적 props에는 기본값을 지정한다
+
+### 3단계: 상태별 렌더링
+
+모든 데이터 의존 컴포넌트는 4가지 상태를 처리한다. QA에서 빠뜨린 상태가 발견되면 구현이 반려되기 때문에, 처음부터 모두 구현하는 것이 효율적이다.
+
+```tsx
+export function ProductList() {
+  const { data, isLoading, error } = useProducts();
+
+  // ① 로딩 상태
+  if (isLoading) {
+    return <ProductListSkeleton />;
+  }
+
+  // ② 에러 상태
+  if (error) {
+    return (
+      <ErrorMessage
+        message="상품 목록을 불러올 수 없습니다."
+        onRetry={() => window.location.reload()}
+      />
+    );
+  }
+
+  // ③ 빈 상태
+  if (!data || data.length === 0) {
+    return <EmptyState message="등록된 상품이 없습니다." />;
+  }
+
+  // ④ 정상 상태
+  return (
+    <div className="product-grid">
+      {data.map((product) => (
+        <ProductCard key={product.id} product={product} />
+      ))}
+    </div>
+  );
+}
+```
+
+**상태별 처리 가이드:**
+
+| 상태 | 표시 내용 | 필수 여부 |
+|------|-----------|-----------|
+| Loading | 스켈레톤 UI 또는 스피너 | 데이터 fetching 시 필수 |
+| Error | 에러 메시지 + 재시도 버튼 | 데이터 fetching 시 필수 |
+| Empty | 빈 상태 일러스트 + 안내 메시지 | 목록형 컴포넌트 필수 |
+| Success | 실제 콘텐츠 | 항상 필수 |
+
+**순수 UI 컴포넌트**(Button, Input 등)는 자체 데이터 fetching이 없으므로 이 4상태 처리가 필요 없다. 대신 `disabled`, `loading` 같은 상태 props를 받아 처리한다.
+
+---
+
+## API 연동 (타입, API 함수, 커스텀 훅, 에러 핸들링)
+
+API 연동의 상세 패턴은 **`api-integration` skill**을 참조한다. 여기서는 컴포넌트 구현 관점에서의 핵심 원칙만 정리한다.
+
+- 컴포넌트에서 직접 fetch/axios를 호출하지 않는다. 반드시 커스텀 훅으로 감싼다.
+- 커스텀 훅은 `data`, `isLoading`, `error`를 반환하여 컴포넌트가 4상태를 처리할 수 있게 한다.
+- 타입 정의, API 함수 작성, 훅 구현, 에러 핸들링의 구체적인 패턴과 순서는 `api-integration` skill에 정의되어 있다.
+
+---
+
+## 스타일링 패턴
+
+기존 프로젝트의 스타일링 방식을 따른다. 프로젝트에 스타일링 체계가 없으면 아래 순서로 권장한다:
+
+1. **Tailwind CSS** — 이미 설치되어 있으면 우선 사용
+2. **CSS Modules** — Next.js 프로젝트에서 기본 지원
+3. **바닐라 CSS** — 소규모 프로젝트에서
+
+### 디자인 토큰 적용
+
+디자인 명세에 토큰이 정의되어 있으면 CSS 변수로 등록한다:
+
+```css
+/* styles/tokens.css */
+:root {
+  --color-primary: #2563eb;
+  --color-error: #dc2626;
+  --radius-md: 8px;
+  --spacing-4: 16px;
+  --font-size-body: 16px;
+}
+```
+
+### 반응형 (Mobile-First)
+
+작은 화면부터 큰 화면으로 확장하는 방식으로 작성한다:
+
+```css
+/* 기본: 모바일 */
+.product-grid {
+  display: grid;
+  grid-template-columns: 1fr;
+  gap: var(--spacing-4);
+}
+
+/* 태블릿 (768px 이상) */
+@media (min-width: 768px) {
+  .product-grid {
+    grid-template-columns: repeat(2, 1fr);
+  }
+}
+
+/* 데스크탑 (1024px 이상) */
+@media (min-width: 1024px) {
+  .product-grid {
+    grid-template-columns: repeat(3, 1fr);
+  }
+}
+```
+
+---
+
+## 구현 순서 체크리스트
+
+컴포넌트를 구현할 때 아래 순서를 따른다:
+
+1. [ ] `types/`에 타입 정의
+2. [ ] `lib/api/`에 API 함수 작성
+3. [ ] `hooks/`에 커스텀 훅 작성
+4. [ ] `components/ui/`에 공통 컴포넌트 구현 (Button, Input 등)
+5. [ ] `components/[feature]/`에 기능 컴포넌트 구현
+6. [ ] `app/` 또는 `pages/`에 페이지 컴포넌트 구현
+7. [ ] 라우팅 연결
+8. [ ] 4상태 처리 확인 (Loading/Error/Empty/Success)
+9. [ ] 반응형 확인 (mobile/tablet/desktop)
+10. [ ] TypeScript 타입 에러 없음 확인

package/template/.claude/skills/review-auth/SKILL.md

@@ -0,0 +1,175 @@
+---
+name: review-auth
+description: "보안 리뷰어가 인증/인가 구현을 집중적으로 검토할 때 참조하는 skill. JWT 설정, 미들웨어 적용 범위, 권한 검사, 비밀번호 처리를 체계적으로 검토한다. Security Agent가 인증/인가 관련 코드를 검토할 때, 로그인/회원가입 기능이 구현된 후 보안 점검할 때, JWT나 세션 관련 코드를 확인할 때 반드시 사용한다. '인증 검토', '인가 검토', 'JWT 검토', '미들웨어 적용 확인', '비밀번호 처리 확인', '권한 검사 확인', 'auth 보안 점검' 등의 상황에서 트리거된다."
+context: fork
+agent: Explore
+---
+
+# Review Auth
+
+보안 리뷰어가 인증/인가 구현을 검토하는 skill이다.
+
+인증/인가는 보안의 첫 번째 방어선이다. JWT 설정이 잘못되면 토큰 위조가 가능하고, 미들웨어가 누락되면 비인가 접근이 가능하며, 비밀번호 처리가 잘못되면 사용자 계정이 탈취된다. 이 skill은 이런 취약점을 놓치지 않도록 체계적인 탐색 절차를 제공한다.
+
+---
+
+## 탐색 절차
+
+### 1. JWT 설정 검토
+
+JWT 관련 코드를 찾아서 설정을 확인한다.
+
+```
+Grep: "jwt\.sign|jwt\.verify|jsonwebtoken|jose" — 전체 소스에서
+Grep: "expiresIn|exp|secret|algorithm" — JWT 관련 파일에서
+```
+
+확인할 항목:
+
+| 항목 | 안전 기준 | 위험 신호 |
+|------|----------|----------|
+| 서명 알고리즘 | HS256, RS256, ES256 | `none`, 알고리즘 미지정 |
+| 만료 시간 (Access Token) | 15분 ~ 1시간 | `expiresIn` 없음, 24시간 이상 |
+| 만료 시간 (Refresh Token) | 7일 ~ 30일 | 만료 없음 |
+| 시크릿 키 | 환경변수에서 로드, 32자 이상 | 하드코딩, 짧은 문자열 |
+| `none` 알고리즘 | 명시적으로 차단 | `algorithms` 옵션 없이 verify |
+
+**`none` 알고리즘 확인이 중요한 이유:** `jwt.verify`에 `algorithms` 옵션을 지정하지 않으면, 공격자가 토큰의 알고리즘을 `none`으로 변경하여 서명 검증을 우회할 수 있다.
+
+```
+// 위험: algorithms 미지정
+jwt.verify(token, secret)
+
+// 안전: 허용 알고리즘 명시
+jwt.verify(token, secret, { algorithms: ['HS256'] })
+```
+
+### 2. 미들웨어 적용 범위 검토
+
+모든 라우트 파일을 탐색하여 인증 미들웨어 적용 여부를 확인한다.
+
+```
+Glob: **/routes/**/*.ts, **/routes/**/*.js
+Grep: "authenticate|auth|protect|guard|requireAuth" — 라우터 파일에서
+```
+
+각 엔드포인트를 아래 기준으로 분류한다:
+
+| 분류 | 예시 | 인증 필요 |
+|------|------|----------|
+| Public | 로그인, 회원가입, 비밀번호 재설정, 헬스체크 | X |
+| Protected | 사용자 정보 조회/수정, 주문, 결제 | O |
+| Admin | 사용자 관리, 시스템 설정 | O + 관리자 권한 |
+
+**확인 포인트:**
+- Protected 엔드포인트에 인증 미들웨어가 빠진 곳이 있는가
+- Public 엔드포인트가 의도적인가 (로그인, 회원가입 등만 허용)
+- 미들웨어 순서가 올바른가 (인증 → 권한 → 검증 → Controller)
+
+### 3. 비밀번호 처리 검토
+
+비밀번호 관련 코드를 찾아서 처리 방식을 확인한다.
+
+```
+Grep: "password|passwd|bcrypt|argon2|hash|salt" — 전체 소스에서
+Grep: "compare|verify" — auth 관련 파일에서
+```
+
+확인할 항목:
+
+| 항목 | 안전 기준 | 위험 신호 |
+|------|----------|----------|
+| 해싱 알고리즘 | bcrypt 또는 argon2 | MD5, SHA1, SHA256 단독, 평문 |
+| bcrypt cost factor | 10 이상 | 10 미만, 미지정 |
+| 평문 저장 | DB에 해시값만 저장 | 평문 비밀번호 INSERT |
+| 로그 출력 | 비밀번호 미포함 | `console.log(req.body)` 등으로 노출 |
+| API 응답 | 비밀번호 필드 제외 | `select *` 등으로 전체 반환 |
+| 비교 방식 | `bcrypt.compare()` 사용 | `===` 직접 비교 (타이밍 공격 가능) |
+
+**DB 쿼리에서 비밀번호 제외 확인:**
+```
+Grep: "select|findUnique|findFirst|findMany" — repository/service 파일에서
+```
+Prisma의 `select`나 `omit`으로 비밀번호 필드를 제외하는지, 또는 응답 전에 삭제하는지 확인한다.
+
+### 4. 권한 검사 검토
+
+역할(Role) 기반 접근 제어가 어디서 이루어지는지 확인한다.
+
+```
+Grep: "role|permission|authorize|isAdmin|canAccess" — 전체 소스에서
+Grep: "req\.user\.role|user\.role|currentUser\.role" — 전체 소스에서
+```
+
+확인할 항목:
+
+| 항목 | 안전 기준 | 위험 신호 |
+|------|----------|----------|
+| 검사 위치 | 서버 (미들웨어 또는 Service) | 클라이언트만 (FE에서 UI 숨기기만) |
+| 리소스 소유권 | 요청자 === 리소스 소유자 검증 | ID만으로 다른 사용자 데이터 접근 가능 |
+| Admin 엔드포인트 | 별도 권한 미들웨어 적용 | 인증만 있고 권한 검사 없음 |
+| 권한 상승 | 역할 변경 API에 관리자 권한 필요 | 일반 사용자가 자기 역할 변경 가능 |
+
+**IDOR(Insecure Direct Object Reference) 확인:**
+`GET /api/users/:id` 같은 엔드포인트에서 요청자가 자기 자신인지 확인하는 로직이 있는지 확인한다. `req.params.id`와 `req.user.id`를 비교하는 코드가 없으면 다른 사용자의 데이터에 접근 가능하다.
+
+### 5. 추가 확인 사항
+
+```
+Grep: "rate.limit|rateLimit|throttle|brute" — 전체 소스에서
+Grep: "cookie|httpOnly|sameSite|secure" — 전체 소스에서
+Grep: "cors|origin" — 전체 소스에서
+```
+
+| 항목 | 확인 내용 |
+|------|----------|
+| Brute Force 방어 | 로그인 실패 횟수 제한이 있는가 |
+| 토큰 저장 (FE) | `httpOnly` cookie인가, `localStorage`인가 |
+| CORS | 허용 origin이 `*`가 아닌가 |
+| 비밀번호 재설정 | 토큰이 일회용인가, 만료 시간이 있는가 |
+| 로그아웃 | 서버에서 토큰 무효화가 되는가 |
+
+---
+
+## 출력 형식
+
+탐색 결과를 취약점 형식으로 반환한다.
+
+```
+## 인증/인가 검토 결과
+
+### JWT 설정
+| 항목 | 현재 값 | 판정 | 비고 |
+|------|--------|------|------|
+| 서명 알고리즘 | HS256 | ✅ | |
+| Access Token 만료 | 1h | ✅ | |
+| Refresh Token 만료 | 미설정 | ❌ SEC-XXX | 만료 없음 |
+| 시크릿 키 관리 | 환경변수 | ✅ | |
+| algorithms 옵션 | 미지정 | ⚠️ SEC-XXX | none 우회 가능 |
+
+### 미들웨어 적용
+| 엔드포인트 | 인증 | 권한 | 판정 |
+|-----------|------|------|------|
+| POST /api/auth/login | - | - | ✅ Public |
+| GET /api/orders | authenticate | - | ✅ |
+| DELETE /api/users/:id | authenticate | - | ⚠️ SEC-XXX 관리자 권한 필요 |
+
+### 비밀번호 처리
+| 항목 | 현재 구현 | 판정 |
+|------|----------|------|
+| 해싱 | bcrypt (cost 12) | ✅ |
+| 응답 제외 | select에서 제외 | ✅ |
+| 로그 출력 | req.body 로깅 | ❌ SEC-XXX |
+
+### 권한 검사
+| 항목 | 현재 구현 | 판정 |
+|------|----------|------|
+| 검사 위치 | Service 레이어 | ✅ |
+| IDOR 방어 | userId 비교 있음 | ✅ |
+| Admin 보호 | 권한 미들웨어 없음 | ❌ SEC-XXX |
+
+### 발견된 취약점 목록
+(SEC-XXX 형식으로 security-reviewer agent의 취약점 보고 형식에 맞춰 작성)
+```
+
+미들웨어 적용 표가 길어지면 Protected/Admin만 나열하고 Public은 생략해도 된다.

package/template/.claude/skills/scan-vulnerabilities/SKILL.md

@@ -0,0 +1,200 @@
+---
+name: scan-vulnerabilities
+description: "보안 리뷰어가 전체 코드베이스에서 일반적인 보안 취약점 패턴을 탐색할 때 사용하는 skill. OWASP Top 10 기준으로 위험한 패턴을 자동으로 찾아서 보고한다. Security Agent 또는 QA Agent가 보안 검토를 수행할 때, 코드 배포 전 보안 점검이 필요할 때, 또는 새 코드가 추가된 후 취약점이 없는지 확인할 때 반드시 사용한다. '보안 검토', '취약점 탐색', 'OWASP', 'XSS 확인', 'SQL Injection 확인', '시크릿 노출', '하드코딩 비밀번호', '인증 누락 확인' 등의 상황에서 트리거된다."
+context: fork
+agent: Explore
+---
+
+# Scan Vulnerabilities
+
+코드베이스에서 일반적인 보안 취약점 패턴을 탐색하는 skill이다.
+
+보안 취약점은 코드 리뷰에서 놓치기 쉽다. `eval()`이 한 곳에 숨어 있거나, 비밀번호가 하드코딩된 테스트 파일이 프로덕션에 포함되거나, 인증 미들웨어가 새 라우트에 빠져 있을 수 있다. 이 skill은 알려진 위험 패턴을 체계적으로 탐색하여 사람이 놓칠 수 있는 취약점을 잡아낸다.
+
+이 skill은 방어적 보안 목적으로만 사용한다 — 자체 프로젝트의 보안 강화를 위한 코드 검토 도구이다.
+
+---
+
+## 탐색 절차
+
+Explore agent를 사용하여 아래 5개 카테고리를 순서대로 탐색한다.
+
+### 1. 위험한 함수/패턴 탐색
+
+코드에서 직접 사용하면 보안 위험이 있는 함수와 패턴을 찾는다.
+
+```
+Grep: eval\(|new Function\(
+Grep: exec\(|execSync\(|spawn\(
+Grep: dangerouslySetInnerHTML
+Grep: \.innerHTML\s*=
+Grep: \$\{.*\}.*(?:SELECT|INSERT|UPDATE|DELETE|DROP)
+Grep: query\(.*\+|query\(.*\$\{
+```
+
+| 패턴 | 위험 | OWASP 분류 |
+|------|------|-----------|
+| `eval()`, `new Function()` | 임의 코드 실행 | A03 Injection |
+| `exec()`, `execSync()` | 명령어 인젝션 | A03 Injection |
+| `dangerouslySetInnerHTML` | XSS 공격 | A03 Injection |
+| `.innerHTML =` | XSS 공격 | A03 Injection |
+| SQL 문자열 조합 | SQL Injection | A03 Injection |
+
+모든 발견이 취약점은 아니다. `eval()`이 빌드 스크립트에 있는 것과 사용자 입력을 처리하는 코드에 있는 것은 위험도가 다르다. 발견 위치와 입력 소스를 함께 확인한다.
+
+### 2. 하드코딩된 시크릿 탐색
+
+코드에 직접 작성된 비밀 값을 찾는다. `.env` 파일이 아니라 소스 코드 내 문자열 리터럴을 대상으로 한다.
+
+```
+Grep: (password|passwd|pwd)\s*[:=]\s*['"][^'"]+['"]
+Grep: (secret|SECRET)\s*[:=]\s*['"][^'"]+['"]
+Grep: (api[_-]?key|apiKey|API_KEY)\s*[:=]\s*['"][^'"]+['"]
+Grep: (token|TOKEN)\s*[:=]\s*['"][^'"]+['"]
+Grep: (sk-|pk-|AIza|ghp_|gho_|github_pat_)
+Grep: [A-Za-z0-9+/]{40,}={0,2}
+```
+
+| 패턴 | 위험 | OWASP 분류 |
+|------|------|-----------|
+| `password = "..."` | 자격 증명 노출 | A07 Identification Failures |
+| `sk-`, `AIza` 등 | API 키 노출 | A07 Identification Failures |
+| 긴 Base64 문자열 | 인코딩된 시크릿 | A07 Identification Failures |
+
+제외할 것:
+- `.env.example`의 플레이스홀더 값 (`password = "your-password-here"`)
+- 테스트 파일의 명백한 더미 값 (`password = "test123"` — 단, 실제 서비스 키와 유사하면 보고)
+- 타입 정의 파일의 인터페이스 필드명
+
+### 3. 인증 미들웨어 누락 탐색
+
+데이터를 변경하는 엔드포인트(POST/PUT/PATCH/DELETE)에 인증 미들웨어가 적용되어 있는지 확인한다.
+
+```
+Glob: src/routes/**/*.{ts,js}
+Grep: router\.(post|put|patch|delete)\(
+Grep: @(Post|Put|Patch|Delete)\(
+```
+
+각 변경 엔드포인트에 대해:
+- `authenticate`, `auth`, `protect`, `guard` 등의 미들웨어가 적용되어 있는지 확인
+- 적용되지 않은 엔드포인트는 의도적인 public API인지 확인 (로그인, 회원가입 등)
+
+### 4. 민감 데이터 응답 포함 탐색
+
+API 응답에 노출되면 안 되는 데이터가 포함되는지 확인한다.
+
+```
+Grep: res\.json\(.*user|res\.send\(.*user
+Grep: password|passwordHash|hashedPassword
+Grep: findMany|findAll|find\(\)
+```
+
+확인할 패턴:
+- DB 레코드를 필터링 없이 그대로 반환 (`res.json(user)` — password 필드 포함 가능)
+- `select`나 `omit` 없이 전체 레코드 조회
+- 응답에 `password`, `token`, `secret` 필드 포함
+
+### 5. 추가 보안 점검
+
+```
+Grep: cors\(\)|cors\(\{\s*origin:\s*['"]\*['"]\s*\}\)
+Grep: http://|HTTP://
+Grep: \.env
+Glob: .gitignore
+```
+
+| 패턴 | 위험 |
+|------|------|
+| `cors()` (와일드카드) | 모든 도메인에서 API 접근 허용 |
+| HTTP URL (HTTPS 아님) | 전송 중 데이터 노출 |
+| `.env`가 `.gitignore`에 없음 | 시크릿이 git에 커밋될 수 있음 |
+| `process.env.XXX` 직접 참조 | config 모듈 미사용 시 검증 누락 |
+
+---
+
+## 출력 형식
+
+탐색 결과를 아래 형식으로 정리하여 반환한다:
+
+```markdown
+# 취약점 탐색 결과
+
+## 요약
+
+| 심각도 | 발견 건수 |
+|--------|---------|
+| Critical | N |
+| High | N |
+| Medium | N |
+| Low | N |
+| 총계 | N |
+
+## 즉시 검토 필요 (Critical / High)
+
+| # | 심각도 | 카테고리 | 파일 | 라인 | 패턴 | 설명 |
+|---|--------|---------|------|------|------|------|
+| 1 | Critical | 하드코딩 시크릿 | src/config/db.ts | 15 | `password = "real_pass"` | DB 비밀번호 하드코딩 |
+| 2 | High | 인증 누락 | src/routes/admin.ts | 42 | `router.delete("/users/:id")` | 인증 미들웨어 없음 |
+
+## 주의 필요 (Medium / Low)
+
+| # | 심각도 | 카테고리 | 파일 | 라인 | 패턴 | 설명 |
+|---|--------|---------|------|------|------|------|
+| 3 | Medium | XSS 위험 | src/components/Comment.tsx | 28 | `dangerouslySetInnerHTML` | 사용자 입력 포함 여부 확인 필요 |
+| 4 | Low | CORS 설정 | src/app.ts | 12 | `cors()` | 와일드카드 CORS — 개발 환경이면 OK |
+
+## 카테고리별 상세
+
+### 위험한 함수/패턴
+- (발견 목록 또는 "발견 없음")
+
+### 하드코딩된 시크릿
+- (발견 목록 또는 "발견 없음")
+
+### 인증 미들웨어 누락
+- (발견 목록 또는 "발견 없음")
+
+### 민감 데이터 응답 포함
+- (발견 목록 또는 "발견 없음")
+
+### 추가 보안 점검
+- (발견 목록 또는 "발견 없음")
+
+## 권장 조치
+
+1. [Critical/High 항목에 대한 구체적 수정 방법]
+2. [예: "src/config/db.ts:15 — 비밀번호를 환경변수로 이동"]
+3. [예: "src/routes/admin.ts:42 — authenticate 미들웨어 추가"]
+```
+
+### 심각도 기준
+
+| 심각도 | 기준 |
+|--------|------|
+| Critical | 즉시 악용 가능 — 하드코딩된 실제 시크릿, SQL Injection |
+| High | 악용 가능성 높음 — 인증 누락, 민감 데이터 노출 |
+| Medium | 조건부 위험 — XSS 가능성, 느슨한 CORS |
+| Low | 모범 사례 미준수 — HTTP URL, config 미사용 |
+
+---
+
+## 발견 없음인 경우
+
+취약점이 하나도 발견되지 않으면:
+
+```markdown
+# 취약점 탐색 결과
+
+## 요약
+
+탐색된 위험 패턴: 0건
+
+5개 카테고리 전체에서 알려진 취약점 패턴이 발견되지 않았습니다.
+
+## 참고사항
+
+- 이 탐색은 패턴 기반 정적 분석이며, 모든 취약점을 발견하지는 못합니다
+- 비즈니스 로직 취약점, 인가 우회, 타이밍 공격 등은 수동 검토가 필요합니다
+- 의존성 취약점은 `npm audit` 또는 `yarn audit`으로 별도 확인하세요
+```