Expand description
검사 규칙. R1(가변 참조) + 피해 반경 R6(시크릿 노출)·R7(권한 과잉)·R8(위험 트리거).
Structs§
- Finding
- 규칙 위반 한 건. 모든 발견에는 근거와 해결 힌트가 붙는다 (ADR-0002 원칙 ③).
- Suppressed
- 무시 주석으로 수용된 발견 — 결과에서 지우지 않고 사유와 함께 남긴다 (침묵 ≠ 은폐).
Enums§
- Severity
- 심각도 등급 (CONTEXT.md). 🔴는 사실 규칙만 낼 수 있다 (ADR-0002).
Functions§
- check_
lock - LOCK — shield.lock 박제본 대비 태그 이동 탐지 (ADR-0003).
- check_
r1 - R1 — 액션의 가변 참조(태그/브랜치/참조 없음) 탐지.
- check_
r2 - R2 — 타이포스쿼팅 의심 (기본 🔵,
--online교차 검증으로만 격상). - check_
r3 - R3 — 무결성 검증 없는 파이프 설치(
curl ... | sh) 탐지. - check_
r4 - R4 — 다이제스트 없는 컨테이너 이미지 참조 (🟡).
- check_
r5 - R5 — 임포스터 커밋 검증 (
--online, 🔴). - check_
r6 - R6 — 시크릿을 사용하는 잡에서 서드파티 액션 실행 (🟡).
- check_
r7 - R7 —
permissions미선언 또는 광범위 권한 (🟡). - check_
r8 - R8 — 위험 트리거(
pull_request_target/workflow_run) + 외부 PR 코드 체크아웃 (🔴). - check_
r9 - R9 — 알려진 감염 버전 대조 (동봉 권고 DB, 오프라인, 🔴).
- check_
r10 - R10 — 쿨다운: 발행된 지 기준 일수가 안 된 참조 경고 (
--online, 🟡).