보안 ★ 2026-06-16
v1.30.1
🔒 보안 정직성: audit/handoff 보안요약이 커밋된 시크릿 노출 (14th 외부리뷰 F1+F2)
도구가 보안 상태를 정직하게 보고하도록 수정.
핵심 변경
**🔒 F1 — audit 커밋 시크릿 failure 승격**: audit/check 가 _collectSecretFindings 콘텐츠 스캔을 돌려 **committed 시크릿을 failure 로 승격**(healthy:false / exit 1) — scan secrets 와 일관. 기존엔 .gitignore 패턴/.env 동기화만 검사해, un-gitignored .env + 실 AWS/GitHub 키에 healthy:true/exit 0 을 반환(audit 기반 CI 게이트가 노출 시크릿을 통과)하던 갭. **gitignored 보관 시크릿은 committed 에서 제외 → FP 0**. 끄기: --no-secret-scan. (lib/audit.js, DI _collectSecretFindings 주입.)
**🔒 F2 — handoff 보안요약이 committed 시크릿 노출**: ## 🔒 보안 요약 섹션이 headline 의 🚨 시크릿 N건 과 일관되게 **커밋된 시크릿을 노출**. 기존엔 .env/.gitignore 만 검사 + envExists 단독 게이팅이라 .env 없으면 섹션 통째 생략(헤드라인은 시크릿 N건인데 상세 섹션 부재). 이제 committed 시크릿이 있으면 .env 없어도 섹션 표시 + 파일 위치(file:line) 노출(값 snippet 은 미출력 — handoff 로그로의 시크릿 유출 방지). ko/en 양쪽.
**selftest 254/254** (audit 위임/FP-FN 가드 유지).