보안 ★ 2026-06-08
v1.9.431
health exit code 정책: 보안 CRITICAL CI 게이트 (10th 외부평가 UR-0130)
health 를 CI 게이트로 쓸 때 하드코딩 시크릿을 놓치던 문제 — exit code 정책 명확화.
핵심 변경
**health**: 보안 CRITICAL(커밋 대상 하드코딩 시크릿 / .env 가 .gitignore 미포함)이면 **--strict 없이도 exit 1**. scan secrets 와 exit code 일치 → health 만으로도 시크릿 유출을 CI에서 차단.
비-CRITICAL issue(drift·env.example 누락 등)는 종전대로 exit 0(게이트는 --strict). JSON 에 criticalSecurity 노출.
맹신 X 판단: 3개 명령(health/audit/drift) 전부 exit 1로 바꾸면 기존 non-strict 워크플로가 깨지므로, **방어 가능한 보안-크리티컬 케이스(health)만** 변경. audit/drift 는 메타/정보성이라 gate 가 하드 게이트 역할 유지.