cfgaudit - Claude Code 설정 파일을 위한 보안 린터 (Claude Code로 구축)

cfgaudit는 에이전트에게 의도치 않은 과도한 권한을 부여하는 Claude Code 설정을 배포하기 전에 잡아내는 린터 (linter)입니다. permissions.allow 내의 Bash(*) 명령, 홈 디렉토리 전체를 가리키는 MCP 서버, 또는 프롬프트 인젝션 (prompt-injection) 페이로드가 숨겨진 CLAUDE.md 등을 생각해보세요.

이것은 정적 분석 (static analysis) 방식이며, 네트워크 연결이나 텔레메트리 (telemetry)를 사용하지 않습니다. .claude/settings.json, .mcp.json, CLAUDE.md 및 .vscode에 걸쳐 76개의 규칙이 적용되며, 각 규칙은 OWASP LLM Top 10에 매핑되어 있습니다. SARIF 또는 Code Climate JSON을 출력하며, 탐지 사항이 있을 경우 0이 아닌 종료 코드로 종료되므로 GitHub 또는 GitLab 파이프라인의 빌드 게이트 (build gate)로 바로 통합되어 코드 스캐닝 (code scanning)에 나타납니다. 이것이 팀들에게 정말 중요한 지점입니다. 에이전트 설정은 프로젝트마다 공유되고 변경되는데, CI (지속적 통합)가 저장소의 나머지 부분을 감사하는 것과 동일한 방식으로 각 설정을 감사할 수 있기 때문입니다. 또한 .cfgaudit.yml에 조직 정책을 고정하여 (특정 거부 사항을 요구하거나 특정 허용 사항을 금지함), 단일 프로젝트가 몰래 규칙을 완화할 수 없도록 할 수 있습니다. Claude Code 내부에서 로컬로 /cfgaudit:scan을 실행하고 싶을 경우를 위한 플러그인도 있습니다.

저는 이것을 Claude Code로 구축했으며, 주로 오탐 (false positives)을 줄이는 데 사용했습니다. 약 500개의 실제 설정에 대해 각 규칙을 실행하고, 정당한 설정에서 더 이상 경고가 발생하지 않을 때까지 다듬었습니다. 이것이 출력 결과가 노이즈가 적은 가장 큰 이유입니다.

무료 오픈 소스, Apache-2.0: https://github.com/cfgaudit/cfgaudit
오탐이나 잘못된 규칙을 발견하면 저에게 알려주세요.
submitted by /u/Predictor_2718
[link] [comments]