🔐 하드코드된 중요정보

CWE-798: Use of Hard-coded Credentials

  • ⬜ 진단 시작
  • ⬜ 하드코딩 제거
  • ⬜ 외부 설정 사용
✏️ Java 코드 에디터 취약한 코드 
public class DBConnect {
    public void connect() {
        String user = "admin";
        // [취약점] 비밀번호가 소스코드에 평문으로 하드코딩됨
        String password = "superSecretPassword123!";
        
        System.out.println("Connecting with: " + password);
    }
}
💡 가이드

비밀번호를 소스코드에 직접 작성하지 말고, System.getenv("DB_PASSWORD") 등을 사용하여 환경변수나 설정 파일에서 가져오도록 수정하세요.

  • ⬜ 진단 시작
  • ⬜ 하드코딩 제거
  • ⬜ os.environ 사용
🐍 Python 코드 에디터 취약한 코드 
import os

def get_api_key():
    # [취약점] API 키가 소스코드에 노출됨
    api_key = "AIzaSyD-1234567890-abcdef"
    return api_key
💡 가이드

API 키를 직접 할당하지 말고, os.environ.get("API_KEY") 또는 os.getenv("API_KEY")를 사용하여 환경 변수에서 로드하세요.