비신뢰 입력
`issue_comment`, `pull_request_target`처럼 외부 사용자가 바꿀 수 있는 입력을 찾습니다.
브라우저 안에서만 분석 · 저장소 연결 없음
GitHub Actions YAML을 붙여넣으면 비신뢰 입력, 비밀, 권한, 외부 통신, AI 액션의 결합 지점을 한국어 리포트로 정리합니다.
정적 체커
민감한 값은 전송하지 않습니다. 이 페이지의 모든 규칙 평가는 현재 브라우저 탭 안에서 끝납니다.
입력
실제 비밀 값은 붙여넣지 마세요. `secrets.NAME` 참조만으로도 위험 경계를 판단합니다.
결과
아직 워크플로가 없습니다.
AI 코드 리뷰 액션이나 PR 자동화 워크플로를 붙여넣으면 위험 등급, 근거, 수정 예시가 여기에 표시됩니다.
트리거, 권한, 비밀, 외부 통신, AI 액션을 순서대로 확인하고 있습니다.
검사 기준
`issue_comment`, `pull_request_target`처럼 외부 사용자가 바꿀 수 있는 입력을 찾습니다.
`secrets`, OIDC, `contents: write`가 같은 실행 흐름에 있는지 확인합니다.
Claude Code, Codex, Gemini, AI 리뷰 봇 같은 에이전트 실행 흔적을 탐지합니다.
위험을 줄이는 워크플로 분리, 권한 축소, 트리거 변경 예시를 바로 제공합니다.
한국어 리포트
분석 후 전체 위험 등급과 실행 경계 근거가 생성됩니다.
AI 코드 리뷰와 CI/CD 권한 모델을 함께 점검해야 한다면 DevSecOps 진단 상담으로 이어갈 수 있습니다.
DevSecOps 상담하기