강세린 · 2025-03-02

diff 리뷰에서 질문 목록을 만드는 법

diff 리뷰에서 질문 목록을 만드는 법 삽화

리뷰 · 보안 · 협업

보안 리뷰 기초 과정의 첫 과제는 "코드를 고치지 말고 질문만 남기기"입니다. 참가자는 diff에서 다음을 찾습니다: 권한이 바뀌는 지점, 외부 호출 순서, 사용자 입력이 storage에 닿는 경로.

질문은 왜(why)보다 어떻게 재현(how to reproduce)에서 시작합니다. "이 함수가 실패하면 상위 호출자는?"처럼 구체적으로 적습니다. 추측은 추측으로 라벨을 붙입니다.

멘토는 질문을 분류합니다: 즉시 답 가능, 자료 읽기 필요, 이번 과제 범위 밖. 세 번째 봉투가 너무 커지면 커리큘럼을 조정합니다. 교육의 목표는 모든 취약점을 닫는 것이 아니라, 질문을 생산하는 체계를 만드는 것입니다.

팀 과제에서는 질문 목록을 슬랙 스레드에 붙여 토론합니다. 합의된 항목만 이슈로 옮깁니다. 이렇게 하면 이슈 트래커가 깔끔해집니다.

← 목록