비교 - 코드 리뷰 vs 보안 리뷰¶
비교 대상¶
- 코드 리뷰: 품질, 유지보수성, 일반적인 보안 냄새까지 함께 보는 넓은 품질 검토 경로
- 보안 리뷰: CWE Top 25, STRIDE, 시크릿, SSRF, injection 같은 위협을 중심으로 따로 수행하는 심화 검토 경로
핵심 차이¶
| 항목 | 코드 리뷰 | 보안 리뷰 |
|---|---|---|
| 목표 | 변경 전체의 품질과 위험을 폭넓게 확인 | 취약점과 위협 모델을 집중적으로 점검 |
| 강점 | 일상 작업 흐름에 붙이기 쉽고 범용성이 높음 | 위협 누락을 줄이고 보안 관점을 명시적으로 강제함 |
| 약점 | 보안이 품질 검토에 묻혀 얕아질 수 있음 | 작은 변경마다 돌리면 과한 절차가 될 수 있음 |
| 적합한 역할 | 대부분의 기능 변경, 리팩터링, 품질 점검 | 민감 기능, 인증, 외부 입력, 컴플라이언스 검토 |
| 실패 시 위험 | 보안 항목이 일반 품질 항목 뒤로 밀릴 수 있음 | 워크플로가 무거워져 팀이 우회 경로를 습관화할 수 있음 |
이 저장소 맥락에서의 결론¶
claude-forge는 코드 리뷰만으로 보안 검토를 대체하려 하지 않습니다. /code-review가 기본 품질 관문이라면, /security-review는 별도 위협 모델과 취약점 관점을 강제하는 심화 경로입니다. 즉, 보안 리뷰는 코드 리뷰의 하위 옵션이 아니라, 필요 시 독립적으로 승격되는 두 번째 검토 계층으로 읽는 편이 맞습니다.
언제 균형이 깨지는가¶
- 모든 변경을 보안 리뷰까지 묶어 워크플로가 과도하게 무거워질 때
- 반대로 보안 리뷰를 거의 호출하지 않아 코드 리뷰 하나에 모든 위험 판단을 몰아줄 때
- 민감 변경과 일반 변경의 구분 기준이 팀 안에서 사라질 때