보안 모델

이 프록시는 신뢰할 수 있는 단일 사용자 개발자 워크스테이션을 위해 설계되었습니다. 아래의 경계는 핵심 전제 조건입니다 — 다른 환경에 배포하기 전에 반드시 읽어보세요.

고정 불변 항목

이 항목들은 설정이나 환경 변수로 변경할 수 없습니다:

• 루프백 바인딩 전용. 127.0.0.1:3817, 하드코딩됨. 호스트는 의도적으로 설정 불가능합니다.
• 인바운드 요청에 100 MiB 본문 크기 제한. 로컬 클라이언트의 과부하를 방어합니다.
• 경로 전달은 1:1. 경로 재작성 없음, 허용 목록 없음 (의도된 설계 — 투명 프록시).
• 클라이언트가 제공한 X-Git-Remote는 제거됩니다. 검사 미들웨어가 실행되기 전에 제거됩니다. 로컬 프로세스는 attribution을 위조할 수 없습니다.
• Authorization 및 x-api-key는 그대로 전달됩니다. 프록시는 호출자를 인증하지 않으며, Bifrost가 유효성을 검사합니다.
• Authorization 값은 절대 기록되지 않습니다. has_auth=true/false 불리언만 기록됩니다.
• 원시 쿼리 문자열은 기록되지 않습니다. has_query=true/false만 기록됩니다.

신뢰 경계

┌──── 신뢰됨 ──────┐    ┌────── 신뢰되지 않음 ──────┐
│  사용자          │    │  네트워크               │
│  사용자의 IDE    │    │  모든 LAN 호스트         │
│  로컬 프로세스   │    │  다중 사용자 머신의      │
└──────────────────┘    │  다른 모든 사용자        │
                        └───────────────────────────┘

프록시는 동일 머신의 로컬 프로세스를 신뢰합니다: 로컬 프로세스가 제공하는 Authorization / x-api-key 헤더를 그대로 전달합니다.

프록시가 방어하지 않는 것

다중 사용자 호스트

공유 호스트 (CI 러너, 점프 호스트, 개발 서버)에서는 루프백 접근 권한을 가진 모든 로컬 사용자가 실행 중인 데몬을 사용할 수 있습니다. 다른 사용자가 자신의 키로 요청을 보내도 프록시는 전달합니다. Attribution 메타데이터는 데몬 소유자가 아닌 호출 PID에서 수집됩니다.

공유 호스트에서 실행해야 한다면, 배포 전에 연결 가능한 사용자를 제한하세요 (방화벽, peer-uid 확인). 프록시 자체는 이를 수행하지 않습니다.

• 프록시 인증. 없음. 루프백에 도달하는 모든 것이 전달됩니다.
• 시크릿 저장. 없음. 프록시는 시크릿을 보유하지 않으며, API 키를 읽지 않습니다. 클라이언트가 요청마다 헤더에 제공합니다.
• 속도 제한. 없음. 프록시는 투명합니다 — Bifrost가 쿼터를 처리합니다.
• 재전송 방지 / 서명. 없음. 위와 동일합니다.
• 감사 수집. 없음. 로그는 로컬입니다. 중앙화된 텔레메트리는 범위 밖입니다.

코드의 심층 방어 조치

레이어	동작
pprof 가드	pprof.enable: true인 경우, 시작 시 바인딩 주소가 루프백(127.0.0.1, localhost, ::1)인지 검증됩니다. LAN 바인딩은 거부됩니다.
http.MaxBytesHandler	모든 인바운드에 100 MiB 본문 크기 제한 적용.
requestLogger 스크럽	Authorization, x-api-key, Cookie, Set-Cookie가 난독화됩니다 (존재 여부만 기록).
안전한 서브프로세스	git remote -v, lsof, ps 모두 exec.CommandContext와 Cmd.Dir 사용 (git -C cwd 아님) — 셸 없음, 인터폴레이션 없음.
타임아웃 가드	git remote -v 및 프로세스 검사에 2초; ReadHeaderTimeout 30초.
평문 업스트림 경고	upstream_url이 http://로 시작하면 잘못된 설정이 조용히 넘어가지 않도록 프록시가 시작 경고를 기록합니다.

플랫폼별 검사 주의 사항

• Linux /proc/<otherUser>/fd/*는 EACCES를 반환합니다 — 다른 사용자의 검사는 의도적으로 지원되지 않습니다. 프록시는 X-Git-Remote 헤더 없이 요청을 전달합니다.
• macOS는 lsof를 사용합니다. lsof가 없거나 제한된 경우, attribution은 헤더 없음으로 폴백합니다.
• Windows PEB 탐색은 SeDebugPrivilege가 필요합니다 (머신 전체 서비스의 LocalSystem은 기본적으로 이를 보유). 32비트 대상 프로세스는 지원되지 않으며 ErrUnsupportedBitness를 반환합니다.

향후 계획

• 다중 사용자 Linux/macOS 호스트에서 교차 사용자 연결을 거부하는 선택적 SO_PEERCRED / LOCAL_PEERCRED peer-UID 확인.
• 설정 가능한 본문 크기 제한 (현재 컴파일 타임 상수).