leerness.

← 패치노트

보안 ★ 2026-06-04

v1.9.299

UR-0039: npm test 시크릿 노출 차단 (외부 AI 리뷰 #2, Opus S-1)

신뢰 못 할 워크스페이스의 `npm test` 가 호스트 `process.env`(시크릿 전체)를 상속받던 실질 취약점 차단. Opus 4.8 리뷰가 코드 라인 근거로 지적한 high 보안 이슈.

핵심 변경

**selftest 47/47 PASS** · **E2E 244/244 PASS** (회귀 0).
실측: 토큰이 보이면 exit 1 인 test 스크립트가 verify-code(scrubSecrets) 에선 **통과**(스크럽됨), 직접 npm test(대조군)에선 **exit 1**(노출 확인 — 테스트 자체 유효성 검증).
_scrubEnv 는 NPM_TOKEN 유지(release publish 정상), _scrubTestEnv 는 NPM_TOKEN/LEERNESS_NPM_TOKEN 제거 + PATH 유지.

GitHub 릴리스 v1.9.299 →