Skip to content

docs + CodeQL fix: v0.7.3 회고 보고서 + build.mjs alert #16 fix#203

Merged
edwardkim merged 2 commits into
mainfrom
devel
Apr 19, 2026
Merged

docs + CodeQL fix: v0.7.3 회고 보고서 + build.mjs alert #16 fix#203
edwardkim merged 2 commits into
mainfrom
devel

Conversation

@edwardkim

@edwardkim edwardkim commented Apr 19, 2026

Copy link
Copy Markdown
Owner

Summary

  • 회고 보고서 신규: 본 v0.7.3 사이클이 rhwp 첫 다수 외부 기여자 통합 릴리즈 마일스톤이라는 의미를 정리
  • CodeQL alert 글자모양 밑줄 종류 13종 렌더링 구현 #16 fix: `rhwp-chrome/build.mjs` 의 `execSync` (shell command 문자열 조립) → `execFileSync` (인자 배열) 전환

Files

  • `mydocs/report/v0.7.3_first_multi_contributor_release.md` (신규, 187줄)
  • `rhwp-chrome/build.mjs` (run() 함수 + 호출부)

CodeQL alert 해소

  • 규칙: js/shell-command-injection-from-environment (CWE-78, CWE-88)
  • 위치: rhwp-chrome/build.mjs:18 (구)
  • 수정: shell 우회 — 인자가 shell 에 의해 해석되지 않아 경로 공백/특수문자 안전
  • 빌드 결과 동일 확인

Test plan

  • rhwp-chrome dist 재빌드 정상
  • 빌드 산출물 동일

🤖 Generated with Claude Code

edwardkim and others added 2 commits April 19, 2026 22:07
@edwardkim @claude
docs(report): v0.7.3 첫 다수 컨트리뷰터 통합 릴리즈 회고 + build.mjs CodeQL fix
eef2e6a 
회고 보고서:
- mydocs/report/v0.7.3_first_multi_contributor_release.md (신규, 187줄)
- 본 사이클이 rhwp 첫 다수 외부 기여자 통합 릴리즈 마일스톤
- 외부 기여자 6명 명시 + 메인테이너 판단 가치 + 한 대 맞은 교훈
- 다음 사이클 예측 (3회 누적 후 안정화)

CodeQL fix (alert #16):
- rhwp-chrome/build.mjs: execSync(shell command 문자열) → execFileSync(file, args[])
- js/shell-command-injection-from-environment 경고 해소
- 경로의 공백/특수문자 안전 (절대 경로 안 깨짐)
- 빌드 결과 동일 확인

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
@edwardkim
Merge local/devel: v0.7.3 회고 보고서 + build.mjs CodeQL fix
5115659
@edwardkim edwardkim merged commit b3ca258 into main Apr 19, 2026
10 checks passed
This was referenced Apr 20, 2026
Closed
Closed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@edwardkim