K-WarningCheck의 기본 원칙은 두 가지입니다.

• 실제 비밀값은 저장소에 남기지 않는다.
• 로컬 bridge와 로컬 host는 최소 범위에서만 사용한다.

Gemini와 Groq 키는 저장 시 아래 두 곳에 함께 기록합니다.

• macOS: Keychain
• Windows: Credential Locker 계열
• 런타임용 로컬 암호화 캐시: secure-store-cache.json

실제 동작:

• 저장할 때만 OS 보안 저장소를 만집니다.
• 실행, 분석, 상태 조회 때는 로컬 암호화 캐시만 읽습니다.
• 캐시가 없으면 키체인을 다시 열지 않고 설정에서 다시 저장 오류만 반환합니다.

즉, 정상 저장이 끝난 뒤에는 분석할 때마다 암호 창이 반복해서 뜨지 않는 구조입니다.

Chrome 확장은 로컬 네이티브 호스트를 통해 다음 기능을 사용합니다.

• secure store 연동
• 비윈도우 환경의 Codex 관련 로컬 흐름

보안 저장 정책은 데스크톱과 동일합니다.

• 저장 시 OS 보안 저장소 + 로컬 암호화 캐시 갱신
• 런타임에는 캐시만 읽음

사용자 안내 문구는 Codex 전용 호스트가 아니라 일반 로컬 호스트 기준으로 설명합니다.

Codex bridge는 로컬 토큰과 로컬 워크스페이스를 사용합니다.

보안 원칙:

• 루프백 주소만 사용
• 로컬 토큰 사용
• 지원 플랫폼에서만 노출

Windows에서는 Codex UI가 숨겨지고 bridge token도 주입하지 않습니다.

Git에 올리면 안 되는 항목:

• .env*
• 개인 경로
• 인증서, 개인 키, 비밀 토큰
• 원본 빌드 산출물
• 개발 메타 디렉터리

현재 ignore 대상 예시:

• 개발 메타 디렉터리
• .DS_Store
• dist/
• mac-app/
• windows-app/

배포용으로 선별해 루트 build/에 두는 파일은 예외적으로 관리할 수 있지만, 그 안에도 개인 경로나 비밀값이 섞이면 안 됩니다.

rg -n "개인 절대경로 또는 실제 비밀값 패턴을 다시 확인할 검색식" .
git status --short

문서와 설정 파일에서 개인 절대경로가 보이면 generic 예시로 바꿉니다.

• Windows에서 지원하지 않는 기능은 문서에서 명확히 감춥니다.
• 지원은 유지하지만 노출만 제한한 기능은 “저장 포맷은 남고 런타임은 비활성화”로 설명합니다.
• 키 보안 정책은 저장 시 secure store, 실행 시 암호화 캐시 구조로 설명합니다.