cw2007/POSA_LEAKSMS
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
POSA_LEAKSMS/firmware/scripts/vendor.sh
유창욱 90f121e14c chore: import codebase with security hardening 
SHT30 온습도 모니터링 시스템 전체 소스(서버 PHP, STM32 펌웨어, SQL, 테스트).
전체 코드리뷰에서 도출된 보안 하드닝 10건 반영:
- 요청 서명 HMAC-SHA256 전환(펌웨어 sig.c/서버 config.php/호스트 패리티 동시)
- 재전송 방어 + 기본 API_KEY fail-closed + 디바이스 문자열 정제(api/sensor_data.php)
- 오프라인 SMS 중복 발송 경합 제거(cron_heartbeat.php, 원자적 선점)
- CSV 수식 주입 방지(monthly_report.php), 감사로그 회전 락(retention_cleanup.php)
- 브루트포스 카운터 원자화(login.php), 예시 TOTP 비밀키 무효화, 마이그레이션 멱등화

_backup/(하드코딩 실 비밀값 포함)·config.local.php·런타임 상태는 .gitignore 제외.
2026-06-20 09:37:40 +09:00

146 lines
6.4 KiB
Bash
Raw Blame History

#!/usr/bin/env bash
# =============================================================================
# vendor.sh - 제3자 의존성 벤더링 (NETWORKED 빌드 머신 전용)
#
# 폐쇄망(air-gapped) 타깃으로 전달하기 위해, 빌드/스테이징 머신에서 핀 고정된
# 제3자 의존성을 내려받아 SHA-256 으로 무결성을 검증한 뒤 firmware/third_party
# 아래에 펼친다. **네트워크가 허용되는 유일한 단계**다. 이후 build.ps1/CMake 는
# 네트워크 없이 빌드한다.
#
# 사용:
# firmware/scripts/vendor.sh # 표준 벤더링
# FORCE=1 firmware/scripts/vendor.sh # 기존 트리 덮어쓰기(재벤더링)
# KEEP_ARCHIVES=1 firmware/scripts/vendor.sh # 압축본 보존(_archives)
#
# 요구 도구: curl(또는 wget), sha256sum(또는 shasum), unzip, tar.
#
# 중요: 아래 DEPS 의 URL/SHA256/TAG 는 운영에서 쓸 정확한 핀 버전으로 교체할 것.
# SHA256 이 'TODO' 인 항목은 검증을 생략하고 계산된 해시를 출력만 한다
# (최초 1회 기록용). 기록 후 반드시 채워 넣어 재현성을 고정한다.
# TODO(vendor): 핀 버전 확정.
# =============================================================================
set -euo pipefail
SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
FW_ROOT="$(cd "${SCRIPT_DIR}/.." && pwd)"
THIRD_PARTY="${FW_ROOT}/third_party"
ARCHIVE_DIR="${THIRD_PARTY}/_archives"
FORCE="${FORCE:-0}"
KEEP_ARCHIVES="${KEEP_ARCHIVES:-0}"
mkdir -p "${THIRD_PARTY}"
[ "${KEEP_ARCHIVES}" = "1" ] && mkdir -p "${ARCHIVE_DIR}"
# ── 핀 고정 의존성 (name|tag|url|sha256) ─────────────────────────────────────
# name : third_party 하위 디렉터리명 (CMakeLists 경로와 일치)
# tag : 릴리스/태그(추적용)
# url : 다운로드 URL
# sha256 : 압축 파일 SHA-256(소문자). 'TODO' 면 검증 생략(해시 출력만).
# TODO(vendor): 아래 값들을 정확한 핀 버전으로 교체.
DEPS=(
"STM32CubeF4|v1.28.0|https://github.com/STMicroelectronics/STM32CubeF4/archive/refs/tags/v1.28.0.zip|TODO"
"FreeRTOS-Kernel|V11.1.0|https://github.com/FreeRTOS/FreeRTOS-Kernel/archive/refs/tags/V11.1.0.zip|TODO"
"lwip|STABLE-2_2_0_RELEASE|https://github.com/lwip-tcpip/lwip/archive/refs/tags/STABLE-2_2_0_RELEASE.zip|TODO"
"mbedtls|v3.6.2|https://github.com/Mbed-TLS/mbedtls/releases/download/mbedtls-3.6.2/mbedtls-3.6.2.tar.bz2|TODO"
)
# ── 헬퍼: 다운로드 ───────────────────────────────────────────────────────────
download() { # url out
local url="$1" out="$2"
if command -v curl >/dev/null 2>&1; then
curl -fL --proto '=https' --tlsv1.2 -o "${out}" "${url}"
elif command -v wget >/dev/null 2>&1; then
wget --https-only -O "${out}" "${url}"
else
echo "ERROR: curl 또는 wget 이 필요합니다." >&2; exit 1
fi
}
# ── 헬퍼: SHA-256 ────────────────────────────────────────────────────────────
sha256_of() { # path -> stdout(소문자 hex)
local p="$1"
if command -v sha256sum >/dev/null 2>&1; then
sha256sum "${p}" | awk '{print tolower($1)}'
elif command -v shasum >/dev/null 2>&1; then
shasum -a 256 "${p}" | awk '{print tolower($1)}'
else
echo "ERROR: sha256sum 또는 shasum 이 필요합니다." >&2; exit 1
fi
}
# ── 헬퍼: 압축 해제(zip / tar.*) ─────────────────────────────────────────────
extract() { # archive dest
local archive="$1" dest="$2"
mkdir -p "${dest}"
case "${archive}" in
*.zip)
command -v unzip >/dev/null 2>&1 || { echo "ERROR: unzip 필요" >&2; exit 1; }
unzip -q "${archive}" -d "${dest}" ;;
*.tar.bz2|*.tbz2|*.tar.gz|*.tgz|*.tar.xz)
tar -xf "${archive}" -C "${dest}" ;;
*)
echo "ERROR: 지원하지 않는 압축 형식: ${archive}" >&2; exit 1 ;;
esac
}
for entry in "${DEPS[@]}"; do
IFS='|' read -r name tag url sha256 <<< "${entry}"
target="${THIRD_PARTY}/${name}"
echo "──────────────────────────────────────────────"
echo " 벤더링: ${name} (${tag})"
if [ -d "${target}" ] && [ "${FORCE}" != "1" ]; then
echo " 이미 존재 — 건너뜀(재벤더링은 FORCE=1). ${target}"
continue
fi
rm -rf "${target}"
tmp="$(mktemp -d)"
trap 'rm -rf "${tmp}"' EXIT
fname="$(basename "${url%%\?*}")"
archive="${tmp}/${fname}"
echo " 다운로드: ${url}"
download "${url}" "${archive}"
# ── 무결성 검증 ────────────────────────────────────────────────────────────
actual="$(sha256_of "${archive}")"
if [ "${sha256}" = "TODO" ] || [ -z "${sha256}" ]; then
echo " [경고] SHA-256 미설정 — 검증 생략. 계산값을 기록하세요:"
echo " ${name} : ${actual}"
elif [ "${actual}" != "$(echo "${sha256}" | tr 'A-Z' 'a-z')" ]; then
echo " ERROR: SHA-256 불일치(${name})" >&2
echo " 기대: ${sha256}" >&2
echo " 실제: ${actual}" >&2
exit 1
else
echo " SHA-256 확인됨: ${actual}"
fi
# ── 해제 + 최상위 단일 폴더 벗기기 ────────────────────────────────────────
ex="${tmp}/x"
extract "${archive}" "${ex}"
# 최상위가 단일 디렉터리면 그 내용을 target 으로, 아니면 ex 자체를 target 으로.
shopt -s nullglob
tops=("${ex}"/*)
shopt -u nullglob
if [ "${#tops[@]}" -eq 1 ] && [ -d "${tops[0]}" ]; then
mv "${tops[0]}" "${target}"
else
mv "${ex}" "${target}"
fi
if [ "${KEEP_ARCHIVES}" = "1" ]; then
cp -f "${archive}" "${ARCHIVE_DIR}/${fname}"
fi
rm -rf "${tmp}"
trap - EXIT
echo " 완료 → ${target}"
done
echo "──────────────────────────────────────────────"
echo " 벤더링 완료. 이제 폐쇄망 빌드 가능."
echo " TODO(vendor): 위 출력된 SHA-256 값을 DEPS 에 채워 재현성을 고정하세요."
Reference in a new issue View git blame Copy permalink