safety-repo-rules

SodaLive 저장소의 저장소 세부 규칙, 보안 유의사항, Git 안전 원칙을 정리한 문서다.

저장소 범위 보충

local.properties, 키스토어(*.jks, *.keystore, *.p12, *.pem, *.key)는 생성/수정 여부와 관계없이 커밋하지 않는다.
app/src/debug/google-services.json, app/src/release/google-services.json은 민감 구성으로 취급하고 외부 공유/로그 출력 금지한다.
app/build.gradle의 buildConfigField 값(토큰/앱키/시크릿 유사 값)은 신규 하드코딩을 추가하지 않는다.
BuildConfig 값(키/토큰/URL)을 로그, Toast, 크래시 메시지에 직접 노출하지 않는다.
네트워크 로깅은 AppDI.kt 패턴을 유지한다(디버그만 BODY, 릴리스는 NONE).
서명/배포 설정(Crashlytics, Google Services, Proguard, signing)은 요청 없이 변경하지 않는다.
AndroidManifest.xml 권한은 민감 영역이므로 신규 추가/확장은 사유와 영향도를 확인한 뒤 반영한다.
applicationId, namespace, OAuth Client ID, 딥링크 호스트는 요청 없이 변경하지 않는다.
문서/이슈/PR 본문에 비밀값을 남기지 말고 필요 시 마스킹(***) 처리한다.
Git 작업은 비파괴 명령을 기본으로 사용하고, 강제 푸시/히스토리 재작성은 명시 요청이 있을 때만 수행한다.