npm, 자바스크립트 생태계에서 가장 많이 사용되는 패키지 관리자가 공급망 공격을 막기 위해 새로운 보안 조치를 시행했습니다. 이제 패키지 게시 시 2단계 인증을 요구하며, 출처나 평판에 따라 설치를 제한할 수 있습니다. 이 조치는 소프트웨어 개발에서 증가하는 문제인 인기 구성 요소에 악성 코드를 주입하려는 공격자를 차단하기 위한 것입니다.
npm의 새로운 보안 필터 작동 방식 🔒
패키지를 게시하는 사람에게 2단계 인증(2FA)이 의무화되어 계정 탈취 위험이 줄어듭니다. 또한 npm은 서명과 행동 분석을 사용하여 설치를 검증되거나 평판이 좋은 패키지로 제한하는 옵션을 도입했습니다. 이를 통해 개발자는 의심스러운 종속성이 프로덕션에 도달하기 전에 차단할 수 있습니다. 이 업데이트에는 비정상적인 활동이나 유지 관리자 변경이 있는 패키지에 대한 조기 경고도 포함됩니다.
사탕처럼 패키지를 설치하던 시대는 끝 🍬
드디어 npm이 진지해졌습니다. 많은 개발자가 이미 GitHub의 모든 패키지를 신뢰할 수 있다고 생각하던 때에 말이죠. 이제 별점 5개지만 2018년부터 업데이트되지 않은 라이브러리를 설치하려면 두 번 생각해야 합니다. 물론 공격자들은 이미 가짜 계정에 2FA를 포함하도록 이력서를 업데이트하고 있습니다. 아이러니하게도 이제 해커들조차 여러분의 Netflix 계정보다 더 나은 보안을 갖게 되었습니다.