의존성
이 태그가 달린 문서 5건
의존성 CVE를 제대로 고치기: 스캔, 수정, 격리, 그리고 계속 감시
취약점 작업은 '고쳤다'고 끝나는 게 아니다. 완료 = 1) 스캔, 2) 수정, 3) 격리/인계, 4) 모니터링. 모니터링(매일 변화 탐지)이 갖춰지기 전까지는 미완이다 — 의존성은 내일 다시 취약해진다. 다음 배포가 덮어쓰는 완벽한 수정은 가치가 0이다. 소규모 팀은 두 규율로 안전을 지킨다: 자동 변화 탐지와 '로컬→push→배포'.
osv-scanner 설치와 사용법: 의존성에서 CVE 찾아내기
osv-scanner는 락파일과 컨테이너를 스캔해 의존성의 CVE를 무료로 드러냅니다. 설치·실행·CI 연동을 짚고, npm/pnpm audit·Dependabot과 언제 쓸지도 비교합니다. 본 사이트의 견해: 올바른 도구는 당신의 환경이 결정합니다 — 다중 생태계나 GitHub 비사용 프로젝트엔 osv-scanner를, 단일 npm 트리엔 번들된 pnpm audit을.
Log4Shell(CVE-2021-44228) — 자신이 그 버그를 가졌는지조차 확인할 수 없어 전 세계가 두려워한 밤
Log4j의 CVSS 10.0 버그. 진짜 공포는 전이 의존성 — 자신도 모르게 쓰던 라이브러리를 통해 영향을 받는 것이었습니다. 수동적인 로깅 경로가 공격 벡터가 되었습니다. SBOM, 머신 모니터링, 빠른 패치, 그리고 후속 CVE 추적이 교훈입니다.
XZ Utils 백도어(CVE-2024-3094) — 신뢰 그 자체가 표적이 되었을 때
신뢰받던 메인테이너가 xz에 백도어를 심은 공급망 공격. 한 엔지니어의 '이거 느린데?'가 안정 배포 직전에 잡아냈습니다. 표적은 코드가 아니라 사람과 신뢰였습니다. 의존성을 최소화하고, 버전을 핀 고정하고, 재현 가능하게 빌드하고, 이상을 끝까지 쫓고, 메인테이너를 지원하십시오.
Next.js를 안전하게 운영하기: 공개된 CVE에 뒤처지지 않기
프레임워크 최대 위험은 방치된 공개 CVE다. 네 기둥으로 방어한다: 가동 중인 버전으로 판단, Dependabot/osv-scanner로 모니터링, 빠른 업데이트, 최소 권한 운영. 본 사이트의 견해: 인디 개발자는 지식이 아니라 운영의 연속성에서 진다 — 속도가 아니라 놓치지 않는 시스템으로 이긴다.