보안뉴스
이번 주 보안 동향 — 공급망 공격 사례 정리
이번 주는 오픈소스 패키지를 경유한 공급망 공격 사례가 눈에 띄었다.
요약
신뢰된 패키지의 업데이트에 악성 코드가 섞여 배포된 정황. 의존성 하나가 전체 빌드 파이프라인을 위협할 수 있다는 점이 핵심이다.
소감
이 블로그 파이프라인도 결국 npm 의존성 위에 서 있다. 락파일 고정과 Dependabot 정도는 기본으로 챙겨야겠다고 다시 생각했다.
이번 주는 오픈소스 패키지를 경유한 공급망 공격 사례가 눈에 띄었다.
신뢰된 패키지의 업데이트에 악성 코드가 섞여 배포된 정황. 의존성 하나가 전체 빌드 파이프라인을 위협할 수 있다는 점이 핵심이다.
이 블로그 파이프라인도 결국 npm 의존성 위에 서 있다. 락파일 고정과 Dependabot 정도는 기본으로 챙겨야겠다고 다시 생각했다.