자바스크립트 패키지의 보안

다니엘 그렉

매일 자바스크립트 패키지의 양이 증가하고 있습니다. 이는 한편으로는 새로운 솔루션을 요구하는 커뮤니티 활동의 결과이며, 다른 한편으로는 자기 개발 또는 실현의 한 형태로서 새로운 솔루션을 생성합니다. 이러한 큰 성장은 새로운 문과 가능성을 열어주지만 모든 개발자가 알아야 할 위험을 동반하기도 합니다.

2018년 11월 말, 깃허브 커뮤니티에서 다음과 같은 심각한 취약점에 대한 보고가 있었습니다. 이벤트 스트림 - 패키지로 작업하는 데 도움이 되는 노드 이벤트를 더 효율적으로 진행했습니다. 특정 기간 동안 다운로드 횟수가 주당 220만 건 이상에 달할 정도로 꽤 인기가 있었습니다(React의 370만 건과 비교하면). 이벤트 스트림과 그 종속성은 다른 라이브러리에 의존하고 있었습니다. 플랫맵-스팀, 크립토 포켓 멀웨어로 업데이트되었습니다. 이 패키지가 번들로 제공된 컴퓨터의 사용자 계정에서 개인 키와 기타 세부 정보를 훔칠 수 있었습니다.

결국 flatmap-stream은 NPM에서 제거되었고, 이로 인해 다른 많은 라이브러리에서 시간적 문제가 발생했습니다. 같은 해 5월, 커뮤니티는 다음에서 백도어를 발견했습니다. 겟쿠키 패키지는 다른 많은 종속 요소의 일부이기도 합니다. 이러한 예는 여러 가지로 늘어날 수 있으며, 이는 한 패키지에 설치된 종속성에 주의를 기울이는 것이 중요하다는 것을 보여줍니다. 프로젝트에서뿐만 아니라 자바스크립트 관점뿐만 아니라 일반적인 맥락에서도 마찬가지입니다.

공식 솔루션과 대규모 커뮤니티에 의존하세요

가능한 한 프로젝트에서 공식 솔루션을 사용하는 것이 중요합니다. 공식 솔루션은 단순히 취약성이 낮을 뿐만 아니라 개발 프로세스. 일반적으로 더 나은 브랜드와 함께 제공되는 대규모 커뮤니티는 문제를 훨씬 더 빨리 식별하고 더 중요한 것은 좋은 해결책을 찾는 데 도움이 됩니다.

NPM 트렌드 사용

보안 JavaScript

그림 1 웹팩 NPM 트렌드.

그림 2. 이벤트 스트림 NPM 트렌드.

때로는 패키지의 현재 상태에 대한 지식이 과거를 대표하지 못할 수도 있습니다. npm 트렌드 차트를 간단히 살펴보면 실제 패키지의 추세를 확인할 수 있습니다. 여기에는 취약점이 발견될 수 있는 큰 피크뿐만 아니라 특정 패키지의 일반적인 상태도 표시됩니다(참고: 12월 24일부터 30일까지의 Google 트렌드에서 큰 피크는 휴가 시즌을 나타내며, 반드시 문제가 있는 것은 아닐 수 있습니다). 예를 들어, 그림 1을 보면 주당 웹팩 다운로드 추세를 확인할 수 있습니다. 중단점 없이 안정적으로 성장하는 것을 볼 수 있으며, 이는 Webpack이 안정적이고 안전한 패키지임을 시사할 수 있습니다. 반면에 그림 2를 보면 11월에 큰 폭으로 감소한 것을 볼 수 있는데, 이는 해당 기간에 문제가 발생했을 수 있다는 분명한 신호입니다(이미 알고 있는 사실입니다).

종속성 감사

종속성 상태를 확인하는 가장 신뢰할 수 있는 가장 좋은 방법은 다음을 수행하는 것입니다. 감사. 이 명령은 최신 버전이 필요하지만 이제 기본적으로 yarn과 npm 모두에서 사용할 수 있습니다. 이 명령은 현재 종속성 목록을 적절한 엔드포인트로 전송하고 현재 취약점과 문서 참조를 포함한 기타 사용 세부 정보가 포함된 정보를 반환합니다. (그림3).

흥미로운 데이터