보안 / 오픈소스

깃허브, ‘계정 관리 도구’와 ‘무료 탐색기’로 NPM 패키지 보안 강화

Paul Krill | InfoWorld 2022.12.08
깃허브가 NPM 계정을 위한 액세스 토큰 관리 기능을 추가하고, 코드 탐색기 기능을 무료로 제공한다. 이로 인해 NPM 자바스크립트 패키지의 보안성과 안정성을 높일 수 있을 것이라고 기대하고 있다. 
 
ⓒ Stephen J Giles (CC BY-SA 2.0)

깃허브는 지난 6일 공식 블로그를 통해 외부 공격자가 데이터를 훔쳐 가려는 주목적이 ‘자격 증명 정보 탈취’라는 점을 지적하며, NPM 관리자가 보다 안전하게 보안 위협을 관리를 할 수 있도록 NPM용 액세스 토큰 기술을 새로 지원한다고 밝혔다. 

NPM 관리자는 새로운 액세스 토큰을 활용해, 각 토큰이 액세스할 수 있는 패키지 및 범위를 제한하고, 특정 사용자에게 액세스 권한을 부여할 수 있다. 또한 토큰 만료 날짜를 설정하고, IP 주소를 기준으로 액세스를 제한할 수 있다. 여기에 읽기 전용 또는 읽기 및 쓰기가 모두 되는 형태를 선택할 수도 있다. NPM 계정에서는 최대 50개의 세분화된 액세스 토큰을 만들 수 있다.

깃허브는 이러한 세분화된 액세스 토큰으로 NPM 이용자가 조직 관리를 자동화할 수 있을 것으로 보고 있다. 각 토큰은 한 개 또는 여러 개로 발급할 수 있으며, 기업 전체나 구성원 또는 팀을 관리할 수 있다.

토큰의 유효 기간은 최대 1년이다. 깃허브는 “NPM에서 10% 미만의 토큰이 정기적으로 사용되고 있다. 많은 NPM 토큰이 불필요하게 비활성화되고 오래된 토큰은 보안 위협에 더 노출될 수 있다”라고 말했다. 그런 의미에서 토큰을 정기적으로 바꾸고, 유효기간을 제한해놓으면, 공격 지점이 줄어들 수 있다고 강조했다. 

NPM 코드 탐색기는 개발자가 NPM 포털에서 패키지의 내용을 직접 볼 때 사용하는 도구다. 패키지를 사용하기 전에 자세히 그 내용을 검사할 수 있다는 장점이 있다. 코드 탐색기는 이전에 유료 기능이었지만 이제 무료로 누구나 사용할 수 있다. 깃허브는 코드 탐색기를 업데이트해서 안정성과 속도를 높였다고 설명했다. 코드 탐색기는 NPM 레지스트리에 있는 거의 모든 패키지에서 작동한다. 

한편, 깃허브는 2020년 NPM을 인수해 NPM 기능을 직접 관리하고 있다. NPM 패키지는 매달 2,000억 건 이상 다운로드되고 있다. 
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.