2023. 1. 12. 10:20ㆍ개인노트
내부 개발자분들끼리 공유해준 내용 중 알게 된 것을 정리하기 위한글입니다.
보통의 경우 NPM 을 사용해서 오픈된 라이브러리를 사용하는 경우가 많았고, 모두 다 편하게 사용하고 있을 것이지만
최소한 고려해봐야하는 사항을 알게되었다.
해당 사이트를 안들어가고도 알 수 있도록 내용을 정리하자면 아래와 같다.
https://snyk.io/blog/open-source-npm-packages-colors-faker/
Open source maintainer pulls the plug on npm packages colors and faker, now what? | Snyk
Snyk issued a Denial of Service security vulnerability for colors@1.4.1, following this vulnerable code. We highly recommend you revert to colors@1.4.0, and pin your dependencies’ versions to avoid blind upgrades of the offending version. We also recomme
snyk.io
- colors.js에는 무한루프를 도는 코드가 update되어버렸음. 그결과 해당 파일을 사용하던 프로젝트들에 문제가 발생함.
- fakers.js의 경우 오픈소스로 유지되던 프로젝트였으나 더이상 관리를 하지않겠다고 선언함.(유료)
해당 개발자가 고의로 해당 소스를 손상시킨 사례로 검증되지 않은 최신 버전을 업데이트하여 발생하는 경우입니다.
무의식적으로 NPM에서 최신버전을 이용하다간 큰코를 다칠 수 도 있겠다..;
보안관련 내용
https://snyk.io/blog/ten-npm-security-best-practices/
10 npm Security Best Practices | Snyk
Concerned about npm vulnerabilities? It is important to take npm security best practices into account for both frontend, and backend developers. Open source
snyk.io
'개인노트' 카테고리의 다른 글
| 개발자가 되기 까지...!(2021 ~ 2023년)(개발자 회고록 1) (1) | 2023.02.28 |
|---|---|
| API서버 RequestBody 여러번 읽는방법 (0) | 2023.02.07 |
| 개발자 채용 과제 수정해보기 (0) | 2021.10.28 |
| (인터셉터+어노테이션)로그인 체크하기(session) (0) | 2021.10.19 |
| Java 리플렉션(reflection)으로 만들어보는 dispatcher-servlet,컨트롤러 및 커스텀 어노테이션 (0) | 2021.10.15 |