NPM 사용 할 때 고려되어야 하는 사항
내부 개발자분들끼리 공유해준 내용 중 알게 된 것을 정리하기 위한글입니다.
보통의 경우 NPM 을 사용해서 오픈된 라이브러리를 사용하는 경우가 많았고, 모두 다 편하게 사용하고 있을 것이지만
최소한 고려해봐야하는 사항을 알게되었다.
해당 사이트를 안들어가고도 알 수 있도록 내용을 정리하자면 아래와 같다.
https://snyk.io/blog/open-source-npm-packages-colors-faker/
Open source maintainer pulls the plug on npm packages colors and faker, now what? | Snyk
Snyk issued a Denial of Service security vulnerability for colors@1.4.1, following this vulnerable code. We highly recommend you revert to colors@1.4.0, and pin your dependencies’ versions to avoid blind upgrades of the offending version. We also recomme
snyk.io
- colors.js에는 무한루프를 도는 코드가 update되어버렸음. 그결과 해당 파일을 사용하던 프로젝트들에 문제가 발생함.
- fakers.js의 경우 오픈소스로 유지되던 프로젝트였으나 더이상 관리를 하지않겠다고 선언함.(유료)
해당 개발자가 고의로 해당 소스를 손상시킨 사례로 검증되지 않은 최신 버전을 업데이트하여 발생하는 경우입니다.
무의식적으로 NPM에서 최신버전을 이용하다간 큰코를 다칠 수 도 있겠다..;
보안관련 내용
https://snyk.io/blog/ten-npm-security-best-practices/
10 npm Security Best Practices | Snyk
Concerned about npm vulnerabilities? It is important to take npm security best practices into account for both frontend, and backend developers. Open source
snyk.io