라이브러리 보안 리스크
서드파티 라이브러리 경유 공격
서드파티(3자)가 작성한 라이브러리나 툴을 사용해 대상을 간접적으로 노리는 공격
웹 애플리케이션은 직접적인 공격은 어렵지만, 웹 애플리케이션을 구성하는 오픈소스 라이브러리에 악성 코드를 심으면 공격이 가능해짐
리뷰가 충분하지 않은 코드에 위한 취약성
충분하지 않은 리뷰를 통해 병합된 소프트웨어는 악의를 가진 공격자의 타깃이 되며, 병합될 수 있다.
계정 탈취에 의한 취약성
라이브러리 개발자와 유지보수하는 계정이 탈취되어 라이브러리에 악성코드가 포함될 수 있는 위험
의존 관계 상속을 위한 취약성
라이브러리가 또다른 라이브러리에 의존성을 가졌을 때, 의존성이 있는 라이브러리에 악성 코드가 포함되어 있을 수 있다.
CDN 콘텐츠 변조
CDN 라이브러리가 변조되는 경우
대책
취약성을 확인하는 툴과 서비스 사용
라이브러리의 취약점을 확인하는 CLI
npm auditnpm 패키지에 알려진 취약점이 포함된 버전 포함여부를 확인함.
정기적으로 라이브러리 취약성을 확인하는 서비스 도입
유지보수가 꾸준히 이루어지는 라이브러리 사용
최신 버전의 라이브러리 사용
하위 자원 무결성을 통한 변조 확인
CDN에서 불러오는 라이브러리 버전 지정
Last updated