Offcanvas

NPM

깃허브, NPM 레지스트리 사용자에 ‘2단계 인증’ 적용

깃허브가 최근 발생한 2건의 자바스크립트 패키지용 NPM 레지스트리 관련 보안 사고를 감안해  NPM 상위 패키지의 유지관리자(Maintainer)와 관리자(Admin)를 대상으로 2단계 인증(2FA)를 적용한다고 발표했다.    11월 15일(현지 시각) 회사에 따르면 계정 탈취를 방지하기 위한 ‘2FA 정책’은 오는 2022년 1분기부터 상위 패키지 코호트를 시작으로 시행될 계획이다. 한편 깃허브는 2020년 NPM을 인수해 레지스트리를 관리하고 있다. 깃허브는 악의적 행위자가 레지스트리에서 NPM 계정을 손상시킨 후, 이러한 계정에서 액세스할 수 있는 인기 있는 패키지에 악성 코드를 삽입하는 사건을 주기적으로 목격한다고 언급했다. 최근 발생한 2건의 보안 사고는 다음과 같다.  • 지난 10월 26일 깃허브는 공개적으로 사용 가능한 NPM 서비스의 일상적인 유지보수로 인해 발생한 문제를 발견했다고 밝혔다. 공개 NPM 복제본을 실행하는 데이터베이스를 유지 관리하는 동안 비공개 패키지의 이름을 노출할 수 있는 레코드가 생성됐다. 그 결과 공개 변경 피드에 게시된 레코드로 인해 복제본 사용자가 비공개 패키지의 이름을 잠재적으로 식별할 수 있었다.  10월 20일 이전에 생성된 비공개 패키지의 경우 @owner/package 형식의 패키지 이름이 10월 21일부터 10월 29일 사이에 노출됐다. 깃허브는 문제 발견 즉시 수정 작업을 시작했다고 전했다. 이날 비공개 패키지 이름을 포함한 모든 레코드가 replicate.npmjs.com에서 제거됐다. 이러한 문제가 다시는 발생하지 않도록 해당 공개 복제 데이터베이스를 프로비저닝하는 방법도 변경했다. • 지난 11월 2일 깃허브는 공격자가 적절한 승인 없이 계정을 사용하여 모든 NPM 패키지의 새 버전을 게시할 수 있는 취약점을 보고 받았다. 취약점은 6시간 이내에 패치됐다고 회사 측은 말했다. ciokr@idg.co.kr   

깃허브 오픈소스 개발자 NPM 보안 2단계 인증 2FA 자바스크립트 노드닷제이에스

2021.11.23

깃허브가 최근 발생한 2건의 자바스크립트 패키지용 NPM 레지스트리 관련 보안 사고를 감안해  NPM 상위 패키지의 유지관리자(Maintainer)와 관리자(Admin)를 대상으로 2단계 인증(2FA)를 적용한다고 발표했다.    11월 15일(현지 시각) 회사에 따르면 계정 탈취를 방지하기 위한 ‘2FA 정책’은 오는 2022년 1분기부터 상위 패키지 코호트를 시작으로 시행될 계획이다. 한편 깃허브는 2020년 NPM을 인수해 레지스트리를 관리하고 있다. 깃허브는 악의적 행위자가 레지스트리에서 NPM 계정을 손상시킨 후, 이러한 계정에서 액세스할 수 있는 인기 있는 패키지에 악성 코드를 삽입하는 사건을 주기적으로 목격한다고 언급했다. 최근 발생한 2건의 보안 사고는 다음과 같다.  • 지난 10월 26일 깃허브는 공개적으로 사용 가능한 NPM 서비스의 일상적인 유지보수로 인해 발생한 문제를 발견했다고 밝혔다. 공개 NPM 복제본을 실행하는 데이터베이스를 유지 관리하는 동안 비공개 패키지의 이름을 노출할 수 있는 레코드가 생성됐다. 그 결과 공개 변경 피드에 게시된 레코드로 인해 복제본 사용자가 비공개 패키지의 이름을 잠재적으로 식별할 수 있었다.  10월 20일 이전에 생성된 비공개 패키지의 경우 @owner/package 형식의 패키지 이름이 10월 21일부터 10월 29일 사이에 노출됐다. 깃허브는 문제 발견 즉시 수정 작업을 시작했다고 전했다. 이날 비공개 패키지 이름을 포함한 모든 레코드가 replicate.npmjs.com에서 제거됐다. 이러한 문제가 다시는 발생하지 않도록 해당 공개 복제 데이터베이스를 프로비저닝하는 방법도 변경했다. • 지난 11월 2일 깃허브는 공격자가 적절한 승인 없이 계정을 사용하여 모든 NPM 패키지의 새 버전을 게시할 수 있는 취약점을 보고 받았다. 취약점은 6시간 이내에 패치됐다고 회사 측은 말했다. ciokr@idg.co.kr   

2021.11.23

기트허브, ‘컨테이너 레지스트리’ 퍼블릭 베타 공개

현재 퍼블릭 베타로 공개된 ‘기트허브 컨테이너 레지스트리’는 컨테이너 이미지에 맞는 액세스 정책을 시행하는 데 사용될 수 있다. 또 기업 전체에 표준 기본 이미지 사용을 장려한다.  지난 1일(현지 시각) 기트허브가 ‘기트허브 컨테이너 레지스트리(GitHub Container Registry)’ 퍼블릭 베타 버전을 선보였다. 이는 패키지 관리를 목적으로 기트허브 패키지(GitHub Packages) 내에서 컨테이너가 처리되는 방식을 개선하는 서비스다.    컨테이너 레지스트리 퍼블릭 베타는 기트허브 패키지를 통해 접근할 수 있다. 기트허브에 따르면 2019년 기트허브 컨테이너 레지스트리가 처음 출시된 이후로, 수 억개의 패키지가 다운로드 됐으며 도커는 NPM(Node Packaged Manager)에 이어 기트허브 패키지에서 두 번째로 인기 있는 에코시스템이 됐다.  컨테이너 레지스트리 퍼블릭 베타 버전에서 도입된 새 기능은 액세스 정책을 개선하고, 표준 기본 이미지 사용을 장려하며, 조직 내 손쉬운 공유를 지원해 내부 협동 개발(innersourcing)을 촉진한다고 기트허브 측은 설명했다.  퍼블릭 베타 버전은 공개 이미지에 대해서는 무료로 사용할 수 있다. 기트허브는 소스 코드의 퍼블릭 리포지토리에 익명 액세스를 활성화하는 방법과 유사하게 퍼블릭 컨테이너 이미지에 익명 액세스를 제공한다. 이 밖에 컨테이너 레지스트리와 함께 기트허브 슈퍼-린터(GitHub Super Linter)의 퍼블릭 이미지도 공개됐다.  기트허브는 또한 조직 전반에 걸쳐 컨테이너에 관한 데이터 공유 및 세분화된 권한을 도입했다고 전했다. 패키지 권한을 소스 코드 권한과 분리해 팀은 더 적은 수의 사용자로 퍼블리싱을 제한하거나, 다른 릴리스 정책을 시행할 수 있다.  앞으로 기트허브는 범용 스토리지를 위한 컨테이너 레지스트리를 사용해 쿠버네티스 애플리케이션용 헬름 3 차트(Helm 3 charts)를 비롯한 더...

기트허브 컨테이너 컨테이너 레지스트리 쿠버네티스 도커 NPM 헬름

2020.09.03

현재 퍼블릭 베타로 공개된 ‘기트허브 컨테이너 레지스트리’는 컨테이너 이미지에 맞는 액세스 정책을 시행하는 데 사용될 수 있다. 또 기업 전체에 표준 기본 이미지 사용을 장려한다.  지난 1일(현지 시각) 기트허브가 ‘기트허브 컨테이너 레지스트리(GitHub Container Registry)’ 퍼블릭 베타 버전을 선보였다. 이는 패키지 관리를 목적으로 기트허브 패키지(GitHub Packages) 내에서 컨테이너가 처리되는 방식을 개선하는 서비스다.    컨테이너 레지스트리 퍼블릭 베타는 기트허브 패키지를 통해 접근할 수 있다. 기트허브에 따르면 2019년 기트허브 컨테이너 레지스트리가 처음 출시된 이후로, 수 억개의 패키지가 다운로드 됐으며 도커는 NPM(Node Packaged Manager)에 이어 기트허브 패키지에서 두 번째로 인기 있는 에코시스템이 됐다.  컨테이너 레지스트리 퍼블릭 베타 버전에서 도입된 새 기능은 액세스 정책을 개선하고, 표준 기본 이미지 사용을 장려하며, 조직 내 손쉬운 공유를 지원해 내부 협동 개발(innersourcing)을 촉진한다고 기트허브 측은 설명했다.  퍼블릭 베타 버전은 공개 이미지에 대해서는 무료로 사용할 수 있다. 기트허브는 소스 코드의 퍼블릭 리포지토리에 익명 액세스를 활성화하는 방법과 유사하게 퍼블릭 컨테이너 이미지에 익명 액세스를 제공한다. 이 밖에 컨테이너 레지스트리와 함께 기트허브 슈퍼-린터(GitHub Super Linter)의 퍼블릭 이미지도 공개됐다.  기트허브는 또한 조직 전반에 걸쳐 컨테이너에 관한 데이터 공유 및 세분화된 권한을 도입했다고 전했다. 패키지 권한을 소스 코드 권한과 분리해 팀은 더 적은 수의 사용자로 퍼블리싱을 제한하거나, 다른 릴리스 정책을 시행할 수 있다.  앞으로 기트허브는 범용 스토리지를 위한 컨테이너 레지스트리를 사용해 쿠버네티스 애플리케이션용 헬름 3 차트(Helm 3 charts)를 비롯한 더...

2020.09.03

NPM "공개 자바스크립트 레지스트리, 계속 무료 운영"

NPM 자바스크립트 패키지 레지스트리는 사라질까? Node.js와 자바스크립트 코드의 유명 온라인 리포지토리를 운영하는 NPM은 최근 일부 루머에도 불구하고 NPM 자바스크립트 패키지 레지스트리가 계속 유지될 것이라고 밝혔다. 업체는 이 공개 레지스트리가 폐쇄되는 것은 물론 운영 중단을 고려한 적도 없다고 주장했다. 실제로 NPM은 이 공개 레지스트리를 최근 방화벽 뒤로 옮기고 상업적으로 라이선스하고, 기업용 프라이빗 레지스트리를 제공하는 등 최근까지 서비스를 개선하고 있다. 최근 레지스터(Register)는 이 공개 레지스트리가 무료 운영을 중단하고 기업용 유료 서비스로 전환될 것이라고 보도했다. 그러나 NPM CTO 아매드 나스리는 이런 우려를 일축했다. 그는 "분명하게 밝히면 이런 우려를 할 필요가 없다. 그런 논의조차 하지 않았으며 앞으로도 없을 것이다"라고 말했다. 5명에 대한 해고와 NPM 공동 설립자 로리 보스의 은퇴에도 불구하고 나스리는 이 모든 것이 이례적인 것이 아니라고 주장했다. 대신 그는 NPM을 유지 가능한 목표를 달성하기 위해 노력하는 기업이라고 표현했다. 오픈소스 자바스크립트 레지스트리를 계속 유지하기 위한 조치라는 것이다. 현재 NPM 레지스트리는 100만 개 이상 패키지를 호스트하고 있다. 레지스트리와 함께 작동하는 NPM 클라이언트는 Node.js 자바스크립트 런타임과 함께 배포된다. 혼란의 한가운데에서 NPM은 NPM 엔터프라이즈에 기업용 보안 정책을 추가했다. 관리자는 인하우스 자바스크립트 프로젝트가 가능한 높은 보안 수준을 선택할 수 있다. 보안 요건을 만족하지 못하는 패키지는 필터링된다. NPM의 보안 정책은 개발 라이프사이클 초기부터 추가 보안 레이어를 제공해 발견한 문제를 수정하기 쉬운 것이 특징이다. 또 다른 보안 업그레이드 사항은 기업이 특화된 보안 취약점 리포트다. 이 기능은 일부 사용자만 베타 릴리즈로 사용할 수 있다. 이 밖에도 싱글사인온용 SAML 지원을 강화하고, 사용자 계정을 별도로 관리하는 ...

자바 자바스크립트 NPM

2019.07.29

NPM 자바스크립트 패키지 레지스트리는 사라질까? Node.js와 자바스크립트 코드의 유명 온라인 리포지토리를 운영하는 NPM은 최근 일부 루머에도 불구하고 NPM 자바스크립트 패키지 레지스트리가 계속 유지될 것이라고 밝혔다. 업체는 이 공개 레지스트리가 폐쇄되는 것은 물론 운영 중단을 고려한 적도 없다고 주장했다. 실제로 NPM은 이 공개 레지스트리를 최근 방화벽 뒤로 옮기고 상업적으로 라이선스하고, 기업용 프라이빗 레지스트리를 제공하는 등 최근까지 서비스를 개선하고 있다. 최근 레지스터(Register)는 이 공개 레지스트리가 무료 운영을 중단하고 기업용 유료 서비스로 전환될 것이라고 보도했다. 그러나 NPM CTO 아매드 나스리는 이런 우려를 일축했다. 그는 "분명하게 밝히면 이런 우려를 할 필요가 없다. 그런 논의조차 하지 않았으며 앞으로도 없을 것이다"라고 말했다. 5명에 대한 해고와 NPM 공동 설립자 로리 보스의 은퇴에도 불구하고 나스리는 이 모든 것이 이례적인 것이 아니라고 주장했다. 대신 그는 NPM을 유지 가능한 목표를 달성하기 위해 노력하는 기업이라고 표현했다. 오픈소스 자바스크립트 레지스트리를 계속 유지하기 위한 조치라는 것이다. 현재 NPM 레지스트리는 100만 개 이상 패키지를 호스트하고 있다. 레지스트리와 함께 작동하는 NPM 클라이언트는 Node.js 자바스크립트 런타임과 함께 배포된다. 혼란의 한가운데에서 NPM은 NPM 엔터프라이즈에 기업용 보안 정책을 추가했다. 관리자는 인하우스 자바스크립트 프로젝트가 가능한 높은 보안 수준을 선택할 수 있다. 보안 요건을 만족하지 못하는 패키지는 필터링된다. NPM의 보안 정책은 개발 라이프사이클 초기부터 추가 보안 레이어를 제공해 발견한 문제를 수정하기 쉬운 것이 특징이다. 또 다른 보안 업그레이드 사항은 기업이 특화된 보안 취약점 리포트다. 이 기능은 일부 사용자만 베타 릴리즈로 사용할 수 있다. 이 밖에도 싱글사인온용 SAML 지원을 강화하고, 사용자 계정을 별도로 관리하는 ...

2019.07.29

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9