📦

npm 패키지 보안

💡 알면 좋은

npm install의 숨겨진 위험과 안전한 패키지 관리

npm의 위험성

npm 패키지는 누구나 올릴 수 있습니다. 악성 코드가 포함된 패키지, 타이포스쿼팅(이름 비슷한 가짜 패키지), 의존성 체인 공격 등이 실제로 발생합니다.

❌ 나쁜 예시

# ❌ 아무 패키지나 설치
npm install cool-utils-v2  # 타이포스쿼팅 패키지일 수 있음

# ❌ 보안 경고 무시
npm install --force  # 취약점 무시하고 설치

✅ 좋은 예시

# ✅ 설치 전 확인
npm info cool-utils  # 패키지 정보 확인
npx npm-check-updates  # 업데이트 가능 패키지 확인

# ✅ 정기적 보안 감사
npm audit  # 취약점 스캔
npm audit fix  # 자동 수정

# ✅ package-lock.json 커밋하기
# 의존성 버전 고정으로 공급망 공격 방어

← 목록으로

← 보안 기초

📦

npm 패키지 보안

💡 알면 좋은

npm install의 숨겨진 위험과 안전한 패키지 관리

npm의 위험성

❌ 나쁜 예시

# ❌ 아무 패키지나 설치
npm install cool-utils-v2  # 타이포스쿼팅 패키지일 수 있음

# ❌ 보안 경고 무시
npm install --force  # 취약점 무시하고 설치

✅ 좋은 예시

# ✅ 설치 전 확인
npm info cool-utils  # 패키지 정보 확인
npx npm-check-updates  # 업데이트 가능 패키지 확인

# ✅ 정기적 보안 감사
npm audit  # 취약점 스캔
npm audit fix  # 자동 수정

# ✅ package-lock.json 커밋하기
# 의존성 버전 고정으로 공급망 공격 방어

← 목록으로