Node.js 보안팀이 의존성 CVE 자동 평가 워크플로우를 구축해 보안 릴리스와 평가 간 시간 간격 단축

Context

Node.js의 OpenSSL과 zlib 의존성에서 보안 취약점이 공개될 때마다 Node.js 영향도 평가에 시간이 소요되었다. 자동화되지 않은 평가 프로세스로 인해 의존성 보안 릴리스와 Node.js 평가 발표 사이의 격차가 발생했다.

Technical Solution

• CVE 평가 자동화 워크플로우 구축: nodejs/nodejs-dependency-vuln-assessments 리포지토리에서 Issue를 통해 공개 CVE 평가 수행
• OpenSSL CVE-2022-10664 평가: Node.js가 EVP_CIPHER_meth_new(NID_undef, ...) 함수를 호출하지 않으므로 영향 없음으로 결론
• zlib CVE-2022-37434 평가: Node.js가 inflateGetHeader 함수를 호출하지 않으므로 영향 없음으로 결론
• 의존성 취약점 평가 저장소 공개: 엔지니어와 보안 연구자가 평가 상태를 추적 및 감시 가능
• 보안 공지 구독 채널 제공: nodejs-sec 메일링 리스트를 통해 저볼륨 공지만 배포

Key Takeaway

의존성 보안 평가 프로세스를 투명하게 공개하고 자동화하면 조직의 대응 속도를 높이고 커뮤니티 신뢰를 강화할 수 있다. 또한 코드 레벨에서 실제 함수 호출 여부를 기준으로 한 구체적 평가를 제시하면 false positive를 줄일 수 있다.