PyPI 패키지 신뢰성 검증, trustcheck CLI로 자동화

Context

PyPI 패키지 설치 시 메인테이너의 의도와 일치하는지 확인할 방법 부족. 패키지 출처 및 변경 이력에 대한 가시성 결여. 공급망 보안 위협에 노출된 설치 프로세스.

Technical Solution

• PyPI 릴리스 메타데이터 및 package attestations 분석 엔진 구현
• 저장소 연관 관계 및 provenance signals 검증 로직 설계
• 알려진 취약점 정보와 신뢰 신호를 통합 조회하는 인터페이스 구축
• 특정 저장소 URL과의 일치 여부를 확인하는 --expected-repo 검증 기능 제공
• CI 파이프라인 통합을 위한 JSON 형식의 머신 리더블 출력 지원

Key Takeaway

단순한 취약점 스캔을 넘어 패키지의 출처와 증명을 검증하는 Provenance 기반의 공급망 보안 체계 구축 필요.