Zero-dep 재작성으로 Bundle Size 41% 절감 및 취약점 제거

Context

Express, Next.js 등 주요 프레임워크의 하위 의존성 패키지 중 상당수가 5년 이상 방치된 상태로 운영됨. ReDoS 및 Regex Injection 등 보안 취약점을 포함한 Dormant Code가 프로덕션 환경에 그대로 노출된 구조적 한계 존재.

Technical Solution

• CPM(Code Package Manager) 기반의 자체 품질 관리 시스템 도입을 통한 패키지 재구현
• 100% Branch Coverage 확보를 위한 888개 테스트 케이스 적용으로 런타임 안정성 강화
• TypeScript Strict Mode 및 Type Guards 적용을 통한 타입 안정성 확보 및 정적 분석 강화
• Zero-dependency 설계를 통한 의존성 트리 단순화로 transitive dependency 보안 리스크 원천 차단
• Consistent Exports 및 Types Condition 설정을 통한 패키지 호환성 및 배포 최적화
• 다수 리뷰어 기반의 CI Pipeline 구축을 통한 코드 퀄리티 상향 평준화

Impact

• React 앱 기준 Bundle Size: 339 KB에서 200 KB로 41% 감소
• Gzip 압축 크기: 110 KB에서 64 KB로 42% 감소
• 165개 패키지에 대해 Zero-dep, Typed, Tested 상태 달성

Key Takeaway

의존성 트리의 최하단에 위치한 작은 패키지 하나가 전체 시스템의 보안 병목이 될 수 있음을 인지하고, Critical Path에 있는 라이브러리는 자체 구현이나 엄격한 오딧(Audit)을 통한 관리 체계 구축 필요.