Ruff·uv 만든 Astral이 공개한 오픈소스 보안 전략 전모

Context

GitHub Actions의 기본 보안 설정 취약점으로 인한 공급망 침해 사고 빈발. pull_request_target 같은 위험한 트리거를 통한 권한 탈취 위험 상존. 신뢰할 수 없는 외부 코드 실행과 자격 증명 노출 문제 해결 필요.

Technical Solution

• pull_request_target 및 workflow_run 트리거를 조직 전체에서 전면 금지하고 권한이 낮은 pull_request 트리거로 대체하는 구조
• 태그 대신 특정 커밋 SHA를 사용하는 Hash Pinning 적용 및 zizmor를 통한 중첩 액션까지의 무결성 검증 체계
• permissions: {} 설정을 통한 기본 권한 제거 및 잡 단위 최소 권한 할당과 환경별 Secret 격리 설계
• GitHub App을 활용해 서드파티 PR 댓글 작성 등 고권한 작업과 신뢰할 수 없는 코드 실행 환경을 물리적으로 분리하는 전략
• Trusted Publishing과 Sigstore 기반 증명을 통해 장기 자격 증명을 제거하고 릴리즈 아티팩트의 암호학적 연결성 확보
• 릴리즈 환경 활성화를 위한 2인 이상의 수동 승인 프로세스와 캐시 포이즈닝 차단을 위한 빌드 캐시 사용 금지 정책

Key Takeaway

보안은 개별 설정의 합이 아니라 권한 격리와 불변성 확보 및 상호 검증 프로세스가 결합된 신뢰 구조 설계의 결과물임.