Ruff·uv 만든 Astral이 공개한 오픈소스 보안 전략 전모

Context

GitHub Actions의 기본 설정과 위험한 트리거를 이용한 공급망 공격 사례 증가. 신뢰할 수 없는 코드 실행 환경에서의 권한 탈취 및 릴리즈 변조 위험 상존. 오픈소스 생태계 전반의 신뢰 구조 설계 필요성 대두.

Technical Solution

• pull_request_target 및 workflow_run 등 위험한 트리거 전면 금지 및 최소 권한의 pull_request 트리거 전환
• 태그 대신 특정 커밋 SHA를 사용하는 Hash Pinning 적용 및 zizmor를 통한 중첩 액션 교차 검증 구조
• permissions: {} 기반의 잡 단위 최소 권한 할당 및 배포 환경별 Secret 격리 설계
• Trusted Publishing 및 Sigstore 기반 증명(attestation) 도입을 통한 암호학적 릴리즈 연결 확보
• 릴리즈 환경 활성화를 위한 최소 1인 이상의 수동 승인 절차를 포함한 이중 보호 프로세스 구축
• 신규 의존성 업데이트 전 일시적 대기 시간을 두는 쿨다운(cooldown) 정책 운용으로 침해 의존성 유입 차단

Key Takeaway

CI/CD 도구의 내장 기능을 맹신하지 않고 신뢰 경계를 명확히 구분하는 제로 트러스트 기반의 파이프라인 설계 원칙.