crates.io 공급망 보안의 구조적 한계 분석 및 사용자 중심 Audit 전략

Context

Typo-squatting 및 build.rs를 통한 RCE 등 Rust 생태계의 공급망 공격 위험 증가. 중앙 집중식 Registry의 아카이빙 특성과 분산된 VCS 간의 코드 불일치로 인한 검증의 복잡성 존재.

Technical Solution

• URL 및 Namespacing 도입 시 식별자 길이 증가로 인한 Typo-squatting 인지 능력 저하 가능성 판단
• build.rs 및 Procedural Macros의 시스템 권한 접근을 제어하기 위한 WASM 컴파일 및 시스템 레벨 isolation 필요성 분석
• crates.io의 Permanent Archive 설계를 통한 Downstream Consumer 보호 및 Left-pad 사태 재발 방지 구조 유지
• Forge 수준의 History 조작 가능성으로 인한 VCS-Registry 간 단순 동기화 검증의 기술적 한계 인정
• Lockfiles 및 Specific Version 지정 통한 설치 버전 고정으로 비결정적 업데이트 위험 제거
• cargo-chef 및 firejail을 활용한 빌드 환경 및 런타임 프로세스 격리 구현