npm Has a Free Security Advisory API — Find Vulnerable Packages Before They Break Your App

Context

지난달 주간 다운로드 1천만 회 이상의 인기 npm 패키지가 해킹당했고, 팀들이 영향 범위를 파악하기 위해 npm audit를 사용했지만 lockfile의 알려진 취약점만 감지되었다. 패키지 선택 시 보안·다운로드 추세·의존성을 미리 검증할 수 있는 방법이 필요했다.

Technical Solution

• npm Registry API(registry.npmjs.org)를 사용해 패키지 메타데이터 조회: 모든 버전·의존성·라이선스·유지보수자 정보를 인증 없이 JSON으로 수집
• npm Downloads API(api.npmjs.org/downloads)로 다운로드 추세 조회: 일일·월간·기간별 다운로드 수를 비교 가능
• GitHub Advisory Database API(api.github.com/advisories)로 보안 취약점 검색: 심각도·발행일·패치된 버전을 조회
• Bundlephobia API(bundlephobia.com/api/size)로 번들 크기 측정: 원본 및 gzip 압축 크기·3G 다운로드 시간 비교
• 4개 API를 packageHealthCheck() 함수로 통합: 최신 버전·버전 수·라이선스·월간 다운로드·번들 크기·의존성 수·마지막 배포 시점을 한 번에 점검

Impact

아티클에 정량적 성능 수치가 명시되지 않음.

Key Takeaway

npm의 공개 API 4가지(Registry, Downloads, GitHub Advisories, Bundlephobia)는 API 키 없이 패키지 보안·인기도·크기를 자동화된 스크립트로 검증할 수 있게 하며, 공급망 보안 점검 프로세스에 무료로 통합할 수 있다.