npm 악성코드 99% 및 서드파티 침해 30% 증가에 대응하는 공급망 보안 설계

Context

오픈소스 패키지 및 베이스 이미지의 가변성으로 인한 Upstream Drift와 공급망 공격 표면 확대. 단순한 취약점 스캔만으로는 빌드 환경 자체의 무결성과 아티팩트의 출처 증명을 보장하기 어려운 한계 존재.

Technical Solution

• Attack Surface 최소화를 위한 Shell 및 패키지 매니저가 제거된 Minimal Base Image 채택
• Mutable Tag 대신 SHA256 Digest 기반의 이미지 및 의존성 Pinning을 통한 빌드 결정론적 확보
• in-toto 포맷의 Cryptographic Attestation을 적용하여 SLSA Level 3 수준의 Build Provenance 구현
• 모든 빌드 단계에서 SBOM 생성을 통한 아티팩트 내부 구성 요소의 투명성 확보
• Ephemeral Build Environment 구축 및 CI 플러그인의 Commit SHA 고정을 통한 빌드 파이프라인 하드닝
• 정적 취약점 스캔과 Runtime Monitoring의 계층적 결합으로 전 주기적 보안 가시성 확보