npm stage 도입을 통한 Supply Chain Security 강화 및 2FA 승인 워크플로우 구축

Context

Package Maintainer 계정 탈취를 통한 악성 코드 유포 및 Supply Chain 공격 증가 상황. 기존 Automated Workflow의 Token 기반 인증 방식은 Token 유출 시 무단 배포 위험과 잦은 Token 갱신으로 인한 운영 효율 저하라는 상충 관계 존재.

Technical Solution

• npm CLI v11.15.0에 npm stage publish 명령어를 통합한 Staged Publishing 아키텍처 설계
• 즉시 배포 방식에서 Staging Area 제출 후 Maintainer의 명시적 승인을 거치는 Gated Publishing 구조로 전환
• CLI 또는 npmjs.com을 통한 2FA 인증을 필수 승인 단계로 설정하여 Token 탈취 기반의 무단 배포 원천 차단
• CI/CD 자동화 도구는 Staging 단계까지만 수행하고 최종 배포 권한은 인간 관리자에게 위임하는 권한 분리 설계
• OIDC 기반 Trusted Publishing과 결합하여 최초 배포 시의 인증 공백을 보완하는 다층 방어 체계 구축