NPM 패키지 소스 맵 유출로 본 배포 파이프라인 검증 전략

Context

Anthropic의 NPM 패키지 배포 과정에서 소스 맵 파일이 포함된 채 공개됨. 해당 파일을 통해 약 50만 라인의 TypeScript 소스 코드가 외부에 노출됨. 단순 실수인지 의도된 마케팅 전략인지에 대한 기술적 의문 제기.

Technical Solution

• 배포 아티팩트 내 소스 맵 파일을 포함하지 않는 빌드 프로세스 적용
• CI/CD 파이프라인 내 아티팩트 크기 변화를 감지하는 이상 징후 알림 설정
• npm pack 명령어를 통한 실제 배포 파일 내용의 사전 검수 단계 도입
• prepublishOnly 스크립트를 활용한 자동화된 패키지 검증 로직 구현
• Staging 환경과 Production 환경의 설정 및 배포 가정을 엄격히 분리하는 전략 수립

Impact

• 약 500,000 라인 이상의 TypeScript 코드 노출
• 배포 패키지 크기가 58MB까지 증가하는 비정상적 용량 발생

Key Takeaway

아티팩트의 크기 변화는 단순한 메트릭이 아닌 시스템의 무결성을 판단하는 핵심 신호이며, 배포 전 최종 결과물을 직접 검증하는 단계가 필수적임.