피드로 돌아가기
GitHub BlogSecurity
원문 읽기
GitHub, 시크릿 없는 Trusted Publishing으로 공급망 공격 벡터 차단
Securing the open source supply chain across GitHub
AI 요약
Context
오픈소스 공급망 공격 패턴이 변화함. 공격자들이 GitHub Actions 워크플로우에서 API 키 등 시크릿을 탈취한 후 악성 패키지를 게시하거나 추가 프로젝트에 접근하는 방식이 증가함.
Technical Solution
- CodeQL: GitHub Actions 워크플로우의 보안 모범 사례를 자동 검출함 (공개 저장소 무료 제공)
- OpenID Connect: 시크릿 대신 워크로드 신원 기반 토큰으로 인증함
- Trusted Publishing: npm, PyPI, NuGet, RubyGems, Crates 등 주요 패키지 저장소에서 지원함
- npm 악성코드 탐지: 매일 게시되는 모든 패키지 버전에 대한 실시간 스캐닝 후 인간 검토 과정 적용함
Impact
npm에서 매일 30,000개 이상의 패키지가 게시되며, 수백 개의 악성 패키지가 매일 탐지됨.
Key Takeaway
시크릿 사용을 제거하고 OpenID Connect 기반 신원 인증으로 전환하면 공급망 공격의 핵심 벡터를 근본적으로 차단할 수 있음.
실천 포인트
GitHub Actions 워크플로우에서 환경 변수나 시크릿 대신 OpenID Connect 토큰 인증을 적용하고, 공개 저장소에 CodeQL 검사를 활성화하여 워크플로우 보안 상태를 정기적으로 점검해야 함.