피드로 돌아가기
InfoQInfoQ
Security

Dependency Cooldowns와 pylock.toml 도입을 통한 Supply Chain Attack 방어

Pip 26.1 Ships Dependency Cooldowns and Experimental Lockfile Support to Combat Supply Chain Attacks

Steef-Jan Wiggers2026년 5월 20일4intermediate

AI 요약

Context

PyPI 패키지 배포 직후 악성 코드가 포함된 버전이 CI 파이프라인에 즉시 유입되는 구조적 취약점 존재. 기존의 신뢰 기반 설치 방식으로는 배포 초기 단계의 Supply Chain Attack을 실시간으로 차단하기 어려운 한계 직면.

Technical Solution

  • --uploaded-prior-to 옵션을 통한 패키지 설치 대기 기간(Cooldown) 강제 설정 로직 구현
  • 특정 기간(예: 7일) 동안 PyPI에 머문 검증된 버전만 풀링하여 공격자의 초기 배포 윈도우 차단
  • PEP 751 표준 기반의 pylock.toml Lockfile 실험적 지원을 통한 의존성 결정론적 설치 환경 구축
  • pip install -r 인터페이스를 확장하여 Lockfile 기반의 일관된 빌드 재현성 확보
  • .tar.gz 아카이브 오인식 및 Deferred Import 취약점 해결을 위한 내부 파싱 로직 수정
  • urllib3 2.6.3 업데이트를 통한 HTTP 통신 계층의 보안 CVE 패치 적용

실천 포인트

1. CI/CD 파이프라인의 pip install 명령어에 `--uploaded-prior-to=P7D` 옵션 적용 검토

2. PEP 751 표준 `pylock.toml` 도입을 통한 개발-운영 환경 간 의존성 일치 여부 확인

3. Cooldown 적용 시 긴급 보안 패치 누락 방지를 위해 `pip-audit` 또는 `Dependabot` 병행 운용

태그

#Supply Chain Attack#PEP 751#Dependency Cooldown#PyPI#Lockfile
원문 읽기