[Git] Security Vulnerabilities (보안 문제 해결)

 

🎯 Goal

• 프로젝트 라이브러리에 존재하는 보안 취약성을 해결할 수 있다.
• npm의 모든 패키지를 간단하게 최신화하는 방법을 안다.

 

⚠️ 문제 상황

github로 부터 자꾸 gmail 로 메일이 날아왔다.

6개월 전에 배포해놓은 프로젝트에 대해 경고 알림을 보내왔는데

"에이 뭐 문제있겠어?" 하다가 자꾸 알림오는게 짜증나서라도 대체 뭔가? 하고 살펴봤다.

 

Dependabot 이라고 하는 git 의 오토봇이 CVE에 등록된 취약점이 존재하는 라이브러리 버전을 사용중인지 자동 탐색하고, 취약점 발견시 해당 리포지토리 사용자에게 알림 메일을 보낸다.

lodash 라이브러리 구버전에서 Command injection 취약점이 발견되었다.

 

---

문제와 해결방안을 한줄로 정의해보겠다.

"네가 쓰고 있는 라이브러리 구버전에서 취약점이 발견되었으니, 최신버전으로 업데이트해!"

---

CVE (Common Vulnerabilities and Exposures) 

공개적으로 알려진 보안 취약성

기업과 기관이 보안 강화에 사용할 수 있는 무료 코드를 만들기 위해 시작한 프로그램으로 

해커가 악용할 수 있는 취약점에 대해 무료 공개한다.

 

🔗 CVE란??

 

 

---

💊 해결 방안

node.js + npm 기반의 백엔드 프로젝트, '라이브러리(패키지) 최신화' 간단하게 할 수 없을까?

물론 `npm update` 명령어를 쓸 수도 있겠지만 수많은 패키지를 하나하나 입력하기 귀찮지 않은가?

누군가 개발자의 성장은 게으름->귀차니즘 해결이라고했다.

 

혹시 누군가 이 귀차니즘을 해결할 툴을 만들어 놓지 않았을까?

 

github.com/raineorshine/npm-check-updates

raineorshine/npm-check-updates

역시나~ 

npm-check-updates

`package.json` 에 등록된 dependencies 라이브러리들의 최신버전이 존재하는지 명령어 한줄로 체크하고, 자동 업데이트까지 해주는 고마운 툴이다.

설치후 다음 명령어 한줄이면 된다.

ncu -u

 

---

📝 조치 결과

package.json update 결과

---

🔧 lodash 를 포함한 모든 패키지가 최신버전으로 업데이트 되었고, 더 이상 보안 알림이 뜨지 않았다.

---