esbuild 주간 다운로드 1억 9천만 건, 유지보수 담당자는 1명 – 25개의 최고 npm 패키지 감사 결과
(dev.to)
수억 건의 다운로드를 기록하는 주요 npm 패키지들이 단 한 명의 유지보수자에 의존하고 있다는 감사 결과는 공급망 공격의 치명적 위험을 경고하며, 개발 생태계의 보안 강화를 위해 패키지의 구조적 건강도를 평가하는 새로운 전략 도입이 시급함을 강조합니다.
이 글의 핵심 포인트
- 1esbuild(주간 1.9억 건), chalk(주간 4.1억 건) 등 초거대 패키지의 유지보수자가 단 1명인 'CRITICAL' 리스크 발견
- 2npm audit은 알려진 CVE만 탐지할 뿐, 유지보수자 부재나 단일 장애점 같은 '구조적 위험'은 감지하지 못함
- 3