getcommit.dev에 OpenSSF Scorecard를 추가했더니, 결과가 두 가지 다른 이야기를 보여준다.
(dev.to)
OpenSSF Scorecard와 getcommit.dev의 지표를 비교 분석한 결과, 기존 npm audit이 놓치는 계정 탈취 및 파이프라인 취약점을 방어하려면 프로세스 보안과 행점 기반 위험을 동시에 모니터링하는 구조적 접근이 필요합니다.
이 글의 핵심 포인트
- 1npm audit은 계정 탈취나 구조적 위험(Single publisher)을 감지하지 못함
- 2OpenSSF Scorecard는 코드 리뷰, 브랜치 보호 등 '개발 프로세스'의 보안성을 측정함
- 3