npm package 기여도 점수: zod, 주간 1억 3천9백만 다운로드에 유지보수자는 단 한 명
(dev.to)
주간 수억 회 다운로드되는 zod 등 npm 패키지의 단일 유지보수자 구조가 초래할 공급망 공격 위험을 경고하며, AI와 행동 기반 지표를 활용한 'npm 기여도 점수' 모델로 의존성 보안 리스크를 사전에 식별하는 새로운 평가 방식을 제안합니다.
이 글의 핵심 포인트
- 1zod 패키지는 주간 9억 7천4백만 회 다운로드되지만 단 1명의 유지보수자가 관리하며, npm 기여도 점수는 79/100으로 공급망 공격 위험이 높다.
- 2axios 패키지 역시 주간 6억 7천2백만 회 다운로드되지만 단 1명의 유지보수자가 관리하며, 기여도 점수는 74/100으로 유사한 위험에 직면해 있다.
- 3