Security Notes — 보안 설정 및 조치
보안 관련 설정 및 조치 사항 기록
Package Management — 패키지 업데이트 주기
Why Limit Update Frequency?
새로운 패키지 버전은 보안 패치를 포함할 수 있지만, 동시에:
- 알려지지 않은 취약점이 포함될 수 있음
- 호환성 문제 발생 가능
- 서플라이체인 공격 위험
업데이트 주기를 제한하면:
- 안정성 향상
- 보안 리스크 관리
- 신뢰할 수 있는 업데이트만 적용
npm Configuration
2주 업데이트 주기 설정
cat ~/.npmrc
min-release-age=14설명:
min-release-age=14— 14일(2주) 이상 된 릴리스만 허용- 새로운 패키지 버전이 나와도 2주 동안 업데이트 방지
- 2주 후 보안 패치와 호환성이 검증된 버전 사용
설정 방법:
echo "min-release-age=14" >> ~/.npmrcuv Configuration
2주 업데이트 주기 설정
cat ~/.config/uv/uv.toml
exclude-newer = "14 days"설명:
exclude-newer = "14 days"— 14일 이상 지난 버전만 사용- 최신 버전이 나와도 2주 동안 업데이트 방지
- 시간이 지나 안정화된 버전 사용
설정 방법:
mkdir -p ~/.config/uv
echo 'exclude-newer = "14 days"' >> ~/.config/uv/uv.tomlBest Practices
업데이트 전 체크리스트
- 변경 로그 확인 (
npm view <package>) - 취약점 스캔 (
npm audit,uv pip audit) - 테스트 통과 확인
- 롤백 계획 수립
긴급 보안 패치
CVSS 점수 9.0+ 또는 Critical 취약점:
# 임시로 업데이트 주기 우회
npm install <package>@latest --force
# 또는
uv pip install --index-url <url> <package> --upgrade업데이트 후 원래 설정으로 복원.
Related Resources
- npm Configuration Documentation
- uv Configuration Documentation
- NVD — National Vulnerability Database
Added: 2026-03-31