Hacker News 의견

요약:

• 오픈소스 프로젝트 관리자로서, 새로운 기여자의 PR에 대해 더 의심하게 됨
  • 표면적으로는 양호해 보이지만, 은밀한 의도가 있을 수 있음을 염두에 둠
• 오랜 기간 동안 기능이 추가되면서 소프트웨어가 매우 복잡해짐
  • 소수의 사람만이 이해할 수 있을 정도로 코드가 인식하기 어려워짐
  • 경험 많은 개발자들이 은퇴하면 많은 부분을 이해하지 못하게 될 것임
• 대형 프로젝트의 관리자 변경사항에 대한 보고 시스템이 필요함
  • 버전/릴리스와 함께 npm.js나 Debian 패키지 등에 동기화되어야 함
  • 유럽 은행의 사례처럼, 여러 국가의 기관이 감시할 수 있어야 함
• Eve Online 게임에서처럼, 가치 있는 기여자가 되어 신뢰를 얻은 후 배신하는 과정을 경계해야 함
• 2FA/MFA는 자체 호스팅된 시스템에서만 사용해야 함
  • 서드파티 시스템에서는 2차 인증 수단을 잃으면 영구적으로 잠길 수 있음
  • 프로젝트를 직접 호스팅해야 통제력을 잃지 않음
• 포용성과 장기적 보안 사이의 난처한 논의가 오픈소스에서 일어날 것임
  • 이란, 러시아, 중국 등 일부 국가 출신 개발자들은 이미 의심을 받고 있음
  • 포크하여 동맹국과 함께 기여하는 것이 더 나은 선택일 수 있음
  • 적대국은 라이선스나 저작권 문제에 구애받지 않고 원본의 변경사항을 병합할 수 있음
• 각 프로젝트는 자체적인 기준을 세워야 하며, 유지보수되지 않는 종속성은 신속히 제거해야 함
  • 프로젝트의 민감도를 평가하는 것도 고려해볼 만함
• XZ 공격 이후, 이런 공격이 얼마나 흔할지 생각해 봄
  • 오픈소스가 폐쇄형 소프트웨어에 비해 더 취약할 수 있음
  • 누구나 코드를 작성할 수 있고 악의적인 동기가 있기 때문
• 기존 오픈소스 프로젝트의 행동을 소급해서 살펴보는 것은 어려울 것으로 보임
• 단순한 아키텍처와 코딩 표준 개선에 집중해야 한다고 오랫동안 주장해 왔음
  • 하지만 사람들은 TypeScript, React 등을 사용하면서 불필요한 종속성을 늘리고 있음
  • 적들은 우리의 무지와 순진함을 비웃고 있음
  • 전체 산업, 심지어 정치 시스템까지 타협되었을 수 있음
• 사람들은 최소한의 코드와 종속성을 가진 프로젝트를 찾았어야 함
  • 깨끗한 프로젝트는 관심과 기회를 박탈당하고, 과도하게 설계된 프로젝트가 전면에 나섬
  • 이제 그들은 악의적 행위자들의 쉬운 표적이 되었음
  • 복잡성 속에 취약점을 숨기는 것은 너무나 쉬운 일임