Obsidian 플러그인의 미래

 (obsidian.md)
1P by GN⁺ 1시간전 | ★ favorite | 댓글 1개
  • Obsidian Community가 플러그인·테마용 새 디렉터리와 개발자 대시보드로 출시되어 제출, 관리, 발견, 사용 흐름을 통합함
  • 2020년 Obsidian API 공개 이후 커뮤니티 플러그인·테마가 4,000개 이상 만들어졌고, 플러그인 다운로드는 1억 2천만 회를 넘김
  • 새 디렉터리는 브라우징·검색·필터링·정렬을 제공하며, 프로젝트 페이지에 스크린샷, 세부 정보, 안전성 점수표를 표시함
  • 자동 리뷰가 모든 버전에 적용되어 개발자 정책 준수, 코드 품질, 알려진 취약점과 악성코드 가능성을 검사함
  • 기존 프로젝트는 새 시스템으로 이전되며, 최신 기준을 통과하지 못하는 플러그인·테마는 임시 예외 뒤 공식 디렉터리에서 단계적으로 제외될 예정임

Obsidian Community 출시

  • Obsidian Community는 Obsidian 플러그인과 테마를 위한 새 디렉터리이자 개발자 대시보드로 출시됨
  • 2020년 Obsidian API 공개 이후 커뮤니티 플러그인과 테마는 4,000개 이상 만들어졌고, Obsidian 플러그인은 총 1억 2천만 다운로드를 넘김
  • 목표는 누구나 플러그인과 테마를 더 쉽고 안전하게 만들고, 배포하고, 발견하고, 사용할 수 있게 하는 것임
  • 이번 출시는 Community 사이트, 개발자 대시보드, 자동 리뷰, 플러그인 안전성, 팀용 도구를 함께 도입하는 더 큰 계획의 시작임

Community 사이트와 개발자 대시보드

  • Community 사이트는 플러그인과 테마 탐색을 위해 브라우징, 검색, 필터링, 정렬을 제공함
  • Integrations, Bases, Charts 등 수십 개 카테고리와 더 많은 카테고리로 플러그인을 찾을 수 있음
  • 프로젝트는 이름, 다운로드 수, 인기, 릴리스 날짜, 업데이트 날짜 기준으로 정렬 가능함
  • 각 프로젝트 상세 페이지에는 스크린샷, 세부 정보, 안전성 점수표가 포함됨
  • 유료 플러그인과 공식 통합에는 새 라벨이 표시됨
  • 작성자는 프로필 페이지에 후원 옵션, 웹사이트 링크, 소셜 미디어 링크를 추가할 수 있음
  • Obsidian Community 사이트는 작성자가 프로젝트를 제출, 관리, 상태 추적할 수 있는 새 개발자 대시보드를 제공함
  • 기존에 GitHub를 통해 추가된 모든 플러그인, 테마, 대기 중인 제출물은 새 사이트로 자동 이전됨
  • 기존 프로젝트 소유권을 주장하려면 Community 사이트에 로그인하고 GitHub 계정을 연결해야 함
  • GitHub 계정을 연결하면 기존 프로젝트 관리, 새 프로젝트 제출, 프로필 페이지 편집이 가능함

자동 리뷰와 안전성

  • 모든 커뮤니티 프로젝트에 자동 리뷰가 도입됨
  • 새 자동 리뷰 시스템은 최초 제출뿐 아니라 모든 버전을 보안과 코드 품질 기준으로 스캔함
  • 기존에는 소규모 팀이 최초 제출물을 수동 검토해 Developer Policies 준수 여부를 확인했지만, Obsidian 인기가 커지면서 제출 속도를 따라가기 어려웠고 이후 버전은 리뷰되지 않았음
  • 코딩 에이전트가 플러그인 생성을 가속하면서 리뷰 대기열은 더 길어졌고, Obsidian CLI 같은 도구로 플러그인 생성은 더 쉬워지고 있음
  • 플러그인이나 테마가 제출되면 자동 리뷰 시스템이 개발자 정책 준수, 소스 코드 모범 사례 준수, 알려진 취약점 부재를 확인함
  • 자동 테스트를 지속적으로 개선할 수 있어 Obsidian 생태계의 품질과 안전성을 더 포괄적으로 높일 수 있는 기반이 됨
  • 수동 리뷰는 계속됨. 새 시스템 덕분에 인기 플러그인, 추천 플러그인, 커뮤니티가 표시한 이슈처럼 더 깊은 검토가 필요한 플러그인에 역량을 집중할 수 있음
  • 기존 플러그인과 테마는 새 시스템으로 다시 리뷰되었고, 최신 지침을 충족하지 못하는 오래된 플러그인과 테마가 발견됨
  • 최신 기준을 통과하지 못한 기존 프로젝트에는 임시 예외가 부여되지만, 새 리뷰 절차를 통과하지 못하는 모든 플러그인과 테마는 결국 공식 디렉터리에서 단계적으로 제외될 예정임
  • 새 시스템은 최근 며칠 동안 2,300개 이상의 대기 중인 제출물을 처리했으며, 플러그인 리뷰를 기다리던 개발자는 Community 사이트에 로그인해 현재 상태를 확인할 수 있음

  • 자동 스캔

    • 모든 버전은 코드 품질과 보안 취약점 검사를 자동으로 받음
    • 플러그인에 잠재적으로 악성인 추가 사항이 있는지 탐지하는 악성코드 스캔도 포함됨
    • 개발자는 개발자 대시보드에서 각 프로젝트별 상세 제안, 경고, 실패 플래그를 볼 수 있음

  • 점수표

    • 사용자와 개발자는 모든 프로젝트의 점수표에서 자동 검사 상태를 확인할 수 있음
    • 점수표는 공개 정보, 개인정보 라벨, 아티팩트 증명, 수동 리뷰 결과, 앱 기능 채택 여부를 통합하면서 계속 개선될 예정임

  • 접근 범위 공개

    • 앞으로 몇 달 동안 플러그인과 작성자에 대한 투명성이 더 높아질 예정임
    • 플러그인은 네트워크, 파일 시스템, 클립보드, 기타 기능 등 무엇에 접근하는지 선언하게 됨
    • 사용자는 플러그인을 설치하기 전에 이런 공개 정보를 확인할 수 있게 됨

  • 검증된 작성자

    • 추가 검증 단계를 통과하고 양호한 상태를 유지하는 신뢰할 수 있는 개발자에게 라벨이 추가됨
    • 사용자는 보안 문제를 언제든 Obsidian 팀에 직접 신고할 수 있음

팀과 앱 차원의 변화

  • Obsidian을 사용하는 팀은 이미 사용자 대상 안전 제어를 배포할 수 있음
  • 앞으로 몇 달 동안 팀은 허용할 커뮤니티 플러그인을 더 쉽게 관리하고, 팀원에게 비공개 플러그인을 배포할 수 있게 될 예정임
  • 공식 Obsidian 플러그인을 배포하는 팀은 Community 디렉터리의 Official 배지를 신청할 수 있음
  • 플러그인이 자격을 갖춘 경우 연락할 수 있음
  • Community 디렉터리와 자동 리뷰 시스템 개선과 함께, Obsidian 앱과 API에도 발견성과 안전성을 높이는 변경이 이뤄질 예정임
  • 커뮤니티 생태계는 Obsidian의 재미있고 강력한 요소 중 하나이며, 계속 성장하는 데 필요한 기반을 제공하려는 방향임
  • Obsidian Community에서 피드백을 받을 예정임

사용자와 개발자를 위한 주요 변경

  • 사용자에게 미치는 영향

    • Community 사이트에서 플러그인과 테마를 탐색할 수 있음
    • 리뷰 시간이 크게 줄어들어, 얼리 액세스 플러그인을 수동 설치해야 하는 경우가 줄어들 수 있음

  • 새 플러그인이나 테마 제출

    • Community 사이트에 로그인해 새 개발자 대시보드에 접근함
    • GitHub 계정을 연결하고 제출할 저장소를 선택한 뒤 대시보드의 단계를 완료함
    • 제출 즉시 프로젝트 리뷰가 시작되며, 일반적으로 몇 분 안에 리뷰 결과를 볼 수 있음
    • 프로젝트가 통과하면 24시간 안에 앱에서 검색하고 다운로드할 수 있게 됨

  • 기존 플러그인과 테마 소유권 주장

    • Community 사이트에 로그인해 새 개발자 대시보드에 접근함
    • GitHub 계정을 연결하면 플러그인 소유권을 주장하고 제목, 설명, 스크린샷을 업데이트할 수 있음

  • 개발자 대시보드 없이 업데이트 가능 여부

    • GitHub를 통해 새 버전을 계속 릴리스할 수 있음
    • 새 릴리스는 자동 리뷰되며, 리뷰를 통과하지 못하면 개발자 대시보드에서 상세 내용을 확인해야 함

  • 자동 리뷰에 실패한 플러그인과 테마

    • 새 플러그인과 테마는 디렉터리에 추가되고 검색 가능해지기 전에 자동 리뷰를 통과해야 함
    • 각 새 버전은 스캔되며, 리뷰를 통과하지 못하면 24시간 안에 검색에서 제거됨
    • 기존에 승인된 플러그인과 테마는 자동 리뷰에 실패하더라도 당분간 계속 사용할 수 있음
    • 오래된 플러그인에도 결국 새 기준 충족을 요구할 예정이지만, 아직 기한은 정해지지 않았고 커뮤니티 개발자와 함께 전환을 정할 예정임

  • 릴리스 제출 없이 자동 리뷰 실행

    • eslint plugin으로 Obsidian 플러그인을 공식 개발자 지침에 맞춰 로컬에서 검사할 수 있음
    • 개발자 대시보드에서 임의의 브랜치, 태그, 커밋에 대해 미리보기 스캔을 실행할 수 있음

  • 공동 유지보수자와 조직 저장소

    • 현재 Obsidian Community에서는 GitHub 저장소 소유자만 해당 프로젝트를 편집할 수 있음
    • 조직 저장소는 조직 멤버십이 공개되어 있으면 소유권 주장과 편집이 가능함
    • 가까운 미래에 여러 협업자 지원이 추가될 예정임

  • 비공개 소스 플러그인

    • 현재 새 비공개 소스 플러그인은 디렉터리에 받지 않음
    • 기존 비공개 소스 플러그인은 추가 공지가 있을 때까지 계속 사용할 수 있음
    • 향후 새 리뷰 시스템을 비공개 소스 플러그인에 맞게 조정하는 방안을 검토할 예정임

  • 계정과 GitHub 요구사항

    • 새 개발자 대시보드에 접근하려면 Obsidian 계정이 필요함
    • 현재는 GitHub 사용이 필요하며, 향후 다른 소프트웨어 호스팅 플랫폼 추가를 검토할 예정임
    • GitHub 로그인은 사용자 이름과 공개 저장소 목록을 공유하고, 이 정보는 저장소 소유권 확인에만 사용됨

  • Paid와 Optional payments 라벨

    • Obsidian Community는 스토어가 아니며 내장 결제 솔루션을 제공하지 않음
    • 개발자는 라이선스 키, API 키, 로그인 게이트 같은 외부 결제 메커니즘을 계속 사용할 수 있음
    • 개발자는 플러그인을 세 가지 범주 중 하나로 정확히 표시해야 함
    • Free는 어떤 형태의 결제도 없고 유료 서비스와도 전혀 연결되지 않은 플러그인을 뜻하며, 기부 링크와 후원 링크는 허용됨
    • Optional payments는 사용자가 추가 기능을 열기 위해 선택적으로 결제할 수 있거나, 플러그인이 유료 서비스에 연결되는 경우를 뜻함
    • 플러그인이 유료 서비스나 API에 연결된다면 해당 서비스에 무료 티어가 있어도 Optional payments로 표시해야 함
    • Paid는 무료 체험을 제공하더라도 주요 기능을 사용하려면 사용자가 반드시 결제해야 하는 경우를 뜻함
    • 이 라벨은 플러그인 개발자가 결제를 수집하는지 여부가 아니라 사용자가 어떤 결제를 예상해야 하는지를 나타냄

  • 점수표 오류와 문의

    • 점수표는 새 기능이라 오류가 있을 수 있고, 거짓 양성이나 거짓 음성이 발생할 수 있음
    • 부정확한 내용을 발견하면 Obsidian Discord 서버#plugin-dev 채널로 연락해야 함
    • 질문이나 우려가 있으면 Obsidian Discord 서버#plugin-dev 채널로 연락할 수 있음

함께 보면 좋은 글 β

GN⁺ 1시간전  [-]
Hacker News 의견들
  • Obsidian CEO임. 새 Community 사이트와 리뷰 시스템을 출시하려고 거의 1년 동안 작업해 왔고, 이번 첫 버전이 매우 기대되지만 앞으로 개선할 것이 더 많음
    블로그 글, FAQ, 로드맵의 다음 단계까지 최대한 빠짐없이 쓰려 했지만 놓친 부분도 있을 테니 질문해도 좋음
    7명뿐인 팀이 수천 명의 플러그인 개발자와 수백만 사용자를 상대해야 해서, 서로 충돌하는 우선순위를 균형 있게 맞추는 일이 매우 어려웠음
    새 시스템은 쉽게 도입 가능하고, 하위 호환성을 유지하며, 기존 작업 흐름을 완전히 깨지 않으면서도 예전 방식보다 크게 나아져야 했고, 플러그인의 보안성과 발견 가능성을 점진적으로 높일 수 있어야 했음
    아직 진행 중인 작업으로 봐 주면 좋겠고, 아이디어와 불만을 듣고 계속 반복 개선하겠음
    • 여러 프로젝트에 플러그인을 붙여 왔고, 프로젝트가 특정 버전을 검토 완료·신뢰 가능으로 표시하는 구조를 도입해 볼까 생각한 적이 있음
      망설였던 이유 중 하나는 엄청난 시간 투자도 있지만, 사람들이 그 리뷰 절차에 의존하게 된 뒤 난독화된 악성 코드가 통과하면 이후 공격의 책임이 프로젝트에 돌아올까 두려웠기 때문임
      이 부분을 어떻게 보고 있는지 궁금함
      내게는 Debian/Ubuntu처럼 저장소 안의 모든 것을 엄격히 검토하는 방식과, 검토 보장을 전혀 하지 않는 PyPI/npm 방식의 차이처럼 느껴짐
    • 공개 정보에서 “플러그인이 외부 도메인 1곳에 요청할 수 있음”을 누르면 실제 도메인인 github.com이 보이는 점이 좋음
      예시는 https://community.obsidian.md/plugins/zotlit에서 볼 수 있음
    • 자동 스캔 시스템이 권한 범위 확장이나 네트워크 도메인 접근 변화를 내부/사람 리뷰 대상으로 표시하는지 궁금함
      예를 들어 AI 요약 플러그인이 처음에는 사용자가 제공한 OpenAI 키로 url="api.openai.com"+path에 접근한다고 하면 아주 흔한 형태일 것이고, 커뮤니티가 여기서 만들 것들이 기대됨
      그런데 업데이트 후 사용자가 OpenAI 호환 API로 임의의 엔드포인트를 고를 수 있게 된다면, 그 유연성을 악용해 스캔을 우회하는 네트워크 유출 경로를 만들고 악성 엔드포인트를 은근히 미리 채워 넣는 업데이트가 아니라는 것을 어떻게 보장할 수 있을까?
    • Obsidian 팀이 훌륭한 일을 했음. Obsidian Sync 사용자로 계속 남을 생각이고, 커뮤니티 플러그인을 더 안심하고 쓰게 되길 기대함
    • 드디어 나왔음
      Obsidian을 써 봤을 때 데이터 테이블 기능이 기본 내장이 아니라 전체 접근 권한을 가진 플러그인이라는 걸 알고 바로 지웠음
      그런데 팀이 7명뿐이라니 놀라움
  • 잘 모르는 사람들을 위해 말하자면, 지금까지는 수동 리뷰 때문에 새 플러그인 제출이 사실상 불가능에 가까웠음. AI로 플러그인 작성이 쉬워지고 재미있어진 영향도 있음
    개발자 커뮤니티의 불만은 점점 커졌고, 팀도 부하에 지쳐 가고 있었음
    그래서 팀에 축하를 보냄. 거대한 확장성 병목이 풀린 셈이고, 이들이 만들고 확장해 가는 과정을 보는 것이 꽤 멋짐
    • 추천할 만한 멋진 플러그인이 있나? OneNote에서 넘어오고 동기화까지 설정한 뒤 이제야 편해지고 있음
  • Obsidian을 쓰지는 않지만, 제목을 봤을 때는 기업이 승인한 소수 플러그인으로 제한하려는 건가 싶었음
    소프트웨어 회사가 “XYZ의 미래” 같은 제목을 쓰면 대개 XYZ를 심하게 제한하거나 종료 준비를 한다는 뜻으로 기대하게 됨
    • 어느 지점에서 엔시티피케이션이 드러날지 궁금했음
  • 자동 검사만으로 플러그인이 악성인지 안정적으로 판단할 수 있을지는 확신이 안 듦
    플러그인 보안 문제를 푸는 최선의, 어쩌면 유일한 방법은 명시적 API와 권한 시스템을 갖춘 샌드박스라고 봄
    • “명시적 API와 권한 시스템을 갖춘 샌드박스가 필요하다”는 말에 더해, 특히 내 개인 데이터에 손대지 못하게 해야 한다고 말하고 싶음. 다만 Obsidian 플러그인의 핵심이 문서를 읽고 쓰는 것이라는 점이 문제임
      하지만 인터넷과 통신할 수 없다면 큰 문제는 없어 보이기도 함
      추가로 보니 JavaScript와 Electron 구조상 Obsidian 플러그인은 전역 범위에서 실행되는 JavaScript 덩어리이고, 사용자 권한이 허용하는 범위 안에서 전체 파일 시스템을 읽고 쓰며 HTTP 요청도 만들 수 있는 듯한데, 맞는지 확인해 줄 수 있나?
    • 자체 악성 코드를 막아 주지는 못하지만, 의존성이 최신으로 유지되는지, 알려진 CVE가 들어 있는지 판단하는 데는 꽤 도움이 될 수 있음. Trivy가 하거나 Artifacthub가 강조하는 방식과 비슷함
      다만 이 생태계에서 실제로 얼마나 잘 작동할지는 궁금함. 경험상 전면적인 스캔은 거짓 양성, 즉 CVE는 있지만 실제 사용 맥락에는 적용되지 않는 경우가 꽤 나오기 쉬움
      그래서 스캔 결과를 올바르게 해석하려면 지식이 필요하고, 이는 유지관리자에게 상당한 부담으로 이어질 수 있음
    • 블로그 글을 읽어 보면 됨. 자동 스캔과 팀용 제어 기능에 더해 권한 시스템도 계획되어 있음
      권한만으로는 특정 악성 행동을 막을 수 없기 때문에 모두 필요함
      Community 사이트의 점수표 몇 개만 봐도, 일부 경고는 권한 시스템이나 샌드박싱으로 잡을 수 없는 것임을 금방 알 수 있음
      블로그 글에 출시 방식의 세부 내용이 있고, 플러그인 API 변경이 필요하므로 단계적으로 진행될 예정임
    • 당연히 기존 플러그인과 호환되지는 않을 테니, 레거시 플러그인과 새 플러그인을 분리하고 레거시 플러그인 설치에는 마찰을 많이 넣은 뒤 언젠가 폐기하는 식으로 가겠음
    • Podman/Linux에도 API와 권한 시스템이 있지만 그래도 Copy Fail이 있었음: https://garrido.io/notes/podman-rootless-containers-copy-fai...
      보안과 권한 부여는 그냥 어렵고, 플랫폼을 설계하다 보면 어느 시점에는 유연성을 위해 그 위험을 감수할 가치가 있는지 스스로 물어야 함
      완벽히 안전한 시스템을 계획하는 것은 가망 없는 일임
  • 매우 흥미로움. 자동 플러그인 리뷰가 작은 팀에서도 가능하다는 현실 세계의 증거임
    언젠가는 내 프로젝트에도 비슷한 시스템을 구현하는 법을 배워야 할 듯함
    • 일단 어떻게 흘러가는지 지켜보는 편이 나을 수 있음. 이건 고양이와 쥐의 게임이고, 여기서 쥐들이 훨씬 더 똑똑함
      데이터 유출은 조용히 일어남
  • 소비자 입장에서 점수표를 어떻게, 왜 봐야 하는지 모르겠음
    오류와 린터 경고 목록이 잔뜩 있으면 나는 무엇을 해야 하나?
    사용자 쪽의 이상적인 흐름이 궁금함. 점수표는 개발자 쪽에서는 좋아 보임
  • 이런 업데이트가 나와서 반가움
    이런 종류의 커뮤니티 기여를 관리하는 건 어려운데, 큰 진전으로 보임
  • 플러그인 가용성, 특히 내 경우 selfhosted-livesync가 줄어들지만 않는다면 좋아 보임
    이런 자동 리뷰에 AI가 맡을 역할이 있을지도 궁금함. 꽤 유망한 활용 사례처럼 보임
  • 아주 멋짐. 다만 웹사이트가 다크 모드 전용이라 난시가 있는 사람에게 읽기만 더 어렵게 만든다는 점은 아쉬움
    • Firefox의 읽기 모드는 한 번 클릭으로 흰 배경에 어두운 글자를 보여 줌. 아마 다른 브라우저도 비슷한 기능이 있을 것임
    • Obsidian이 검은색이라서 그럼. 그래도 가까운 미래에 라이트 모드를 추가할 계획임
    • 매우 드문 형태의 난시라는 뜻인가? 30년 넘게 난시가 있었지만 이 사이트는 아무 노력 없이도 완벽히 읽을 수 있음
  • 플러그인을 로컬에 더 쉽게 설치할 수 있으면 좋겠음. 정말 폴더에 복사해 붙여넣기만 하면 되어야 함
    Obsidian이 독점 소프트웨어가 아니었다면 직접 바꿨을 것임
    누군가 호환 클론을 만들 때가 됐음
    • 이미 정확히 그렇게 동작함. 플러그인은 그냥 볼트 안의 .obsidian/plugins 폴더에 복사할 수 있는 폴더일 뿐임
    • 말 그대로 .obsidian/plugins/ 디렉터리에 붙여넣기만 하면 됨
답변달기