6P by safethecode 24일전 | favorite | 댓글 1개

웹 개발자들에게 널리 사용되었던 Polyfill.io 서비스가 최근 중국 기반의 CDN 기업 'Funnull'에 인수되면서 심각한 보안 및 안정성 문제가 발생하고 있다. Polyfill.io는 Financial Times 웹 팀에 의해 개발된 후, 커뮤니티 관리로 넘어갔다가 최근에는 중국의 CDN 기업에 매각되었다.

트위터에서 Polyfill.io의 원래 창립자인 Andrew Betts는 이번 인수에 대해 우려를 표명했다. 인수 후 Polyfill.io의 도메인은 중국 기반의 서버로 이전되었고, 반환되는 파일들에 문제가 생기기 시작했다. 이에 대한 자세한 내용은 GitHub 이슈 페이지(https://github.com/polyfillpolyfill/polyfill-service/issues/2834)에서 확인할 수 있다.

Funnull은 미국에서 운영되고 있다고 주장하지만, 웹사이트에 주로 간체 중국어가 사용되고 있다는 점에서 이러한 주장에 대한 의문이 제기되고 있다. 또한 Funnull은 이전에 베팅 및 포르노 산업에 서비스를 제공한 이력이 있어 더욱 논란이 되고 있다.

이 인수 이후로 Polyfill.io 서비스는 극도로 불안정해졌으며, 여러 문제가 지속적으로 보고되고 있다(polyfillpolyfill/polyfill-service#2835, polyfillpolyfill/polyfill-service#2838, alist-org/alist#6100). 이에 대응하여 Fastly와 Cloudflare는 Polyfill.io 서비스를 대체할 수 있는 독자적인 인스턴스를 제공하기 시작했다.

Fastly는 무료로 서비스를 제공하는 Fast Forward 프로그램의 일환으로 https://polyfill-fastly.io/ 도메인을 설정해 사용자들이 Polyfill.io에서 벗어날 수 있도록 지원하고 있다. 그러나 이 도메인이 장기적인 해결책이 될 수 있을지는 아직 불확실하다.

이와 같은 상황에서 웹 개발자들은 Polyfill.io를 사용하는 대신 다른 신뢰할 수 있는 소스를 찾아보는 것이 좋다. Polyfill.io의 새로운 운영 방식과 투명성 부족으로 인해 보안 및 안정성 문제가 계속해서 제기되고 있기 때문이다.

https://web.archive.org/web/20240229113710/…
https://web.archive.org/web/20240414034006/…
https://web.archive.org/web/20240227105037/…
링크된 이슈가 모두 삭제된것으로 보입니다.

https://github.com/alist-org/alist/issues/6100
6100 이슈를 보니 폴리필이 필요하지 않은 상황에서 폴리필이 되는게 문제로 보이는데(아마 캐싱 설정을 대충 해둔것 같네요)

https://x.com/triblondon/status/1761852117579427975
창립자 Andrew Betts는 더이상 polyfill이 필요하지 않다 이야기하고 있습니다. 구형 브라우저 지원을 제외하면 사실상 브라우저간 기능차는 거의 없고 있더라도 스크립트 하나로 차이점을 메꿀수 없는 경우인것이 다수라고 주장합니다.