
종속성 보안이 처음이신가요? CVE, SBOM, 노출도, Fix with Agent, Republish, Auto-Protect의 정의는 보안 개념을 참고하세요.
npm install이나 pip install과 같은 설치 명령을 실행하면 해당 요청은 먼저 Package Firewall을 통과합니다. 안전한 패키지는 평소처럼 설치되며 아무런 차이를 느끼지 못합니다. Socket이 악성 또는 손상된 것으로 표시한 패키지는 어떤 코드도 여러분의 환경에 도달하기 전에 차단됩니다.
Package Firewall은 모든 빌더에게 기본으로 켜져 있으며, 별도로 설정하거나 마이그레이션할 것이 없습니다. 새 앱과 기존 앱을 동일하게 보호하며, 구성할 설정도 없습니다.

설치 시점 보호가 중요한 이유
대부분의 공급망 보안 도구는 패키지가 이미 설치된 지 오랜 시간이 지난 게시 시점에만 종속성을 스캔합니다. 일반적인 취약점이라면 이것만으로도 충분할 수 있습니다. 하지만 악성코드는 다릅니다. 설치되는 즉시 피해를 일으킵니다 — 시크릿을 탈취하거나, 백도어를 열거나, 환경 변수를 유출합니다. 게시 시점 스캔이 이를 감지할 때쯔음이면 공격은 이미 실행된 뒤입니다. Package Firewall은 이 공백을 없앱니다. 악성 패키지가 다운로드되기 전에 차단함으로써, 단 한 줄의 악성 코드도 실행되기 전에 공격을 막습니다.동작 방식
- 여러분이나 Agent가
npm install <package>또는pip install <package>와 같은 설치 명령을 실행합니다. - 요청은 Package Firewall을 통과하며, Socket의 위협 인텔리전스를 기준으로 패키지를 검사합니다.
- 패키지가 안전하면 설치는 눈에 띄는 차이 없이 정상적으로 진행됩니다.
- 패키지가 악성이거나 손상되었다면, 어떤 코드도 환경에 도달하기 전에 설치가 차단됩니다.
지원되는 패키지 관리자
Package Firewall은 다음에 대한 설치를 보호합니다.- JavaScript — npm, yarn, pnpm
- Python — pip
- Go — Go 모듈
Package Firewall이 탐지하는 것
Package Firewall은 순수한 악성코드뿐만 아니라 널리 사용되는 패키지를 포함해 손상되었거나 알려진 취약점이 있는 정상 패키지 버전도 차단합니다. 이러한 취약점 중 다수는 이를 추천하는 모델의 학습 마감 시점 이후에 공개되었기 때문에, 모델은 학습 데이터에서는 안전했지만 이후 문제가 발견된 종속성 버전을 자신 있게 추천할 수 있습니다. 이러한 위험에는 다음과 같은 이름이 붙어 있습니다.- 타이포스쿼트(Typosquats) —
requests대신reqeusts처럼 실제 패키지 이름에서 한 글자만 다른 악성 패키지입니다. 잘못된 패키지를 요청했다가 악성코드를 내려받게 됩니다. - 슬롭스쿼트(Slopsquats) — 모델이 존재하지 않는 패키지 이름을 만들어내고, 공격자가 정확히 그 이름으로 패키지를 등록해 다음 에이전트가 설치하기를 기다리는 방식입니다.
- 오래된 추천(Stale recommendations) — 학습 마감 시점 이전에는 안전했기 때문에 모델이 추천하는, 이후 취약점이 공개된 실제 패키지입니다.
Package Firewall과 Replit의 다른 보안 도구의 관계
Package Firewall은 상호 보완적인 세 계층 중 하나입니다. 각 계층은 앱 생애주기의 서로 다른 시점을 보호하므로, 하나를 선택하기보다는 함께 사용하세요.| 계층 | 실행 시점 | 하는 일 |
|---|---|---|
| Package Firewall | 설치 시점 | 악성 및 손상된 패키지가 다운로드되기 전에 차단합니다(예방). |
| 자동 종속성 스캔 | 설치 후, 지속적으로 | 설치된 종속성에서 새로 공개된 CVE를 탐지하며, 선택적으로 Agent가 패치를 준비합니다. Project Security Center를 참고하세요. |
| Security Agent | 게시 전 | 코드, 종속성, 개인정보 관련 취약점에 대해 전체 코드베이스를 감사합니다. Agent 보안 스캔을 참고하세요. |
다음 단계
- Project Security Center에서 단일 프로젝트의 발견 사항을 검토하세요.
- Workspace Security Center에서 모든 프로젝트의 종속성을 감사하세요.
- Replit의 보안 접근 방식에 대해 더 알아보려면 Replit이 AI 생성 코드를 보호하는 방법을 읽어보세요.