의존성 보안이 처음이신가요? CVE, SBOM, 노출, Fix with Agent, Republish, Auto-Protect 정의는 보안 개념을 참조하세요.
npm install이나 pip install과 같은 설치 명령을 실행하면 요청이 먼저 Package Firewall을 통과합니다. 안전한 패키지는 평소대로 설치되어 차이를 느끼지 못합니다. Socket이 악성 또는 손상된 것으로 표시한 패키지는 어떤 코드도 환경에 도달하기 전에 차단됩니다.
Package Firewall은 모든 빌더에게 기본적으로 활성화되어 있으며 설정이나 마이그레이션이 필요 없습니다. 신규 및 기존 앱 모두를 보호하며 설정할 항목이 없습니다.
설치 시점 보호가 중요한 이유
대부분의 공급망 도구는 패키지가 이미 설치된 훨씬 나중인 게시 시점에만 의존성을 스캔합니다. 일반적인 취약점에는 이것으로 충분할 수 있습니다. 악성 코드는 다릅니다: 설치되는 즉시 피해를 입힙니다 — 비밀을 탈취하고, 백도어를 열거나, 환경 변수를 유출합니다. 게시 시점 스캔이 이를 표시할 때쯤이면 공격은 이미 실행된 후입니다. Package Firewall은 그 창을 닫습니다. 악성 패키지가 다운로드되기 전에 차단함으로써 악성 코드 한 줄도 실행되기 전에 공격을 막습니다.작동 방식
- 사용자 또는 Agent가
npm install <package>또는pip install <package>와 같은 설치 명령을 실행합니다. - 요청이 Package Firewall을 통과하며 Socket의 위협 인텔리전스로 패키지를 확인합니다.
- 패키지가 안전하면 설치가 차이 없이 정상적으로 실행됩니다.
- 패키지가 악성이거나 손상된 경우, 어떤 코드도 환경에 도달하기 전에 설치가 차단됩니다.
지원되는 패키지 매니저
Package Firewall은 다음 환경의 설치를 보호합니다:- JavaScript — npm, yarn, pnpm
- Python — pip
- Go — Go modules
Package Firewall이 잡아내는 것
Package Firewall은 노골적인 악성 코드와 그렇지 않으면 합법적인 패키지의 손상되거나 알려진 취약 버전 모두를 차단합니다 — 널리 사용되는 패키지 포함. 이러한 취약점 중 많은 것은 패키지를 추천하는 모델의 학습 데이터 컷오프 이후에 공개되었으므로, 모델은 학습 데이터에서 안전했지만 이후 표시된 의존성 버전을 자신 있게 제안할 수 있습니다. 이러한 위험에는 업계 명칭이 있습니다:- 타이포스쿼팅 —
requests대신reqeusts처럼 실제 패키지와 한 키 차이 나는 이름의 악성 패키지. 잘못된 패키지를 요청하면 악성 코드를 다운로드합니다. - 슬롭스쿼팅 — 모델이 존재하지 않는 패키지 이름을 환각하고, 공격자가 해당 이름을 등록한 후 다음 에이전트가 설치할 때를 기다립니다.
- 오래된 추천 — 모델이 학습 컷오프 이전에 안전했기 때문에 추천하는, 공개된 취약점이 있는 실제 패키지.
Package Firewall이 Replit의 다른 보안 도구와 연계되는 방법
Package Firewall은 세 가지 보완 레이어 중 하나입니다. 각각 앱 수명 주기의 다른 시점을 보호하므로 하나를 선택하는 것이 아니라 함께 사용하세요.| 레이어 | 실행 시점 | 역할 |
|---|---|---|
| Package Firewall | 설치 시점 | 악성 및 손상된 패키지가 다운로드되기 전에 차단(예방). |
| 자동 의존성 스캔 | 설치 후, 지속적으로 | 설치된 의존성에서 새로 공개된 CVE를 감지하고, 선택적으로 Agent가 준비한 패치를 제공합니다. 프로젝트 보안 센터 참조. |
| Security Agent | 게시 전 | 코드, 의존성, 개인정보 보호 취약점에 대해 전체 코드베이스를 감사합니다. Agent 보안 스캔 참조. |
다음 단계
- 프로젝트 보안 센터에서 단일 프로젝트의 결과를 검토하세요.
- 워크스페이스 보안 센터에서 모든 프로젝트의 의존성을 감사하세요.
- 보안에 대한 Replit의 접근 방식은 How Replit Secures AI-Generated Code를 참조하세요.