최근 JavaScript 생태계에서 faker.js와 colors.js의 메인테이너가 악의적으로 배포된 패키지를 삭제하고 악의적인 무한루프가 포함된 새버전으로 배포하는 일이 발생했습니다. 이일로 촉발된 다양한 논의에 대해 Flask를 만들고 Sentry에서도 일하는 python에서 유명한 Armin Ronacher가 의존성에 대해서 생각을 정리한 글을 번역했습니다. faker.js 같은 일이 벌어지면 오픈소스 메인테이너를 위한 편딩 문제에 대한 얘기가 나오고 있습니다. 어찌보면 재정적으로 충분한 지원을 받을 수 있는다면 이런 일을 줄일 수는 있을 것인데 Armin은 이는 비교적 쉬운 문제이고 본질은 더 어려운 문제라고 얘기하고 있습니다. 우리가 쓰는 의존성 중에는 정말 어려운 문제를 해결한 것들이 많이 있고 이중에 다수는 다른 도구에 감싸져 있어서 개발자들이 이를 사용하는지 조차 모르는 의존성이 많이 있습니다. 더욱이 이런 의존성은 한명의 메인테이너가 유지보수하는 경우가 많습니다. 펀딩도 가치있고 중요하지만 의존성의 가치를 평가하는 것을 더 고민해 보아야 한다고 얘기하는데 생각해 볼 만합니다.

의존성 위험성과 펀딩 :: Outsider's Dev Story

Outsider's Dev Story

의존성 위험성과 펀딩 :: Outsider's Dev Story

2022년 1월 18일 오전 2:51

댓글 0