모니터링 서비스로 유명한 데이터독에서 흥미로운 오픈소스를 발표하였습니다! PyPi package에서 정적 코드 분석을 통해 의심스로운 부분들을 찾아내주는 정적 분석기인데요.
pip로도 다운 가능하며 docker image로도 제공중이니 local 혹은 ci단에서도 간단히 추가해 볼 수 있을것 같습니다!
최근에 올라온 블로그를 보면 이 guarddog을 이용하여 python web framework FastAPI용 util 패키지인 `fastapi-toolkit` 에서 백도어 코드를 찾아내었다는 블로그가 올라와있습니다. (FastAPI 공식 아님 주의!!!!) https://securitylabs.datadoghq.com/articles/malicious-pypi-package-fastapi-toolkit/
기존에는 그저 util성 패키지였지만 중간에 SQL 공격을 할수 있는 기능을 추가하여 특정 버전 위의 패키지를 사용할 경우, http 요청을 통해 공격을 받을 수 있다는 내용인데요. 사실 프로젝트가 커지면 커질수록 dependency 그것도 이미 오래전부터 잘 쓰고 있엇던 dependency에 대해서는 다시 확인하기가 어려운 것이 현실인 것 같습니다.
이러한 guarddog과 같이 악성 패키지를 간편하게 탐지할수 있는 툴이 있다면 적극적으로 사용하여 우리의 서비스를 안전하게 지키는 것이 중요할것 같습니다.