🐶 Python 프로젝트를 안전하게 지켜줄 GuardDog

모니터링 서비스로 유명한 데이터독에서 흥미로운 오픈소스를 발표하였습니다! PyPi package에서 정적 코드 분석을 통해 의심스로운 부분들을 찾아내주는 정적 분석기인데요. pip로도 다운 가능하며 docker image로도 제공중이니 local 혹은 ci단에서도 간단히 추가해 볼 수 있을것 같습니다! 최근에 올라온 블로그를 보면 이 guarddog을 이용하여 python web framework FastAPI용 util 패키지인 `fastapi-toolkit` 에서 백도어 코드를 찾아내었다는 블로그가 올라와있습니다. (FastAPI 공식 아님 주의!!!!) https://securitylabs.datadoghq.com/articles/malicious-pypi-package-fastapi-toolkit/ 기존에는 그저 util성 패키지였지만 중간에 SQL 공격을 할수 있는 기능을 추가하여 특정 버전 위의 패키지를 사용할 경우, http 요청을 통해 공격을 받을 수 있다는 내용인데요. 사실 프로젝트가 커지면 커질수록 dependency 그것도 이미 오래전부터 잘 쓰고 있엇던 dependency에 대해서는 다시 확인하기가 어려운 것이 현실인 것 같습니다. 이러한 guarddog과 같이 악성 패키지를 간편하게 탐지할수 있는 툴이 있다면 적극적으로 사용하여 우리의 서비스를 안전하게 지키는 것이 중요할것 같습니다.