유럽연합의 사이버 복원력 법(Cyber Resilience Act)이 발효됐다. 2026년 말까지 소프트웨어가 포함된 제품을 판매하는 모든 사람은 SBOM(Software Bill of Materials)을 갖춰야 한다. 오픈소스 프로그램도 포함된다. 예외 없이.
npm 생태계는 2025년에 일련의 공급망 공격을 경험했다. s1ngularity, debug/chalk, Shai-Hulud 등의 사건이 유지보수자 인증과 CI 워크플로우의 시스템적 취약점을 드러냈다. 이제 보안 대응은 세분화된 토큰, 발행 시 2단계 인증, 더 엄격한 릴리스 정책을 강조한다.
검증 가능한 서명의 시대
Sigstore가 GitHub와 GitLab 같은 주요 플랫폼에 통합됐다. 2026년에는 검증 가능한 서명이 일상이 된다. 개발자는 어떤 프로그램에 실제로 무엇이 들어있고 누가 진짜 작성했는지 알아야 한다. 그것이 단순히 좋은 보안 관행이 아니라 법적 요구사항이 됐다.
앱 쪽에서는 React2Shell(CVE-2025-55182)과 후속 이슈들이 RSC 직렬화의 위험을 부각시켰다. Angular의 XSS와 다른 런타임 CVE들이 2025년 백로그의 최상단에 보안 업그레이드를 올려놓았다.
SLSA와 SBOM
SLSA(Supply Chain Levels for Software Artifacts)와 SBOM의 광범위한 채택이 오픈소스 공급망 공격에 대응하고 있다. 소프트웨어에 들어간 모든 구성 요소를 추적하고, 각 구성 요소의 출처를 검증하는 것이 새로운 표준이다.
OpenSSF(Open Source Security Foundation)가 벤더와 정부 전반에 걸쳐 조율된 보안 프로그램을 확장하고 있다. 리눅스의 Kernel Self-Protection Project와 유사한 노력들이 더 많은 익스플로잇 완화 기능을 업스트림으로 밀어넣고 있다. 위험 기반 패칭과 AI 지원 분류가 대규모 수정 우선순위 지정과 배포를 더 쉽게 만들고 있다.
