라떼군 이야기
NPM, 클래식 토큰 중단 혼란 후 '단계적 게시(Staged Publishing)' 도입 예고
최근 NPM이 레거시 인증 방식인 ‘클래식 토큰’을 중단하는 과정에서 많은 개발자와 CI 파이프라인이 예기치 못한 혼란을 겪었습니다. 이에 대한 대응책으로 NPM 팀은 배포 프로세스의 안정성을 높이기 위해 패키지를 즉시 공개하지 않고 검증 단계를 거치는 ‘단계적 게시(Staged Publishing)’ 기능을 도입하겠다고 발표했습니다.
이번 결정은 단순한 인증 방식의 교체를 넘어, 패키지 공급망 보안을 근본적으로 강화하려는 시도로 해석됩니다. 엔지니어 입장에서는 배포 전 검증 단계를 확보함으로써 실수로 인한 배포나 악성 코드 유입을 방지할 수 있는 안전장치가 마련된다는 점에서 기술적으로 매우 의미 있는 변화입니다.
CI/CD 파이프라인을 운영 중인 팀이라면 변경되는 인증 체계와 새로운 게시 프로세스가 워크플로우에 미칠 영향을 미리 파악해야 합니다. 소프트웨어 공급망 보안의 중요성이 커지는 시점에서, 이번 NPM의 정책 변화가 구체적으로 어떻게 구현될지 원문을 통해 확인해보시길 권합니다.