당근이 파이썬 공급망 공격에 대응하는 방법

이 게시물은 당근이 파이썬 공급망 공격에 대응하기 위해 사내 PyPI 프록시와 쿨다운 정책을 도입한 사례를 공유합니다.

핵심 정리

• LiteLLM·telnyx 공급망 공격 사례와 노출 창의 짧음 강조
• 사내 AWS CodeArtifact 앞에 얇은 PyPI 프록시를 두어 인증·토큰 관리를 중앙화
• 프록시에서 토큰을 자동 갱신(최단 900초 발급, 만료 300초 전 재발급, ±60초 jitter)하고 스트리밍 응답으로 큰 바이너리 전달
• PEP 691의 upload-time을 이용해 쿨다운 기준으로 신규 업로드 파일을 필터링하고 PEP 503 HTML을 클라이언트에 반환
• 쿨다운 정책은 Central Dogma로 동적 제어, 예외 목록과 헬스체크·Prometheus 메트릭 연동