핵심 요약
당근은 사내 PyPI 프록시 앞에 얇은 프록시를 두고 CodeArtifact를 안전하게 활용하며, PEP 503/PEP 691를 결합한 쿨다운 정책으로 공급망 공격에 대응했다.
구현 방법
- 얇은 프록시 레이어로 PyPI-CodeArtifact 간 요청을 단일 진입점에서 중계
- 토큰 관리 데몬: 900초 TTL, 300초 갱신, 60초 지터 적용
- 클라이언트는 AWS 자격증명을 다루지 않도록 프록시가 토큰 처리
- PEP 503 HTML 응답과 PEP 691 JSON으로 업로드 시점 판단 후 필터링
- CentralDogma로 쿨다운 정책을 동적으로 관리하고 예외 설정
- Prometheus로 다운로드 흐름 관찰
주요 결과
- 전사적으로 쿨다운 정책 적용으로 운영의 일관성과 보안성 향상
- 토큰 관리 자동화와 필터링으로 안전한 패키지 설치 흐름 확보
_thumbnail.png)
