루비 오픈 소스 생태계의 미래: 신뢰성, 보안, 지속 가능성 과제

RubyGems.org의 신뢰성 과제RubyGems.org는 2013년 이후 10년 넘게 주요 서비스 중단 없이 운영되어 왔으며, 2024년 5월에는 40억 건 이상의 젬 다운로드를 처리하는 등 뛰어난 성능을 보였습니다. 그러나 운영 예산의 제약으로 인해 2차 온콜 로테이션이 6월 이후 중단될 예정이며, 이는 비상 상황 발생 시 대응 시간을 지연시킬 수 있는 위험을 내포합니다. 또한, 공식적인 재해 복구(DR) 계획이 부재하며, 프로덕션 환경을 2013년 이후 재구축한 적이 없어 완전한 서비스 복구에 4~8시간 이상 소요될 수 있다는 우려가 있습니다. 발표자는 SLA(서비스 수준 협약) 수립, DR 계획 테스트, 읽기 전용 핫 스탠바이 구축 등의 개선 방안을 제안하지만, 이 역시 자금 확보가 필요한 상황입니다.### 보안 위협 및 대응공급망 공격은 현실적인 위협이며, 최근에도 악성 루비 젬이 업로드된 사례가 있습니다. RubyGems.org는 지난 12개월간 43개의 악성 젬을 제거했으나, 이는 게시 후 Mache Mensfeld와 같은 외부 기여자의 스캐닝을 통해 이루어지고 있어 악성 젬이 노출되는 시간적 공백이 발생합니다. 현재는 계정 탈취 방지를 위한 MFA 및 엄격한 권한 관리, Trusted Publishing, Sigstore 구현 등 보안 개선 노력이 진행 중입니다. 그러나 Sigstore 채택률은 상위 다운로드 젬의 5%에 불과하여, 새로운 보안 기능의 광범위한 채택이 가장 큰 과제로 지적됩니다. 2025년에는 사전 컴파일된 바이너리, 바이너리 투명성, bundle audit 명령 통합, 악성 젬 스캐닝의 내부 시스템 통합 등을 목표로 하고 있으나, 이 또한 75%가 보조금 기반이며, 상당 부분은 아직 자금이 확보되지 않았습니다.### Cyber Resilience Act (CRA)의 영향EU의 Cyber Resilience Act(CRA)는 사이버 보안 관련 GDPR로 불리며, 2026년부터 취약점 보고가 의무화되고 2027년부터는 모든 의무 사항이 적용될 예정입니다. 이는 EU 시장에 판매되는 모든 상업용 디지털 제품 및 오픈 소스 의존성에 영향을 미치며, 제조업체는 소프트웨어 스택의 모든 취약점을 인지하고 패치해야 합니다. 오픈 소스 기여자는 상업적 활동이 없다면 직접적인 의무는 없지만, 제조업체의 패치 요청 증가로 인해 작업 부담이 늘어날 수 있습니다. Ruby Central은 커뮤니티 교육 및 가이드라인 제공, SBOM(Software Bill of Materials) 구축 도구 개선 등을 통해 CRA에 대비할 계획입니다.### 지속 가능성 및 자금 모델RubyGems.org에 등록된 18만 개 이상의 젬 중 85% 이상이 5년 동안 업데이트되지 않아 방치된 상태입니다. 특히 representable과 같이 여전히 활발하게 사용되는 방치된 젬은 잠재적인 보안 취약점 위험을 내포합니다. 발표자는 패키지 저장소로서의 적극적인 젬 폐기 역할, 젬 관리자 가이드 제공, 고사용 방치 젬에 대한 인식 제고, ‘Adopt a Gem’ 프로그램 도입 등을 제안합니다. 또한, 오픈 소스 기여자를 육성하고 유지하기 위한 의도적인 채용 및 자금 지원의 필요성을 강조합니다. 현재 Ruby Central의 예산 중 62%가 보조금에 의존하고 있어 지속 가능한 자금 모델이 절실합니다. 기업 후원 프로그램과 같은 새로운 자금 조달 방안을 모색 중이며, 연간 2,000~5,000달러 규모의 소액 후원을 통한 광범위한 커뮤니티 지원 모델도 고려하고 있습니다.