1. 주요 트랙: 패키지 관리의 기술적 한계와 인프라 사고 사례
메인 트랙에서는 패키지 관리 시스템의 탄력성과 인프라 보안에 대한 심도 있는 논의가 이루어졌습니다. Kenneth Hoste는 패키지 관리자를 극한의 상황으로 몰아넣는 오픈소스 프로젝트들의 창의적인 방식과 이를 방어하기 위한 도구들을 소개하며 기술적 한계를 짚어보았습니다. 특히 Mike McQuaid는 2024년 2월에 발생한 RubyGems 및 Bundler 인프라 사고를 정밀 분석하여, 대규모 패키지 레지스트리 운영 과정에서 발생할 수 있는 잠재적 위험과 그에 따른 복구 전략을 공유했습니다.
2. 패키지 관리 데브룸: 보안 사고 대응과 데이터 표준화
패키지 관리 전용 데브룸에서는 보안 강화와 데이터 표준화가 핵심 의제로 다루어졌습니다. * 보안 사고 분석: Adam Harvey는 2024년 9월 crates.io에서 발생한 피싱 공격 사례를 상세히 설명했습니다. 기존 TOTP 기반 2FA의 한계를 지적하며, 피싱 저항성이 있는 WebAuthn이나 Passkey 도입의 시급성을 역설했습니다. * 빌드 증명(Attestation): Zach Steindler는 npm, PyPI, RubyGems, Maven Central의 증명 구현 현황을 비교 분석했습니다. Sigstore 번들을 통해 패키지와 소스 코드 간의 연결성을 보장함으로써 빌드 출처의 투명성을 확보하는 방안이 논의되었습니다. * PURL의 표준화: Philippe Ombredanne는 8년 전 FOSDEM에서 처음 제안된 PURL(Package-URL)이 이제 Ecma 국제 표준이 되었으며, ISO 표준화 단계에 진입했음을 알렸습니다. 이는 다양한 생태계 간 패키지 식별을 통합하는 중요한 이정표가 될 것입니다.
3. 배포판 및 시스템 패키지 관리의 진화
리눅스 배포판과 Nix/NixOS 트랙에서는 시스템 수준의 패키징 기술과 재현 가능성이 강조되었습니다. * eBPF 패키징: 커널 의존성이 강한 eBPF 프로그램을 리눅스 배포판 내에서 관리할 때 발생하는 CO-RE 재배치 및 권한 모델 문제를 Fedora 사례를 통해 살펴봤습니다. * Nix 생태계: NixOS의 재현 가능한 빌드 검증 시스템인 LILA와 SBOM 표준을 Nix의 의존성 모델에 접목하려는 시도들이 소개되었습니다. * Homebrew v5.0.0: Mike McQuaid는 16년간의 유지보수 경험과 최근 5.0.0 릴리스의 주요 변경 사항을 공유하며 커뮤니티 기반 패키지 관리자의 지속 가능성을 논의했습니다.
4. 공급망 보안과 SBOM의 실전 적용
SBOM(Software Bill of Materials) 트랙에서는 이론을 넘어 실질적인 생성 및 활용 방안이 제시되었습니다. * 빌드 타임 SBOM: C/C++, Swift, Python(uv) 등 다양한 언어 환경에서 빌드 과정 중에 자동으로 SBOM을 생성하는 기술들이 시연되었습니다. * SPDX 3.1: 최신 SPDX 사양의 업데이트와 지식 그래프 모델로의 진화가 발표되어 데이터 구조화의 미래를 보여주었습니다. * HPC 전용 관리자: 슈퍼컴퓨터 환경을 위한 Spack v1.0의 출시와 수만 개의 코어를 사용하는 시스템에서의 효율적인 소프트웨어 스택 관리 전략이 공유되었습니다.