들어가며지난 #131 OWASP 가이드에서 Dependency-Check와 ZAP으로 A01~A07을 어느 정도 닫았습니다. 남은 것이 A08 - Software & Data Integrity Failures, 즉 공급망(supply chain) 공격입니다.2024년 xz-utils 백도어, 2025년 Nx npm 대규모 토큰 유출, 그리고 Axios 공급망 공격까지 최근 2년간 굵직한 사고는 대부분 "코드가 문제가 아니라 우리가 당겨온 라이브러리가 문제"였습니다. Dependency-Check로도 안 잡히는 제로데이·타이포스쿼팅이 실제 전선입니다.막는 방법은 두 축입니다.SBOM(Software Bill of Materials) - 우리 빌드 산출물에 뭐가 들어갔는지 기계가 읽을 수 있는 형태로 기록S..
