노드 앱에서 개별 npm 의존성을 샌드박스하기

Source: Dev.to

Overview

Node는 allowNet, allowFsRead 등과 같은 프로세스 권한 플래그를 제공합니다. 이러한 플래그는 전체 실행 애플리케이션에 적용되므로, 의존성이 예측 불가능하게 동작할 경우 문제가 될 수 있습니다. sandboxify는 선택한 패키지를 제한된 권한을 가진 별도의 Node 자식 프로세스에서 실행할 수 있는 방법을 제공하여, 메인 앱 코드를 거의 변경하지 않고도 격리할 수 있게 해줍니다. 내부적으로는 RPC‑유사 어댑터를 생성해 워커나 커스텀 RPC 레이어를 설계하지 않아도 샌드박스된 패키지를 호출할 수 있게 합니다.

Features

• npm 패키지(그 종속 트리 포함)의 격리
• 로컬 파일 및 로컬 폴더를 샌드박스화 할 수 있음
• PDF 생성, HTML 정제, 파싱, 템플릿 렌더링 등과 같은 워크로드에 유용하며, 다음 조건을 만족할 때 특히 적합함:
  • 의존성이 호출당 의미 있는 작업을 수행함
  • 적당한 프로세스 경계/RPC 오버헤드가 허용됨
  • 의존성의 권한을 제한함으로써 보안 이점을 얻을 수 있음

Performance Considerations

성능이 가장 큰 트레이드‑오프입니다. sandboxify는 다음과 같은 방법으로 오버헤드를 완화합니다:

1. Batching을 통해 호출 횟수를 줄여 교차 프로세스 메시지 수를 감소시킵니다.
2. 무거운 로직을 동일한 샌드박스 버킷에 배치한 로컬 파일로 옮긴 뒤, 고수준 함수를 내보냅니다. 이렇게 하면 잦은 RPC 호출을 줄이고, 한 번에 처리하는 작업량을 늘릴 수 있습니다.

“오버헤드를 줄이는 실용적인 방법 중 하나는 무거운 로직을 로컬 파일에 옮겨 같은 샌드박스 버킷에 두고, 그곳에서 고수준 함수를 내보내는 것입니다. 이렇게 하면 많은 작은 교차 프로세스 호출 대신, 적은 수의 무거운 호출을 수행하게 됩니다.”

Current Status

• ESM 모듈에 대한 일류 지원.
• CJS 지원도 가능하지만, 현재는 다소 해킹적인 구현에 의존하고 있습니다.
• 프로젝트는 아직 초기 단계이며 거친 부분이 있을 수 있지만, 이미 많은 일반 시나리오를 커버하고 있습니다.

Usage Example

레포지토리에서 최소 예제를 확인할 수 있습니다:

• Example repository:

레포를 클론하고 안내에 따라 sandboxify를 직접 실험해 보세요.

Discussion

• 여러분은 Node 프로젝트에서 의존성 수준 샌드박싱을 사용할 의향이 있나요?
• 어떤 종류의 의존성이 이 접근법에 가장 잘 맞는다고 생각하시나요?
• 어떤 제한 사항이 여러분에게는 받아들일 수 없는 요소가 될까요?

자유롭게 생각과 경험을 공유해 주세요.