fix: Firebase Functions npm 의존성 보안 취약점 수정

[giljihun]

🎯 PR 내용

개요

토요일,
쉬는날이니 가볍게 깃허브 설정을 하고있었는데요.
설정 중에, Dependabot alerts라는 설정이 있더군요. 그래서 켜봤습니다.

우리 파일을 전역적으로 확인하고, 패키지 의존성에 문제가 있는 부분을 감지해준다고 합니다.

아닛? 키고 보니 Security가 6이 떠있길래 뭐지하고 봤습니다.

그랬더니 위에 사진 처럼, functions의 패키지 버전 관리하는 파일에 높은 위험성이 있다고 합니다.

그래... 그런거였어.

이걸 보자마자 저에게 불현듯 무언가가 하나 스쳐갑니다.

바로 Firebase Functions를 만들때 위에 있던 경고문.

Security Check Recommended (CVE-2025-55182): Please review your application's dependencies. If you are running React or Next.js applications, immediately update to the latest stable versions of React and Next.js, and redeploy.

근데 사실 자세히보니, 우리 앱에 해당되는 파일은 아니긴하나.
분명 우리꺼 패키지도 전세계적으로 문제가 인지되었을때
파이어베이스에서 저렇게 알림을 띄웠을 것 같다.

어떤 위험이 있나?

• jws (HMAC 서명 검증 취약점, JWT 토큰 서명을 잘못 검증)
• node-forge (ASN.1 파싱 취약점, 인증서/암호화 데이터 파싱 시 무한 재귀)
• qs (메모리 고갈 DoS, URL 쿼리 파라미터 파싱 시 메모리 무한 할당)

정리해보니, 이런 위험들이 있다고 합니다.

그런데 사실상, 우리 앱은 사실상 기존 패키지를 사용한다고하여 위험 받을 가능성은 제로에 가깝습니다.

• 외부 입력 받지 않음 (Firestore 내부 트리거)
• HTTP 엔드포인트 없음 (qs 취약점 무관)
• JWT 검증 안 함 (jws 취약점 무관)

그런데 혹시나 JWT 인증이 필요한 상황이 오거나, 외부 API를 연동할 상황이 올 수도 있음.
뭐 이래나저래나 보안업데이트하라는데 하는게 좋지!

해결

npm audit fix

위 npm의 오류해결 명령어를 사용해주면된다.

그러면 이렇게 스스로 문제가 있다고 판단되었던, 패키지를 버전업해준다.

일단 머지가 되면, Security 경고가 다 사라지는지 확인해보자!

🔗 관련 이슈

• Bugfix: Functions 패키지 보안 업데이트 #2

✅ 체크리스트

• 빌드 성공
• 테스트 완료
• Self-review 완료

[freshfresh22]

오호라
(뭔 말인지 이해못함)

[jini-coding]

오... 이런 것도 있었군요 투철한 탐구 정신 칭찬합니다.
보안 문제는 당장 문제 없어도 만약을 대비하는게 좋죠!!
과연 머지하면 사라질지.. 두근두근...