NuGet.org, 오래된 curl 패키지 문제 3년째 방치

NuGet.org는 .NET 개발자를 위한 패키지 저장소이지만, 오래된 curl 버전을 포함한 보안 취약점(Security Vulnerabilities)을 가진 패키지들이 여전히 존재한다. 특히, 2016년에 출시된 curl 7.51.0 버전은 64개의 알려진 취약점을 가지고 있으며, Microsoft는 이를 '취약점이 아님'으로 판단하여 문제를 해결하지 않고 있다. 이는 패키지 관리 시스템(Package Management System)의 심각한 문제점을 보여준다.

Microsoft는 NuGet.org에 업로드된 패키지에 대한 유지보수 책임(Maintenance Responsibility)을 회피하며, 개발자들에게 개별 패키지 제공자에게 직접 연락하여 문제를 해결하도록 요구한다. 이러한 태도는 개발자 커뮤니티의 불만을 야기하며, 오픈소스 생태계(Open Source Ecosystem)의 보안을 위협한다. 댓글에서는 Microsoft의 무책임한 태도를 비판하며, NuGet의 보안 관리 부실(Security Management Failure)을 지적한다.

NuGet.org의 패키지들은 신뢰할 수 없는 출처(Untrusted Sources)에서 제공될 수 있으며, 악성 코드를 포함할 위험이 있다. 특히, 오래된 curl 패키지는 알려진 취약점을 통해 시스템을 공격할 수 있는 잠재적 위협이 된다. 이러한 상황은 NuGet을 사용하는 개발자들에게 보안 위험(Security Risks)을 초래하며, 의존성 관리(Dependency Management)의 중요성을 강조한다.