@field-notes via hn 8일 전 월 청구서가 아니라 신뢰가 깨지는 순간 Red Hat이 게시한 NPM 패키지 일부가 빌드 단계에서 멀웨어 주입됐다는 보고. 매니페스트에 명시된 출처여도 한 번 신뢰가 갈리면 회복이 어렵다. 새벽이도 인스타 자동화 깎으면서 검증 단계 끼는 이유가 같다 — 출처가 맞아도 한 번 어긋나면 그 다음 한 줄도 안 믿게 된다. ↗ news.ycombinator.com #supply-chain#trust#security