open-source

GitLab을 사용하여 소프트웨어 개발을 쉽게 가르치는 방법 (새 탭에서 열림)

워싱턴 대학교의 Stephen G. Dame 강사는 'GitLab for Education' 프로그램을 활용해 대규모 소프트웨어 개발 강의의 과제 배포 및 피드백 과정을 효율적으로 관리하고 있습니다. GitLab의 그룹 및 하위 그룹 구조를 통해 복잡한 권한 설정을 체계화하고, 실제 현업과 유사한 워크플로우를 교육 현장에 도입하여 학생들에게 실무적인 개발 환경을 제공하는 것이 핵심입니다. 이를 통해 교강사는 행정적 부담을 줄이면서도 학생 개개인에게 구체적이고 맥락 있는 코드 리뷰를 전달할 수 있습니다. ### 그룹 및 하위 그룹을 활용한 체계적 구조 설계 * GitLab의 고유한 '그룹(Groups)' 및 '하위 그룹(Subgroups)' 기능을 사용하여 대학 부서, 강의, 역할별로 계층적인 구조를 설계합니다. * 최상위 그룹(예: UWTeaching) 아래에 개별 강의 하위 그룹을 두고, 그 안에 강의 자료, 학생 전용 그룹, 채점자 그룹 등을 구분하여 관리합니다. * 권한 상속 기능을 활용해 학생들에게는 '리포터(Reporter)' 권한을 부여함으로써, 강의용 템플릿 코드를 복제(Clone)하거나 가져올(Pull) 수는 있지만 원본 소스에 직접 푸시(Push)할 수는 없도록 제어합니다. * 학생들은 개인별 비공개 저장소를 생성하여 자신의 버전 히스토리를 관리하고, SSH 키 설정을 통해 로컬 환경이나 가상 머신에서 원활하게 작업할 수 있습니다. ### REST API 기반의 관리 자동화 * 수강생이 많은 대규모 강의의 경우, GitLab REST API와 Python 스크립트를 활용해 학생별 하위 그룹 생성 및 멤버 추가 과정을 자동화할 수 있습니다. * 학생의 사용자 이름을 기반으로 개인별 비공개 하위 그룹을 생성하고, 학기 종료 시점에 맞춰 권한이 자동으로 만료되도록 '만료일(Expiration date)'을 설정하여 보안을 유지합니다. * 이러한 자동화 워크플로우는 수동 관리에서 발생할 수 있는 실수를 방지하고 교강사가 교육 콘텐츠에 더 집중할 수 있는 시간을 확보해 줍니다. ### 머지 리퀘스트(Merge Request)를 통한 실무형 피드백 * 학생들은 과제 제출 시 '머지 리퀘스트(MR)'를 생성하며, 강사는 이를 통해 변경된 코드의 차이점(Diff)을 한눈에 확인하고 검토합니다. * 강사는 특정 코드 라인에 직접 인라인 댓글을 남겨 단순히 틀린 부분을 지적하는 것을 넘어, 왜 수정이 필요한지 맥락 있는 피드백을 제공합니다. * 학생들은 실제 현업의 필수 프로세스인 버전 관리와 코드 리뷰를 자연스럽게 경험하며 추상적인 개념이 아닌 실전적인 개발 습관을 체득하게 됩니다. ### 실용적인 권장 사항 처음 GitLab을 교육에 도입한다면 단일 강의 그룹과 기본 과제 템플릿으로 간단하게 시작하여 점진적으로 구조를 확장하는 것이 좋습니다. 'GitLab for Education' 프로그램을 신청하면 Ultimate 등급의 기능을 무료로 사용할 수 있으므로, 무제한 리뷰어 설정과 추가 컴퓨팅 리소스를 활용하여 교육의 질을 높일 것을 추천합니다.

git push 파이프라인 보안 강화: 치명적인 원격 코드 실행 취약점 대응 (새 탭에서 열림)

GitHub의 보안 책임자(CISO)인 알렉시스 웨일즈(Alexis Wales)는 1억 5천만 명 이상의 개발자가 안전하게 소프트웨어를 구축하고 배포할 수 있도록 플랫폼과 오픈소스 커뮤니티 보호를 진두지휘하고 있습니다. 그녀는 미국 국방부와 국토안보부(CISA) 등에서 쌓은 20년의 전문 경험을 바탕으로 국가적 수준의 네트워크 방어 역량을 GitHub의 보안 전략에 녹여내고 있습니다. 특히 공공과 민간 부문의 긴밀한 협력을 통해 현대 기술 생태계를 위협하는 복잡한 보안 난제들을 해결하는 것을 핵심 사명으로 삼고 있습니다. **GitHub 보안 리더십과 커뮤니티 보호** * GitHub의 CISO로서 플랫폼 및 제품 전반의 보안을 책임지는 전문가 팀을 이끌며, 글로벌 오픈소스 생태계의 안전성을 강화하는 데 집중함. * 전 세계 1억 5천만 명 이상의 개발자가 GitHub 환경 내에서 보안 사고 걱정 없이 코드를 작성하고 배포할 수 있도록 지원하는 보안 프레임워크 구축. **국가 안보 기반의 풍부한 전문 경력** * 미국 국방부(DoD)와 국토안보부 산하 사이버보안 및 기간시설 안보국(CISA)에서 20년간 근무하며 국가 핵심 네트워크와 민간 영역의 방어 업무를 수행함. * 공공 영역에서의 대규모 네트워크 방어 경험을 민간 테크 기업에 접목하여, 일상적으로 사용하는 기술들에 대한 고도화된 위협 대응 역량을 확보함. **민관 협력을 통한 보안 혁신** * 공공 부문과 민간 부문 사이의 경계를 허무는 협업이 보안 위협 해결의 핵심이라고 강조하며, 이를 위한 파트너십 강화에 주력함. * 개별 기업의 보안을 넘어 기술 생태계 전체를 보호하기 위해 부문 간 지식 공유와 공동 대응 체계를 구축하는 데 열정을 쏟고 있음. 알렉시스 웨일즈의 사례는 현대 소프트웨어 공급망 보안이 단순히 기술적인 방어에 그치는 것이 아니라, 정부 기관의 풍부한 방어 경험과 민간 플랫폼의 기술력이 결합될 때 비로소 완성될 수 있음을 잘 보여줍니다.

우리가 배포하는 플랫폼 위에 내부적으로 구축한 AI 엔지니어링 스택 (새 탭에서 열림)

Cloudflare는 자사 플랫폼의 기술력을 집약한 내부 AI 엔지니어링 스택을 구축하여 전체 R&D 인력의 93%가 AI 도구를 일상적으로 사용하는 환경을 조성했으며, 그 결과 주간 머지 리퀘스트(Merge Request) 수를 약 두 배 가까이 증가시키는 생산성 혁신을 이뤄냈습니다. 이들은 단순한 도구 도입을 넘어 MCP(Model Context Protocol), AI Gateway, Workers AI 등을 결합한 포괄적인 아키텍처를 통해 보안과 운영 효율성을 동시에 확보했습니다. 특히 이번 프로젝트는 실제 고객에게 제공되는 상용 제품들을 내부 워크플로우에 직접 적용하여 그 실효성을 검증했다는 점에서 중요한 기술적 이정표를 제시합니다. ### 통합 플랫폼 및 보안 계층 * **보안 및 인증 관리**: Cloudflare Access를 통한 제로 트러스트 인증으로 보안을 강화하고, 모든 LLM 요청을 AI Gateway로 라우팅하여 중앙 집중식 키 관리, 비용 추적 및 데이터 보존 정책을 적용합니다. * **Workers AI 활용**: 프론티어 모델(OpenAI, Anthropic 등)뿐만 아니라 Workers AI를 통해 Kimi K2.5와 같은 오픈 소스 모델을 병행 운용하며, 특히 보안 에이전트 등의 작업에서 상용 모델 대비 약 77%의 비용 절감 효과를 거두고 있습니다. * **프록시 워커 패턴**: 모든 클라이언트 요청을 단일 프록시 워커를 통해 처리함으로써 클라이언트 설정 변경 없이도 사용자별 권한 부여 및 모델 카탈로그 관리가 가능한 제어 평면(Control Plane)을 구축했습니다. ### 에이전트 기반 인프라와 MCP * **원스톱 온보딩**: `opencode auth login` 명령 하나로 MCP 서버, 에이전트, 명령 및 권한 설정을 자동으로 구성하여 엔지니어가 설정 파일에 손대지 않고도 즉시 AI 도구를 사용할 수 있게 했습니다. * **상태 유지 및 격리 실행**: Durable Objects 기반의 Agents SDK를 사용해 장기 실행되는 에이전트 세션을 관리하며, Sandbox SDK를 통해 에이전트가 생성한 코드를 안전한 격리 환경에서 빌드하고 테스트합니다. * **워크플로우 자동화**: 복잡한 다단계 엔지니어링 작업은 Workflows 기능을 통해 자동화하며, 이는 대규모 리포지토리 전반에 걸친 변경 사항 전파를 효율적으로 지원합니다. ### 지식 체계와 품질 관리 * **기술 지식 그래프**: 오픈소스인 Backstage를 활용해 16,000개 이상의 엔티티를 포함한 지식 그래프를 구축함으로써 에이전트가 조직 내 복잡한 시스템 구조를 정확히 이해할 수 있도록 지원합니다. * **AGENTS.md와 코드 리뷰**: 각 저장소의 컨텍스트를 담은 `AGENTS.md` 파일을 생성하여 에이전트의 정확도를 높이고, CI 파이프라인에 통합된 AI 코드 리뷰어를 통해 급증하는 코드 생산량 속에서도 품질을 유지합니다. Cloudflare의 사례는 AI 도입을 고민하는 기업들에게 '플랫폼 중심 접근법'의 중요성을 시사합니다. 단순한 챗봇 도입이 아니라, 중앙 집중식 게이트웨이를 통한 가시성 확보, 격리된 샌드박스 실행 환경 구축, 그리고 내부 지식 시스템(Backstage 등)과의 결합이 뒷받침될 때 비로소 실제적인 엔지니어링 생산성 향상을 기대할 수 있습니다.

Git 2.54.0의 새로운 기능 (새 탭에서 열림)

Git 2.54.0 버전은 객체 데이터베이스(ODB)의 추상화를 통해 플러그 가능한 저장소 구조를 도입하고, 복잡한 대화형 리베이스를 대체할 직관적인 `git history` 명령어를 새롭게 선보였습니다. 이번 릴리스는 대규모 바이너리 처리나 플랫폼별 최적화 등 저장소 확장성을 확보하는 동시에, 개발자가 커밋 이력을 훨씬 쉽고 안전하게 관리할 수 있도록 사용자 경험을 대폭 개선하는 데 중점을 두었습니다. 약 2년에 걸친 내부 아키텍처 개편을 통해 Git은 더욱 현대적이고 유연한 도구로 진화하고 있습니다. ## 플러그 가능한 객체 데이터베이스 (Pluggable Object Databases) * 기존에 참조(refs) 저장 방식을 "files"와 "reftable"로 선택할 수 있었던 것처럼, 이제 객체(Objects) 저장 방식에도 추상화 계층이 도입되었습니다. * 그동안 Git 코드 곳곳에 하드코딩되어 있던 객체 저장 포맷(Loose objects, Packfiles) 가정을 제거하고, 다양한 백엔드를 수용할 수 있는 구조를 마련했습니다. * 현재는 커밋 생성, 그래프 표시, 병합 등 로컬 워크플로우의 상당 부분을 지원하며, 원격(Fetch, Push) 작업 지원을 위한 고도화 작업이 진행 중입니다. * 이러한 변화를 통해 향후 대용량 바이너리 파일을 효율적으로 저장하는 특수 포맷이나, GitLab과 같은 대규모 플랫폼에 최적화된 전용 스토리지 포맷을 도입하는 것이 가능해집니다. ## 커밋 이력 편집의 현대화와 git history 명령어 * 강력하지만 사용법이 복잡하고 난해했던 기존의 대화형 리베이스(`git rebase -i`)를 대체하기 위해 직관적인 `git history` 명령어가 추가되었습니다. * **git history reword**: 특정 커밋의 메시지를 즉시 수정할 수 있는 기능을 제공하여 사용자 편의성을 높였습니다. * **git history split**: 하나의 커밋을 두 개로 쪼개는 작업을 간편하게 수행할 수 있으며, 이는 최신 버전 관리 도구인 Jujutsu(`jj split`)의 영감을 받아 구현되었습니다. * 단순한 편집을 넘어, 수정된 커밋을 포함하고 있는 모든 로컬 브랜치를 자동으로 리베이스해주는 기능이 포함되어 있어 'Stacked Diffs(여러 개의 의존적 브랜치를 동시에 관리하는 방식)' 워크플로우를 강력하게 지원합니다. * 향후 `fixup`(수정 사항 자동 병합), `drop`(커밋 삭제), `reorder`(순서 변경), `squash`(커밋 합치기) 등 더 많은 서브 명령어가 추가될 예정입니다. ## 실용적인 결론 이번 업데이트는 Git의 내부 구조를 유연하게 재설계하여 미래의 저장 기술을 수용할 준비를 마쳤다는 점에서 큰 의의가 있습니다. 특히 `git history` 명령어는 리베이스 과정에서 실수를 두려워하던 사용자들에게 훨씬 안전하고 간결한 작업 방식을 제공하므로, 깔끔한 커밋 이력을 유지하고자 하는 개발자들에게 사용을 적극 권장합니다.

3월 공급망 사고를 통해 본 파이프라인 보안 교훈 (새 탭에서 열림)

최근 발생한 일련의 공급망 공격 사례들은 CI/CD 파이프라인이 현대 소프트웨어 보안의 가장 취약한 고리이자 정교한 위협 행위자들의 핵심 타겟임을 보여줍니다. 이 글은 Trivy, axios 등 주요 오픈소스 도구의 침해 사례를 통해 파이프라인의 내재적 위험을 분석하고, GitLab의 '파이프라인 실행 정책(PEP)'을 활용하여 이러한 공격 패턴을 사전에 차단하고 탐지하는 구체적인 방안을 제시합니다. ## 3월 공급망 공격 사례와 파급력 * **Trivy 및 Checkmarx KICS 침해:** 보안 스캐너 자체가 공격 경로가 되어 CI/CD 환경 변수, 클라우드 토큰, SSH 키 등 민감한 자격 증명을 탈취하는 악성 코드가 삽입되었습니다. * **LiteLLM 백도어 배포:** 침해된 Trivy를 통해 유출된 자격 증명을 사용하여 PyPI에 백도어가 포함된 버전을 게시했으며, 이는 설치 시 즉시 실행되어 데이터를 외부로 유출했습니다. * **AI 코딩 어시스턴트 소스 코드 유출:** 패키징 설정 오류(.npmignore 미비)로 인해 59.8MB에 달하는 전체 소스 코드가 포함된 소스 맵 파일이 공용 npm 저장소에 노출되었습니다. * **axios 트로이목마 주입:** 메인테이너 계정 탈취를 통해 원격 제어 트로이목마(RAT)를 배포하는 악성 종속성이 주입되어 수백만 명의 사용자에게 영향을 미쳤습니다. ## 공급망 공격의 주요 패턴 * **도구 및 액션의 오염:** 파이프라인 내에서 실행되는 보안 도구를 무비판적으로 신뢰하는 점을 악용하며, 가변적인 버전 태그(Tag)를 통해 악성 코드가 주입됩니다. * **패키징 구성 오류:** 빌드 과정에서의 설정 실수로 디버깅 아티팩트나 내부 설정 파일이 운영 패키지에 포함되어 지적 재산권(IP)이 유출되는 경로가 됩니다. * **전이적 종속성 취약점:** 직접적인 종속성뿐만 아니라 하위 종속성 트리에 악성 코드를 심어 전체 빌드 인프라로 위협을 확산시킵니다. ## GitLab 파이프라인 실행 정책(PEP)을 통한 방어 * **강제적 보안 작업 주입:** 개발자가 정의한 `.gitlab-ci.yml` 설정과 관계없이, 조직 전체의 파이프라인에 보안 작업을 강제로 삽입하며 이는 개발자가 임의로 건너뛸 수 없습니다. * **패키징 검증 자동화:** 패키지 배포 전 단계에서 소스 맵, 내부 설정 파일(.env), 소름 돋는 대용량 파일 등 예기치 않은 파일의 포함 여부를 허용 목록과 대조하여 차단합니다. * **불변 식별자 사용 강제:** 도구 및 액션 사용 시 가변적인 태그 대신 불변의 커밋 SHA 또는 이미지 디지스트(Digest) 사용을 강제하여 태그 오염 공격을 방어합니다. * **종속성 드리프트 감지:** 락파일(lockfile)의 상태를 비교하여 예상치 못한 신규 종속성이나 버전 변경이 감지될 경우 빌드를 중단하고 보안 팀에 알림을 보냅니다. 조직의 보안을 개별 프로젝트의 설정에 의존하는 것은 위험합니다. 중앙 집중식 파이프라인 실행 정책을 통해 보안 검사를 표준화하고 강제함으로써, 신뢰 기반의 공급망 공격으로부터 인프라와 지적 재산권을 효과적으로 보호할 수 있습니다.

EmDash를 소개합니다 — 플러그인 보안 문제를 해결한 워드프레스의 정신적 후속작 (새 탭에서 열림)

EmDash는 24년 된 워드프레스(WordPress)의 구조적 한계를 극복하고 현대적인 웹 환경에 최적화하기 위해 등장한 오픈소스 CMS입니다. 기존 워드프레스의 가장 큰 취약점인 플러그인 보안 문제를 '다이나믹 워커(Dynamic Worker)'를 통한 샌드박스 격리 방식으로 해결했으며, TypeScript와 Astro 프레임워크를 기반으로 설계되었습니다. 이를 통해 서버리스 환경에서 안전하고 빠른 성능을 보장하며, MIT 라이선스를 채택해 개발자들에게 더 높은 자유도를 제공하는 것을 목표로 합니다. ### 워드프레스의 유산과 현대적 재구성 * **전통의 계승과 한계:** 워드프레스는 인터넷의 40% 이상을 점유하며 출판의 민주화를 이루었으나, AWS EC2조차 없던 시절에 설계되어 현대의 서버리스 및 글로벌 분산 네트워크 환경을 충분히 활용하지 못하고 있습니다. * **현대적 기술 스택:** EmDash는 전체 코드가 TypeScript로 작성되었으며, 콘텐츠 기반 웹사이트에 최적화된 프레임워크인 Astro를 기반으로 구동됩니다. * **서버리스 최적화:** 가상 프라이빗 서버(VPS)에 의존하던 방식에서 벗어나, Cloudflare와 같은 서버리스 플랫폼이나 Node.js 환경 어디서든 유연하게 배포할 수 있습니다. * **완전한 오픈소스:** 워드프레스의 코드를 전혀 사용하지 않고 밑바닥부터 새로 작성하여, GPL보다 허용 범위가 넓은 MIT 라이선스를 적용해 생태계 참여를 독려합니다. ### 플러그인 보안 위기의 근본적 해결 * **직접 접근의 위험성 제거:** 워드프레스 취약점의 96%는 플러그인에서 발생하며, 이는 PHP 스크립트가 데이터베이스와 파일 시스템에 직접 접근할 수 있는 구조 때문입니다. * **다이나믹 워커(Dynamic Worker) 격리:** EmDash는 각 플러그인을 독립된 샌드박스(Isolate)에서 실행합니다. 플러그인은 핵심 시스템에 직접 접근할 수 없으며 선언된 범위 내에서만 작동합니다. * **역량 기반 권한 모델 (Capability-based Model):** 플러그인은 매니페스트 파일에 필요한 권한(예: `read:content`, `email:send`)을 명시적으로 선언해야 합니다. 관리자는 설치 전 플러그인이 어떤 권한을 요구하는지 OAuth 승인 과정처럼 명확히 확인할 수 있습니다. * **네트워크 제어:** 플러그인은 외부 네트워크 접근이 기본적으로 차단되며, 필요한 경우 특정 호스트네임에 대해서만 접근 권한을 정적으로 부여받아 실행됩니다. ### 시장 종속성 탈피와 개발자 생태계 혁신 * **신뢰 구조의 변화:** 기존 워드프레스는 보안 위험 때문에 마켓플레이스의 수동 검토와 평판에 의존해야 했으나, EmDash는 기술적 격리를 통해 코드 수준에서 신뢰를 보장합니다. * **비즈니스 유연성:** 보안 이슈로 인해 강제되었던 마켓플레이스 종속성과 라이선스 제약에서 벗어나, 개발자들이 자신의 코드를 더 자유롭게 배포하고 상용화할 수 있는 환경을 제공합니다. * **정적 선언을 통한 자동화:** 플러그인의 권한 요구 사항이 정적으로 정의되어 있어, 관리자는 특정 권한을 요구하는 플러그인의 설치를 그룹별로 제한하는 등 정책 기반의 관리가 가능해집니다. 현재 EmDash는 v0.1.0 프리뷰 버전을 공개하고 초기 개발자 베타를 진행 중입니다. 클라우드플레어 계정이나 Node.js 서버에 직접 배포하여 테스트할 수 있으며, 기존 워드프레스의 운영 편의성은 유지하면서도 최신 보안 표준과 성능이 필요한 프로젝트에 강력한 대안이 될 것으로 보입니다.

더 나은 AI 벤치마크 구축하기: 평가자는 몇 명이면 충분할까? (새 탭에서 열림)

AI 모델의 성능을 평가할 때 인간 평가자들 사이의 의견 불일치는 재현성을 저해하는 주요 원인이 되지만, 그동안의 벤치마크는 소수의 평가자 의견만 반영하는 '단일 진리' 패러다임에 머물러 있었습니다. 구글 리서치는 데이터 항목 수(N)와 항목당 평가자 수(K) 사이의 최적의 균형점을 찾는 프레임워크를 통해, 더 적은 비용으로도 인간의 미묘한 의견 차이를 반영할 수 있는 재현성 높은 평가 로드맵을 제시했습니다. 연구 결과, 단순 정확도 측정인지 혹은 의견의 뉘앙스를 포착하는 것인지에 따라 최적의 (N, K) 비율이 달라진다는 점이 확인되었습니다. **재현성을 위한 (N, K) 트레이드오프 실험** * **연구 배경**: 인간은 주관적인 문제(독성, 혐오 표현 등)에 대해 서로 다른 의견을 갖지만, 기존 AI 벤치마크는 비용 문제로 항목당 1~5명의 평가자만 참여시켜 이러한 다양성을 간과해 왔습니다. * **시뮬레이션 설계**: Toxicity, DICES(대화형 AI 안전성), D3code(다문화 오펜시브 데이터) 등 실제 데이터셋을 기반으로 시뮬레이터를 개발하여, 한정된 예산 내에서 데이터 항목 수(Scale, N)와 평가자 수(Crowd, K) 중 무엇을 늘리는 것이 통계적으로 더 신뢰할 수 있는지(p < 0.05) 테스트했습니다. * **오픈소스 공개**: 연구진은 커뮤니티가 직접 모델 평가 전략을 최적화할 수 있도록 이 시뮬레이터를 GitHub에 공개했습니다. **주요 연구 결과: 관행을 깨는 세 가지 통찰** * **3~5명의 평가자는 불충분함**: 흔히 사용되는 항목당 3~5명의 평가 방식은 인간 의견의 복잡성을 담아내기에 부족하며, 통계적으로 유의미하고 재현 가능한 결과를 얻으려면 항목당 10명 이상의 평가자가 필요한 경우가 많습니다. * **측정 지표에 따른 전략 차별화**: * **정확도(Accuracy)**: 모델이 다수결 의견과 일치하는지를 측정할 때는 더 많은 데이터 항목(N)을 확보하는 '넓은(Forest)' 접근 방식이 유리합니다. * **뉘앙스(Nuance)**: 인간 의견의 전체적인 변동성과 스펙트럼을 포착하고자 할 때는 항목당 평가자 수(K)를 늘리는 '깊은(Tree)' 접근 방식이 필수적입니다. * **예산의 효율적 운용**: 무조건 큰 예산이 필요한 것은 아니며, 측정하려는 지표에 맞춰 (N, K) 비율을 최적화하면 약 1,000개의 주석(Annotation) 총량만으로도 충분히 재현성 높은 벤치마크를 구축할 수 있습니다. **AI 벤치마크의 미래와 시사점** * **단일 진리 패러다임의 탈피**: AI가 윤리나 가치 판단 등 주관적인 영역으로 확장됨에 따라, 정답이 하나라는 가정을 버리고 인간의 불일치 자체를 데이터로 수용해야 합니다. * **실무적 권장 사항**: 연구자들은 예산을 투입하기 전 시뮬레이터를 통해 목표 지표에 맞는 최적의 (N, K) 비율을 먼저 산출해야 하며, 특히 주관성이 강한 데이터일수록 평가자 수(K)를 충분히 확보하는 것이 벤치마크의 신뢰도를 높이는 길입니다. * **결론**: 인간이 왜 서로 다른 의견을 내는지 이해하는 것은 합의된 지점을 아는 것만큼 중요하며, 이번 연구는 이를 수학적으로 포착할 수 있는 도구를 제공합니다.

미국산 시멘트와 콘크리트를 위한 AI (새 탭에서 열림)

메타(Meta)는 건설 산업이 고품질의 지속 가능한 콘크리트 배합을 개발할 수 있도록 돕는 AI 모델인 'BOxCrete(Bayesian Optimization for Concrete)'와 관련 기초 데이터를 공개했습니다. 이 기술은 미국 내 수입 시멘트 의존도를 낮추고 국산 원료를 활용한 최적의 배합을 빠르게 찾아냄으로써, 제조 공정의 효율성과 경제적 가치를 동시에 높이는 것을 목표로 합니다. 메타는 이를 통해 탄소 배출을 줄인 친환경 콘크리트가 실제 데이터 센터 건설 등 대규모 인프라에 즉시 적용될 수 있음을 증명하고 있습니다. **콘크리트 산업의 국산화와 AI의 역할** - 미국은 매년 막대한 양의 콘크리트를 생산하지만, 핵심 원료인 시멘트의 약 20~25%를 수입에 의존하고 있어 공급망 안정성과 환경 표준 준수에 어려움을 겪고 있습니다. - 시멘트는 화학적 성질이 매우 다양하여 원료를 바꿀 경우 기존 배합이 실패할 확률이 높으며, 전통적인 시행착오 방식의 실험은 시간과 비용이 많이 소요됩니다. - 메타의 AI 모델은 미국산 원료에 최적화된 새로운 배합을 신속하게 탐색하고 검증함으로써, 국내 제조 일자리 창출과 경제 활성화(리쇼어링)를 지원합니다. **BOxCrete 모델의 기술적 특징** - 베이지안 최적화(Bayesian Optimization)를 활용한 '적응형 실험(Adaptive Experimentation)' 방식을 통해 수많은 재료 조합 중 목표 성능을 만족하는 최적의 배합을 지능적으로 제안합니다. - 기존 모델보다 노이즈가 많은 데이터에 대해 더 강력한 회복탄력성을 보이며, 콘크리트의 작업성을 나타내는 중요한 지표인 '슬럼프(Slump)' 예측 기능이 추가되었습니다. - 사용자가 설정한 강도, 비용, 탄소 배출량 등의 제약 조건을 사전에 반영하며, 매 실험 결과가 나올 때마다 모델이 스스로 학습하여 예측 정확도를 높입니다. **현장 적용 및 실질적 성과** - **미네소타 데이터 센터:** BOxCrete로 설계된 배합을 로즈마운트 데이터 센터 기초 공사에 적용한 결과, 미국산 원료만으로 기존보다 43% 빠르게 구조적 강도에 도달했으며 균열 위험을 10% 감소시켰습니다. - **일리노이 협력:** 북미 최대 시멘트 제조사인 암라이즈(Amrize)와 협력하여 'Made in America' 인증 시멘트를 활용한 대규모 산업용 배합 최적화 가능성을 확인했습니다. - **펜실베이니아 소프트웨어 통합:** 콘크리트 산업용 SaaS 플랫폼인 쿼드렐(Quadrel)은 메타의 오픈소스 프레임워크를 자사 소프트웨어에 내장하여 전처리, 특성 공학, 품질 관리 워크플로우에 실시간으로 활용하고 있습니다. 콘크리트 제조사 및 건설 관계자들은 GitHub에 공개된 메타의 오픈소스 모델과 데이터를 활용하여 독자적인 최적화 시스템을 구축할 수 있습니다. AI를 통한 배합 설계는 단순히 속도를 높이는 것을 넘어, 미국산 원재료 사용을 극대화하고 탄소 발자국을 줄이는 등 건설 산업의 지속 가능한 미래를 위한 강력한 도구가 될 것입니다.

Copilot SDK를 활용한 AI 기반 GitHub 이슈 분류 구축하기 (새 탭에서 열림)

안드레아(Andrea)는 10년 이상의 개발 도구 분야 경력을 가진 GitHub의 시니어 데벨로퍼 어드보케이트로, 복잡한 공학적 개념을 실질적인 구현 기술로 연결하는 데 주력하고 있습니다. 군 복무와 건설 관리직에서 소프트웨어 개발자로 전향한 독특한 이력을 바탕으로, 그녀는 첨단 기술을 대중화하고 개발자들이 보다 쉽게 기술에 접근할 수 있도록 돕고 있습니다. 현재는 GitHub의 글로벌 이니셔티브를 통해 오픈 소스 생태계를 지원하며 기술 혁신을 주도하고 있습니다. **전문성 및 기술적 사명** * 개발자 도구 분야에서 10년 이상의 풍부한 경험을 쌓으며 기술적 깊이와 사용자 접근성을 동시에 추구합니다. * 복잡한 엔지니어링 개념과 실제 구현 사이의 간극을 좁혀, 첨단 기술을 더 많은 개발자가 활용할 수 있도록 지원하는 것을 미션으로 삼고 있습니다. **독특한 경력 전환과 관점** * 군 복무 및 건설 관리라는 이색적인 배경에서 소프트웨어 개발자로 성공적으로 커리어를 전환했습니다. * 이러한 다양한 경험은 기술적인 문제를 해결할 때 실용적이고도 새로운 시각을 제공하는 원동력이 됩니다. **GitHub 활동 및 오픈 소스 기여** * GitHub의 시니어 데벨로퍼 어드보케이트로서 글로벌 차원의 오픈 소스 지원 및 기술 혁신 프로젝트를 이끌고 있습니다. * 소셜 미디어(@acolombiadev)와 다양한 커뮤니티 활동을 통해 개발자들과 활발히 소통하며 지식을 공유합니다. 안드레아의 행보는 단순한 기술 전달을 넘어, 다양한 배경을 가진 이들이 기술 세계에 기여할 수 있는 환경을 조성하는 데 큰 영감을 줍니다. 그녀의 통찰력은 복잡한 도구를 다루는 개발자들에게 실질적인 가이드를 제공합니다.

Powering the agents: Workers AI now runs large models, starting with Kimi K2.5 (새 탭에서 열림)

Cloudflare는 자사의 AI 추론 플랫폼인 Workers AI에서 Moonshot AI의 **Kimi K2.5**를 시작으로 대규모 프런티어 모델 지원을 공식화했습니다. 이를 통해 개발자는 Durable Objects, Workflows 등 기존의 강력한 인프라와 고성능 LLM을 결합하여 에이전트의 전체 라이프사이클을 단일 플랫폼에서 관리할 수 있게 되었습니다. 특히 대형 모델의 추론 비용을 획기적으로 낮추고 성능을 최적화함으로써, 복잡한 추론 기능이 필요한 지능형 에이전트 구축의 진입 장벽을 제거했다는 점이 핵심입니다. ### Kimi K2.5 도입과 경제적 효용성 * **성능 사양:** 256k의 방대한 컨텍스트 윈도우를 지원하며, 멀티턴 도구 호출(Tool Calling), 비전 입력, 구조화된 출력 기능에 특화되어 복잡한 에이전트 작업에 적합합니다. * **비용 절감:** Cloudflare 내부의 보안 리뷰 에이전트에 적용한 결과, 기존 유료 독점 모델 대비 성능 저하 없이 비용을 약 77% 절감하는 효과를 거두었습니다. * **확장성:** 개인용 에이전트나 코딩 에이전트의 사용량이 급증하는 추세에서, 독점 모델의 높은 비용 문제를 해결하고 엔터프라이즈급 추론 능력을 경제적으로 제공합니다. ### 대규모 모델 추론 스택의 기술적 최적화 * **커스텀 커널 및 엔진:** 자체 추론 엔진인 'Infire'를 기반으로 Kimi K2.5에 최적화된 커스텀 커널을 적용하여 GPU 활용도와 처리 속도를 극대화했습니다. * **병렬화 및 분산 처리:** 데이터, 텐서, 전문가(Expert) 병렬화 기술뿐만 아니라, 프리필(Prefill)과 생성(Generation) 단계를 분리하는 '분산 프리필' 전략을 통해 높은 처리량을 확보했습니다. * **서버리스 편의성:** ML 엔지니어나 DevOps 전문가 없이도 API 호출만으로 이러한 고차원적인 최적화 기술이 적용된 대형 모델을 즉시 사용할 수 있습니다. ### 에이전트 워크로드를 위한 플랫폼 개선 * **프리픽스 캐싱(Prefix Caching):** 대화 맥락이나 시스템 프롬프트 등 중복되는 입력 텐서를 캐싱하여 프리필 단계의 계산을 생략함으로써, 첫 토큰 생성 시간(TTFT)을 단축하고 처리량을 높였습니다. * **세션 어피니티(Session Affinity) 헤더:** `x-session-affinity` 헤더를 도입하여 요청을 동일한 모델 인스턴스로 라우팅함으로써 캐시 히트율을 높이고 추론 비용을 추가로 절감할 수 있도록 지원합니다. * **캐시 토큰 할인:** 캐싱된 토큰 사용량을 명확히 시각화하여 제공하며, 일반 입력 토큰보다 저렴한 가격 정책을 적용하여 대규모 컨텍스트를 사용하는 에이전트의 비용 부담을 줄였습니다. 고성능 추론 능력이 필요한 복잡한 AI 에이전트를 구축하고자 한다면, Cloudflare Workers AI 플랫폼에서 Kimi K2.5와 세션 어피니티 기능을 활용해 보시기 바랍니다. 인프라 구축의 복잡성을 Cloudflare에 맡김으로써 개발자는 에이전트의 논리와 비즈니스 가치 창출에만 집중할 수 있습니다.

ROOST가 온라인 안전을 발전시키는 방법 (새 탭에서 열림)

디스코드는 자사의 핵심 보안 기술인 ‘오스프리(Osprey)’를 비영리 단체 ROOST에 기부하고 오픈 소스로 전환했습니다. 이는 소규모 플랫폼들이 보안 시스템을 처음부터 다시 구축할 필요 없이 검증된 도구를 활용할 수 있도록 돕기 위한 결정입니다. 이번 기술 공유를 통해 온라인 커뮤니티 전반의 안전 혁신을 가속화하고, 보안 기술이 기업의 비밀이 아닌 공유 자산이 되는 생태계를 구축하고자 합니다. **오스프리(Osprey): 대규모 커뮤니티 보호를 위한 룰 엔진** * 매일 약 1억 명에 달하는 디스코드 사용자들의 로그인, 메시지 전송, 계정 설정 변경 등 수억 건의 활동을 실시간으로 분석합니다. * 의심스러운 로그인 시도를 식별하고 유해한 콘텐츠를 감지하며, 봇 공격이 확산되기 전에 이를 차단하는 역할을 수행합니다. * 디스코드의 대규모 트래픽을 처리하며 성능과 안정성이 검증된 규칙 기반 엔진 기술입니다. **ROOST와 안전 기술의 민주화** * ROOST는 플랫폼 간에 공유 가능하고 투명하게 검증할 수 있는 안전 도구를 만들기 위해 설립된 비영리 재단입니다. * 대형 플랫폼인 디스코드가 이미 구축한 기술을 공개함으로써, 자원이 부족한 소규모 서비스들이 동일한 수준의 보안 위협에 대응할 수 있도록 지원합니다. * 기술의 폐쇄성을 탈피하여 전 세계적인 온라인 안전 혁신의 속도를 높이는 것을 목표로 합니다. 온라인 환경의 위협이 고도화됨에 따라 개별 기업의 대응보다는 기술 공유를 통한 공동의 방어가 중요해지고 있습니다. 오스프리의 오픈 소스화는 보안 담당자들이 검증된 룰 엔진을 자사 서비스에 이식하거나 벤치마킹할 수 있는 좋은 기회가 될 것입니다. 안전한 커뮤니티 운영을 고민하는 플랫폼 개발자라면 ROOST를 통해 공개된 오스프리 기술을 적극적으로 검토해 보기를 권장합니다.

When an AI agent came knocking: Catching malicious contributions in Datadog’s open source repos (새 탭에서 열림)

데이터독(Datadog)은 최근 GitHub Actions 및 LLM 기반 워크플로우를 표적으로 삼는 AI 에이전트 'hackerbot-claw'의 악성 기여 시도를 성공적으로 차단했습니다. 이 공격은 AI 기술을 활용해 오픈소스 리포지토리에 취약점을 주입하려는 시도였으나, 데이터독의 AI 기반 탐지 시스템인 'BewAIre'와 선제적인 CI/CD 보안 제어 덕분에 무력화되었습니다. 이번 사례는 공격자들이 LLM을 통해 공격 규모를 확장함에 따라, 방어자 또한 AI를 보안 체계에 적극적으로 도입해야 함을 시사합니다. **오픈소스 CI 파이프라인을 향한 주요 공격 벡터** - **변수 삽입 취약점:** PR 제목과 같이 사용자가 제어할 수 있는 변수를 워크플로우 스크립트 내에 안전하지 않게 삽입하는 경우를 악용합니다. - **I-PPE(간접 포이즌 파이프라인 실행):** 악성 의존성이나 빌드 지침을 PR에 삽입하여 빌드 과정에서 자동으로 실행되게 함으로써 CI 비밀번호(Secrets)를 탈취합니다. - **`pull_request_target` 오용:** 신뢰할 수 없는 PR에서 실행되는 워크플로우에 높은 권한을 부여하는 설정을 악용하여 시스템을 장악합니다. - **LLM 프롬프트 인젝션:** `claude-code-action`이나 `run-gemini-cli`처럼 LLM을 사용하는 GitHub 액션에 악의적인 지시를 주입하여 자동화된 트리징 시스템을 교란합니다. **AI 기반 탐지 시스템 'BewAIre'의 운영** - **실시간 코드 리뷰:** 매주 유입되는 약 10,000건의 내외부 PR을 대상으로 LLM 기반의 자동화된 보안 검사를 수행합니다. - **2단계 분석 파이프라인:** GitHub 이벤트를 통해 코드 차분(diff) 데이터를 추출 및 정규화한 뒤, 2단계 LLM 파이프라인을 거쳐 변경 사항을 '악성' 또는 '정상'으로 분류하고 그 근거를 구조화하여 제시합니다. - **SIEM 통합 및 대응:** 악성으로 판정된 결과는 즉시 Datadog Cloud SIEM으로 전송되어 보안 사고 대응 팀(SIRT)이 즉각적으로 조사하고 사고화할 수 있도록 지원합니다. **선제적인 인프라 강화 및 보안 모범 사례** - **최소 권한의 임시 자격 증명:** OIDC identity federation을 활용한 `dd-octo-sts-action`을 도입하여, 수명이 길고 권한이 과도한 개인 액세스 토큰(PAT) 대신 수명이 짧고 권한이 제한된 인증 정보를 동적으로 생성합니다. - **비밀 정보 관리:** 수천 개의 리포지토리를 전수 조사하여 사용되지 않는 GitHub Actions 비밀 정보를 대규모로 식별하고 제거했습니다. - **CI 보안 정책 강제화:** 브랜치 보호 규칙, 휴먼 및 봇의 커밋 서명 의무화, 필수 PR 승인 절차를 도입하고 `GITHUB_TOKEN` 권한을 기본적으로 최소 수준으로 설정했습니다. - **보안 골든 패스(Golden Paths):** 엔지니어들이 별도의 복잡한 설정 없이도 보안이 확보된 표준 CI 파이프라인을 사용할 수 있도록 가이드를 문서화하고 시스템화했습니다. AI 에이전트를 활용한 공격이 현실화됨에 따라 단순한 규칙 기반의 탐지는 한계에 직면해 있습니다. 조직은 BewAIre와 같은 AI 기반 탐지 모델을 구축함과 동시에, OIDC를 통한 인증 체계 개선 및 GITHUB_TOKEN 권한 최소화와 같은 근본적인 CI/CD 보안 설정을 병행하여 자동화된 공격에 대한 방어 계층을 다각화해야 합니다.

인프라 투자: jemalloc에 (새 탭에서 열림)

메타(Meta)는 자사 소프트웨어 인프라의 핵심 토대인 고성능 메모리 할당자 'jemalloc'에 대한 기술적 지원과 커뮤니티 협업을 대폭 강화한다고 발표했습니다. 과거 단기적 이득을 우선시하며 발생했던 기술적 부채를 인정하고, 프로젝트 설립자와의 논의를 통해 오픈 소스 저장소를 다시 활성화하여 코드베이스 현대화에 착수했습니다. 이를 통해 최신 하드웨어 환경에 최적화된 성능을 제공하고 장기적인 소프트웨어 건강성을 회복하는 것을 목표로 합니다. ## 기술적 부채 청산과 커뮤니티 신뢰 회복 * 과거 핵심 엔지니어링 원칙에서 벗어나 발생했던 기술적 부채를 해결하기 위해 리팩토링을 진행하며, 모든 사용자가 쉽고 안정적으로 사용할 수 있도록 코드베이스를 정비합니다. * 프로젝트 설립자인 제이슨 에반스(Jason Evans) 및 오픈 소스 커뮤니티와의 긴밀한 소통을 통해 아카이브되었던 저장소를 다시 열고 투명한 개발 프로세스를 유지합니다. * 신뢰는 행동을 통해 얻어진다는 원칙 아래, 메타의 자원 투입이 jemalloc의 장기적인 발전으로 이어질 수 있도록 운영 방식을 개선했습니다. ## 현대적 하드웨어를 위한 성능 최적화 로드맵 * **대용량 페이지 할당자(HPA) 개선**: 투명한 대용량 페이지(THP, Transparent Huge-Pages)의 활용도를 높여 CPU 효율성을 극대화할 수 있도록 HPA 기능을 지속적으로 고도화합니다. * **메모리 효율성 극대화**: 메모리 패킹(Packing), 캐싱, 퍼징(Purging) 메커니즘을 개선하여 불필요한 메모리 낭비를 줄이고 시스템 전반의 효율을 높입니다. * **AArch64(ARM64) 플랫폼 최적화**: 최신 서버 환경인 ARM64 아키텍처에서 별도의 튜닝 없이도 즉각적으로 뛰어난 성능(Out-of-the-box performance)을 발휘할 수 있도록 지원을 강화합니다. ## 인프라 경쟁력 강화를 위한 제언 이번 jemalloc의 변화는 대규모 트래픽을 처리하는 인프라 환경에서 메모리 할당자의 성능이 시스템 전체의 비용과 효율에 직결됨을 시사합니다. 특히 ARM64 기반 서버로 전환 중이거나 대용량 페이지 관리를 통해 CPU 성능을 높이고자 하는 조직이라면, 향후 업데이트될 jemalloc의 최적화 기능을 적극적으로 검토하고 도입할 가치가 있습니다.

GitHub Copilot 코딩 에 (새 탭에서 열림)

10년 이상의 개발자 도구 분야 경력을 보유한 GitHub의 Senior Developer Advocate 안드레아(Andrea)는 복잡한 엔지니어링 개념과 실제 구현 사이의 가교 역할을 수행하며 첨단 기술의 접근성을 높이는 데 주력하고 있습니다. 군 복무와 건설 관리직에서 소프트웨어 개발자로 전향한 그녀의 독특한 이력은 기술적 깊이와 실무적 적용을 결합하는 데 중요한 밑바탕이 됩니다. 현재 그녀는 글로벌 오픈 소스 이니셔티브를 통해 혁신을 주도하며 전 세계 개발자 커뮤니티의 성장을 지원하고 있습니다. ### 기술적 전문성과 경력 배경 * GitHub의 시니어 개발자 애드보킷으로서 10년 넘게 개발자 도구(Developer Tools) 분야에서 전문성을 쌓아왔습니다. * 미 육군 복무 및 건설 관리직에서 소프트웨어 엔지니어링으로 전향한 이색적인 경력을 통해 문제 해결에 대한 다각적인 시각을 보유하고 있습니다. * 이러한 배경은 복잡한 기술적 난제를 실무 중심의 언어로 풀어내고, 고급 기술을 더 넓은 사용자 층이 쉽게 수용할 수 있도록 돕는 기반이 됩니다. ### 기술 접근성 향상 및 오픈 소스 활동 * 추상적이고 복잡한 엔지니어링 개념을 실제 구현 가능한 단계로 연결하는 것을 핵심 미션으로 삼고 있습니다. * GitHub의 글로벌 이니셔티브에 참여하여 오픈 소스 생태계를 활성화하고, 개발자들이 최신 도구를 효과적으로 활용할 수 있도록 혁신을 추진합니다. * 온라인 채널(@acolombiadev)을 통해 기술 지식을 공유하며, 실무 환경에서 마주하는 엔지니어링 복잡성을 낮추는 데 기여하고 있습니다. 다양한 배경에서 비롯된 실무 중심의 기술 전달 능력은 복잡한 도구와 기술이 쏟아지는 현대 개발 환경에서 매우 중요한 가치를 지닙니다. 기술의 깊이를 유지하면서도 이를 대중화하려는 안드레아의 접근 방식은 복잡한 시스템을 설계하고 운영하는 엔지니어들에게 실용적인 통찰력을 제공합니다.

AI가 개발자의 선택을 (새 탭에서 열림)

GitHub의 시니어 개발자 애드보케이트인 Andrea는 10년 이상의 개발자 도구 분야 경험을 바탕으로 복잡한 공학 개념을 실용적인 구현 단계로 연결하는 데 주력하고 있습니다. 그녀는 군 복무 및 건설 관리라는 독특한 이력을 기술에 접목하여 고급 기술을 누구나 더 쉽게 접근할 수 있도록 만드는 미션을 수행 중입니다. 이를 통해 전 세계적인 기술 혁신을 주도하고 오픈 소스 생태계를 지원하는 데 기여하고 있습니다. **기술적 깊이와 접근성 강화** * 10년이 넘는 기간 동안 개발자 도구 분야에서 쌓아온 전문성을 바탕으로 시니어 개발자 애드보케이트로서 활동 * 단순한 기술 전달을 넘어, 복잡하고 고도화된 엔지니어링 개념의 진입 장벽을 낮추어 더 많은 개발자가 기술을 활용할 수 있도록 지원 * GitHub의 글로벌 이니셔티브를 통해 오픈 소스 프로젝트의 혁신을 장려하고 커뮤니티의 성장을 도모 **커리어 전환을 통한 차별화된 관점** * 군 복무(Army service) 및 건설 관리(Construction management)라는 비전형적인 배경을 소프트웨어 개발에 융합 * 현장 중심의 관리 경험을 기술적 문제 해결에 적용하여, 이론에 매몰되지 않는 실용적인 엔지니어링 시각을 제공 * 서로 다른 산업 영역의 가교 역할을 수행하며 복잡한 시스템을 보다 효율적이고 실무적인 방식으로 구조화 **실무적인 결론** Andrea의 사례는 기술적 전문성만큼이나 다양한 산업적 배경이 개발자 관계(DevRel)와 기술 대중화에 얼마나 중요한지를 보여줍니다. 복잡한 기술을 다루는 팀일수록 현장 경험과 공학적 깊이를 동시에 갖춘 접근 방식을 채택함으로써, 기술의 실용적 가치를 극대화하고 사용자 접근성을 높일 수 있을 것입니다.