CSRF is (really) dead : CSRF(Cross-Site Request Forgery) 공격을 막으려고 폼에 임의의 랜덤 토큰을 사용하는 CSRF를 대신 SameSite 쿠키를 사용하면 된다는 글이다. 쿠키에 SameSite=Lax를 지정하면 브라우저가 CSRF 공격을 차단해 주기 때문에 서버에서 CSRF 설정을 할 필요가 없는데 Chrome 78부터는 이 값이 기본이 된다. SameSite에 대해서는 Cross-Site Request Forgery is dead!에 더 자세히 나와 있는데 SameSite=Strict로 지정하면 새로 여는 탭이나 링크를 따라갈 때도 브라우저가 모든 쿠키를 보내지 않아서 안전한 대신 로그인 등이 풀리는 문제가 있고 SameSite=Lax로 지정하면 GET, HEAD, OPTIONS, TRACE 같은 안전한 HTTP 메소드에서만 쿠키를 보내기 때문에 위험한 POST에서의 CSRF 공격을 막을 수 있다.(영어)
Babel, Mocha, Karma and Webpack with coverage in order : JavaScript 환경에서 번들링하는 Webpack과 트랜스파일하는 Babel에 테스트 프레임워크인 mocha와 이를 브라우저에서 실행하는 Karma의 각 역할과 연동하는 방법을 설명하는 글이다. 이를 다 조합해서 Istanbul로 커버리지를 측정하는 방법까지 설명하고 있다. JavaScript 환경이 특히 많은 도구로 처음 사용할 때 어려움을 겪는 경우가 많은데 각 도구의 목적과 연동 방법이 잘 설명된 글이다.(한국어)
How to learn D3.js : D3.js를 모듈별로 나누어서 어떻게 사용하는지 설명하는 글이다. 각 모듈의 크기를 시각적으로 보여주면서 중요한 부분부터 사용하는 방법을 차근차근 알려주어서 이해하기 좋다.(영어)
Google feedback on TypeScript 3.5 : Google에서 TypeScript로 작성된 코드를 3.5로 올리면서 겪은 문제를 정리한 이슈다. 기존에도 버전을 올릴 때 약간의 작업이 필요하다는 것을 알고 있었지만, 제너릭의 암묵적인 기본값, filter(Boolean), Set에서 특히 어려움이 있었기 때문에 차후 TypeScript 작업에 참고해 달라며 상세한 피드백을 올렸다.(영어)
Caniuse and MDN compatibility data collaboration : MDN의 브라우저 호환성 데이터와 Can I use의 데이터를 합쳐서 보여주기로 했다. Can I use는 10년 이상 되었고 MDN에서는 2년 전부터 브라우저 호환성 데이터를 모으기로 해서 10,000개 이상의 데이터 포인트를 가지게 되었지만 이제 둘의 데이터를 합쳐서 Can I Use에서 만개 이상의 데이터로 호환성 정보를 보여줄 수 있게 되었다.(영어)
그 밖의 개발 관련
코드 리뷰 개발자 가이드 : Google에서 공개한 Code Review Developer Guide를 번역한 문서이다. 개발 조직내에서 코드리뷰를 어떻게 진행하는 게 좋고 리뷰할 때는 어떤 부분을 중점적으로 보고 리뷰의 속도는 왜 중요한지, 리뷰할 때 예의를 지키려면 어떻게 하는지 등 실용적인 얘기가 많아서 찬찬히 읽어보면 좋다.(한국어)
병아리 개발자의 걸음마 한 발짝 (feat. 파일럿 프로젝트) : 우아한 형제들에 신입으로 들어가서 파일럿 프로젝트를 진행하면서 주 차별로 피드백 받은 내용을 정리한 글이다. 기능을 구현한 뒤에 리뷰를 받고 뭐가 문제였고 어떻게 수정했는지도 잘 나와 있고 팀의 다른 분들에게 피드백을 받으면서 하나씩 알아가는 과정이 잘 나와 있어서 재미있는 글이다.(한국어)
Running GitHub on Rails 6.0 : GitHub에서 Rails 6.0이 나오고 1.5주 만에 GitHub 내의 모든 트래픽이 Rails 6.0의 코드가 받도록 프로덕션 배포하면서 사용자에게 영향은 전혀 없었다고 한다. 6.0에서는 100개의 Pull Request를 올렸을 정도로 Rails 개발에 적극적으로 참여하고 있었고 기존 Rails 5.2 코드에서 작업하면서 6.0을 기다리는 것이 아니라 최신 Rails 코드를 매번 가져와서 5.2와 최신 코드 모두에서 빌드해서 문제를 미리 발견하고 기여할 수 있었다고 한다.(영어)
GitHub Pages builds now use the Checks API : GitHub에서 정적 페이지를 운영할 수 있는 Pages 기능이 Checks API를 사용하도록 개선되었다. 덕분에 이전에는 오류가 났을 때 오류가 난 이유를 찾기가 어려웠지만, 이제는 왜 오류가 났는지 상세 내용을 확인할 수 있게 되었다.(영어)
Helm 3: Fun With the New Beta : 베타버전이 나온 Helm 3에서 어떤 부분이 달라졌는지 설명하는 글이다. 일단 서버 역할을 하던 Tiller가 사라지고 정보를 네임스페이스의 Secret에 저장해서 설치나 사용이 훨씬 간단해졌고 Lua 템플릿 대신 Go 템플릿이 사용할 예정이고 나중에 하위 호환성을 위해서 Lua 템플릿도 지원할 예정이지만 3.0에서는 Lua 템플릿을 지원하지 않을 예정이다.(영어)
볼만한 링크
DevOps didn’t exist when I started as a developer: How this one principle changed my career : 1994년부터 개발자로 일한 자신의 경험을 바탕으로 DevOps가 무엇인지 설명하는 글이다. 아주 과거에는 릴리스 프로세스가 아주 느렸고 Agile이 도입되면서 릴리스 프로세스가 빨라지기 시작했지만, 개발팀과 운영팀의 이해 차이로 문제가 되기 시작했고 이 간극을 줄이기 위해서 노력해온 결과 두 팀이 서로 간의 프로세스를 공유하면서 이를 해결해 나갔다고 하고 있다. 나중에 DevOps라는 말을 알게 되었지만, 이 과정이 DevOps라고 생각하고 CI/CD, 직책, 자동화가 DevOps가 아니라 개념이나 마인드셋, 컬쳐, 공유 등이 DevOps라고 설명하고 있다.(영어)
영국 정부의 디지털 서비스 설계 10대 원칙 : 영국 정부의 디지털 서비스 설계 원칙인데 스타트업에서 참고해도 좋을 만큼 원칙이 잘 정리되어 있는 데다가 한국 정부 디지털 서비스의 품질은 아주 안 좋기 때문에 더욱 크게 와닿는다. "사용자에게 필요한 것에서 시작하라", "정부만 할 수 있는 것에 집중하라", "다양한 사용자를 감안하여 설계하라" 등 핵심 원칙과 그에 대한 설명이 요약되어 있다.(한국어)
2019 kakaomobility Report : 카카오모빌리티에서 서비스 사용 데이터를 분석한 리포트를 발행했다. 이 데이터에는 음주단속 강화로 인한 오전 시간대 대리기사의 호출 증가, T 바이크로 평균 2km 정도를 이동, 다양화된 택시 서비스의 증가, 제주도의 인기 방문지 분석 등의 내용이 담겨있다. 전문이 담긴 PDF를 154페이지 분량이다.(한국어)
Comments