웹개발 관련

• Critical Security Vulnerability in React Server Components : 지난 29일 Lachlan Davidson이 React에서 인증 없이도 원격 코드를 실행할 수 있는 취약점을 최초로 보고했다. React2Shell로 알려진 이 취약점은 React Server Function 엔드포인트로 전송되는 페이로드를 해독하는 방식의 취약점을 악용하기 때문에 앱이 React Server Function 엔드포인트를 구현하지 않는다고 하더라도 앱이 React Server Component를 지원한다면 취약할 수 있다. 이 취약점은 React 19.0, 19.1.0, 19.1.1, 19.2.0에 존재하며 각각 19.0.1, 19.1.2, 19.2.1에서 수정되었고 Next.js에서도 취약점이 13.3.x, 13.4.x, 13.5.x, 14.x, 15.x, 16.x에 존재하므로 즉시 업데이트해야 한다.(영어)
  
  
  • 이후 서비스 거부 취약점과 소스 코드가 노출될 수 있는 추가 취약점이 발견되어 업데이트가 필요하다.
  • React2Shell 취약점의 자세한 내용은 React2Shell(CVE-2025-55182) 취약점 완전 분석에서 확인할 수 있다.
• How We're Protecting Our Newsroom from npm Supply Chain Attacks : 지난 11월 월간 1억 3천만 건의 다운로드를 기록한 796개의 패키지를 침해한 Shai-Hulud NPM 웜이 있었지만, 시애틀 타임즈는 이 영향을 받지 않았다. npm 레지스트리의 보안 개선을 많은 부분에서 큰 진전을 이루었지만, 레지스트리의 보안은 패키지의 게시는 보호하지만, 패키지의 소비는 막지 못하는데 Shai-Hulud도 이 지점을 이용한 것이었다. 그래서 pmpm의 클라이언트 측 보호 계층을 사용했는데 기본적으로 라이프사이클 스크립트를 차단하고 설정을 통해 제어할 수 있으며 쿨타임을 지정해서 쿨타임 기간 내의 패키지는 설치를 차단할 수 있고 Trust Policy를 통해 새 버전이 이전 버전보다 인증이 약하다면 설치를 차단할 수 있다.(영어)
• Level up design-to-code collaboration with GitHub’s open source Annotation Toolkit : GitHub 접근성 디자인 팀에서 내부 검토를 한 결과 접근성 감사 문제의 절반(48%)은 설계 의도를 WCAG(Web Content Accessibility Guidelines)에 주석으로 문서화했다면 예방할 수 있다는 점을 깨달았다. 이를 해결하기 위해 Annotation Toolkit을 오픈소스로 공개했다. Annotation Toolkit은 디자인에 삽입할 수 있는 주석으로 구성된 Figma 라이브러리로 캔버스 위에 디자인 의도를 표현하고 접근성 동작을 문서화해서 엔지니어에게 명확한 안내를 할 수 있다.(영어)
  
  

그 밖의 개발 관련

• Background Coding Agents: Predictable Results Through Strong Feedback Loops (Part 3) : Spotify에서 백그라운드 코딩 에이전트를 도입하는 과정을 설명하는 연작 글이다. 백그라운드 코딩 에이전트는 PR을 생성 못 하거나 PR을 생성했는데 CI가 실패하거나, CI도 통과했지만, 기능적으로 잘못된 PR을 만드는 세 가지 실패 모드를 걱정했다. 이러한 실패를 완화하기 위해 검증 루프를 넣기 위해 verifier를 만들어서 제공하는데 이를 통해 에이전트가 올바른 해결책을 찾게 하고 verifier를 추상화해서 사소한 컨텍스트에 낭비할 필요가 없어졌다. 추가로 에이전트가 지시하지 않은 문제도 해결하려고 하므로 심사위원으로 LLM을 추가해서 검증 후에 제안된 변경 사항을 검토하도록 했다.(영어)
• $5짜리 프롬프트로 $2,418짜리 취약점 찾은 썰 : 최근 해킹 대회에서 LLM을 많이 사용하는 것에 인사이트를 받아서 수년간 기여해서 이해도가 높은 Django를 대상으로 ChatGPT를 이용해서 취약점 분석을 시도한다. 취약점 목록을 찾게 하고 이를 직접 검토하면서 그동안 몰랐던 취약점에 관해서 배우게 되고 일부 취약점은 인정되지 않았지만 중간 심각도의 취약점으로 평가받은 취약점도 찾아서 제출하게 된 과정이 자세하게 나와 있다.(한국어)
• Litestream VFS : SQLite의 백업/복원 시스템인 Litestream에 VFS 기능이 추가되어 원격에 있는 백업본에 연결해서 전체 데이터베이스를 다운로드 받지 않고도 쿼리를 할 수 있게 되었다. Litestream은 5.0에서 데이터 전송 파일 형식은 LTX를 통합했는데 LTX를 통해 개별 페이지에서 읽기를 수행할 수 있으므로 SQLite의 VFS 인터페이스를 이용해서 이러한 기능을 지원할 수 있다.(영어)
• The (successful) end of the kernel Rust experiment : 메인테이너 서밋에서 Linux Kernel의 Rust 실험에 대해 논의했고 더 이상 실험이 아니고 커널의 핵심이 되었다는 데 합의했다.(영어)
  
  

인프라 관련

• AWS re:Invent 2025 주요 신규 서비스 출시 모음 : 지난 11월 30일부터 12월 4일까지 미국 라스베이거스에서 AWS re:Invent 2025가 열렸다.(한국어)
  
  
  • Graviton 5세대 미리보기 출시
  • AWS Lambda를 EC2에서 실행할 수 있는 AWS Lambda Managed Instances 출시
  • 여러 단계를 조정할 수 있는 AWS Lambda durable functions 출시
  • Kubernetes를 완전히 관리할 수 있는 서비스로 Argo CD, AWS Controllers for Kubernetes, Kube Resource Orchestrator가 포함된 EKS Capabilities 출시
  • 비용 효율성을 유지할 수 있는 AWS Database Saving Plan 도입
  • 원인을 파악하고 사고 대응을 하는 AWS DevOps Agent 출시
  • 벡터를 저장할 수 있는 Amazon S3 Vectors 정식 출시
  • 새로운 프론티어 Nova 모델 발표
• 2025년 12월 5일 Cloudflare 서비스 중단 : 지난 12월 5일 한국 시각 17시 47분부터 25분간 Cloudflare 네트워크에 장애가 발생했다. 이번 장애는 최근 공개된 React2Shell로 알려진 취약점을 막기 위해 버퍼 크기를 1MB로 늘려서 배포하던 중 WAF 테스트 도구가 증가시킨 버퍼 크기를 지원하지 않는다는 것을 발견되었고 이 테스트 도구를 비활성 하려고 글로벌 구성 시스템에 변경했을 때 FL1 버전 프록시가 수년간 잠재되어 있던 버그로 오류가 발생하면서 장애가 발생했다.(한국어)
• Shifting left at enterprise scale: how we manage Cloudflare with Infrastructure as Code : Cloudflare가 보안 검사를 일관되게 적용하기 위해 Shift Left를 적용하려고 Infrastructure as Code로 모두 전환했다. 이를 위해 Terraform을 선택했고 CI/CD 파이프라인에서 Atlantis를 사용하고 있으면 상태 파일을 안전하게 저장하기 위해 tfstate-butler를 사용하고 있다. 필수 보안 구성을 코드로 관리하고 있으며 설정을 자동으로 검사하기 위해 Open Policy Agent(OPA)를 사용해서 Atlantis Conftest Policy Checking 기능으로 이를 검사하고 있다.(영어)
• AV1 — Now Powering 30% of Netflix Streaming : Netflix 시청의 약 30%는 이제 개방형 최신 비디오 코덱인 AV1를 사용하고 있다고 한다. 그 이전에는 H.264.AVC를 스트리밍 포맷으로 사용했지만, 오픈 미디어 연합에서 AV1을 2018년 출시하게 되었고, Netflix에서도 AV1을 지원하기 위해 유연한 안드로이드를 첫 출발점으로 삼았다. AV1의 우수한 압축 효율은 모바일 사용자에게 특히 유용했고, 안드로이드의 AV1 출시를 바탕으로 기기 제조업체와 SoC 업체와 협력해서 2021년 말에는 TV 기기에서 AV1을 스트리밍할 수 있게 되고 2023년에는 애플 기기에도 AV1 하드웨어 지원이 도입되면서 이를 지원할 수 있게 되었다. VOD를 넘어 라이브 스트리밍과 클라우드 게이밍에도 고려하고 있으며 2025년 발표된 AV2에도 큰 기대를 하고 있다.(영어)
• Cloudflare Radar 2025 Year in Review : Cloudflare 네트워크의 데이터를 바탕으로 한 연례 보고서다. 전 세계 인터넷 트래픽은 19% 증가했으며 AI의 사용자 행동 크롤링은 15배 등장했고, Anthropic이 AI 플랫폼 중 가장 높은 크롤링 대비 추천 비율을 보여주었고 robots.txt에서 AI 크롤러를 가장 많이 차단했다. iOS 기기가 모바일 트래픽의 35%를 차지했고 HTTP/3와 HTTP/2는 소폭 증가했으며 전 세계의 듀얼스택 요청은 1/3 미만이 IPv6로 이루어졌다.(영어)
• Free .cv Domains for Everyone: A Tiny Island Nation Is Rewriting the Future of Professional Profiles : 50만 명 인구의 섬나라인 케이프베르데가 소유한 국가 도메인 .cv를 무료로 개방하면서 .cv 레지스트리는 1년 만에 3천 개에서 2만 5천 개로 증가했다. 케이프베르데는 .cv가 새로운 신원 프로토콜이 될 수 있다고 믿고 있고 hello.cv를 통해 자신의 이름으로 된 프로필 도메인은 무료로 얻을 수 있다.(영어)
  
  

AI 관련

• GPT-5.2를 소개합니다 : OpenAI에서 GPT의 새로운 버전인 GPT-5.2를 공개했다. GPT-5.2는 여러 벤치마크에서 최고 기록을 달성하며 GPT-5.1보다 높은 점수를 보여주었다.(한국어)
• DeepSeek-V3.2 Release : 세계적인 추론 기능을 가지고 있으며 대규모 에이전트 훈련 데이터의 합성 방법을 도입한다.(영어)
• Introducing Mistral 3 : Mistral 3가 발표되었다. Mistral 3에는 14B, 8B, 3B 소형 밀도 모델과 Mistral Large 3가 포함되고 지금까지 중 가장 강력한 41B 활성 매개변수와 675B의 총 매개 변수로 훈련된 모델로 Apache 2.0 라이선스로 출시되었다.(영어)
• Devstral2 Mistral Vibe CLI : Mistral에서 차세대 코딩 모델로 Devstral 2(123B)와 Devstral Small 2(24B)를 오픈소스 라이센스로 공개했다.(영어)
• Take the web for a fresh spin with GenTabs, built with Gemini 3 : 수십 개의 탭을 열고 처리하는 어려움을 해결하기 위해 Google Labs에서 새로운 웹 브라우징을 위한 Disco 플랫폼을 만들고 첫 기능으로 Gemini 3를 사용한 GenTabs를 공개했다. GenTabs는 열린 탭과 채팅 기록을 파악해서 작업을 완료할 수 있는 인터랙티브 웹 애플리케이션이다. 현재는 대기자 등록을 한 후 사용할 수 있다.(영어)
• Linux Foundation Announces the Formation of the Agentic AI Foundation (AAIF), Anchored by New Project Contributions Including Model Context Protocol (MCP), goose and AGENTS.md : Linux 재단이 Agentic AI 재단(AAIF)의 설립을 발표했다. 이번 재단 설립과 함께 Anthropic은 MCP(Model Context Protocol), Block의 goose, OpenAI의 AGENTS.md를 기부했으며 회원사로는 AWS, Anthropic, Block, Bloomberg, Cloudflare, Google, Microsoft, OpenAI가 참여했다.(영어)
• OpenAI are quietly adopting skills, now available in ChatGPT and Codex CLI : Anthropic이 Skills를 도입한 이후 이 접근 방법을 다른 LLM에서도 구현하기 쉬워 보인다는 점이 인상적이었는데 최근 OpenAI가 Codex CLI와 ChatGPT에도 skills를 지원하고 있는 것으로 나오고 실제 이를 이용해서 PDF 문서를 생성하는 것을 보여준다.(영어)
  
  

볼만한 링크

• 21 Lessons from 14 Years at Google : Google에서 14년간 일한 Addy Osmani가 그만두면서 그동안 배운 교훈을 정리한 글이다.(영어)
  
  
  1. 최고의 엔지니어는 사용자 문제를 해결하는 데 집착한다.
  2. 옳다는 것은 싸다. 함께 제대로 하는 것이 진짜다.
  3. 완벽을 추구하기보다는 일단 해보고 그다음에 더 잘하는 것이 낫다.
  4. 명확한 코드가 더 중요하고 영리한 코드는 오버헤드가 있다.
  5. 새로운 기술을 도입하는 것은 장애, 채용, 인지 부하로 갚아야 하는 대출이다.
  6. 코드가 당신을 대변하지 않는다.
  7. 최고의 코드는 직접 작성하지 않아도 되는 코드다.
  8. 규모가 커지면 버그에도 사용자가 생긴다.
  9. 대부분의 느린 팀은 정렬이 잘못된 팀이다.
  10. 통제할 수 있는 것에 집중하고 할 수 없는 것은 무시해라.
  11. 추상화는 복잡성을 없애지 않고 온콜 날짜로 이동시킬 뿐이다.
  12. 글쓰기는 명확성을 강요하므로 더 나을 것을 가장 빨리 배우려면 직접 가르쳐 보아야 한다.
  13. 문서화, 온보딩, 팀간 조정, 프로세스 개선처럼 다른 작업을 가능하게 하는 작업은 값을 매길 수 없고 보이지 않는다.
  14. 모든 토론에서 이기고 있다면, 아마도 침묵의 저항이 쌓이고 있을 것이다.
  15. 측정이 목표가 되면 측정을 멈춘다.
  16. 모르는 것을 인정하는 것이 아는 척하는 것보다 더 안전하다.
  17. 인적 네트워크는 당신이 가질 모든 직장보다 더 오래 지속된다.
  18. 대부분의 성과는 명석함을 더하는 것이 아니라 작업을 줄이는 데서 온다.
  19. 프로세스는 불확실성을 줄이기 위함이지 기록을 남기기 위한 것이 아니다.
  20. 결국 시간이 돈보다 소중해지므로 그것에 맞게 행동해야 한다.
  21. 지름길은 없지만 복리는 있다.
• Leaving Intel : 컴퓨팅 성능 연구로 유명하고 다수의 책을 쓴 Brendan Gregg이 3년 반을 다닌 Intel을 퇴사했다.(영어)
• Ghostty Is Now Non-Profit : Mitchell Hashimoto의 개인 프로젝트로 시작된 Ghostty가 이제 Hack Club의 재정후원을 받게 되었다. 여전히 Mitchell이 가장 큰 재정 후원자이지만 Hack Club을 통해 자금이 사적으로 유용되거나 사명이 바뀌지 않도록 Hack Club의 감사를 받게 되고 지적재산권도 모두 Hack Club으로 이전되었다.(영어)
• The Future of Fleet : JetBrains에서 새로운 세대의 IDE를 탐구하려고 Fleet을 시작했지만 기존 IDE를 대체하지도 못했고 새로운 틈새시장도 찾지 못했기에 더 이상 유지할 이유가 없다고 판단하고 12월 22일부터는 다운로드도 중단한다고 한다.(영어)
  
  

IT 업계 뉴스

• 쿠팡 고객 대부분 털렸다‥이름·주소 등 개인정보 3,370만 개 유출 : Coupang의 개인정보 3,370만 건이 유출되었다고 밝혀졌고 자세한 내용은 압수수색 등으로 여전히 조사하고 있다.(한국어)
• Netflix to Acquire Warner Bros. Following the Separation of Discovery Global for a Total Enterprise Value of $82.7 Billion (Equity Value of $72.0 Billion) : Netflix가 워너 브라더스를 인수하기로 최종 계약했다. 이번 계약에는 워너 브라더스의 영화와 TV 스튜디오, HBO, HBO Max를 모두 포함하고 주당 27.75달러로 총기업 가치 826억 달러에 거래가 이루어졌다.(영어)
• IBM to Acquire Confluent : IBM이 Kafka를 주도적으로 만들고 플랫폼을 운영하는 Confluent를 주당 31달러 전액 현급으로 인수하기로 합의했다. 인수 후에도 Confluent는 독립된 브랜드로 사업을 계속할 것이라고 밝혔고, AI에서 데이터를 활용하는 게 핵심이므로 Confluent가 그 중요한 역할을 할 수 있다고 보고 이런 계약이 이루어졌다.(영어)
• Bun is joining Anthropic : JavaScript/TypeScript/JSX 툴킷인 Bun이 AI 모델을 만드는 Anthropic에 인수되었다. Anthropic은 Bun을 Claude Code, Claude Agent SDK 등의 도구에 인프라로 사용할 계획으로 알려졌고 인수 이후에도 Bun은 MIT 라이센스로 유지될 계획이고 기존과 똑같이 개발될 예정이다.(영어)
• Why Sourcegraph and Amp Are Becoming Independent Companies : 코드 검색을 지원하는 Sourcegraph에서 코딩 에이전트를 만드는 Amp를 별도의 회사로 분리하고 Dan Adler가 Sourcegraph의 CEO가 되고 Quinn Slack과 Beyang Liu는 Sourcegraph의 이사회에는 남은 상태로 Amp, Inc를 설립할 예정이다. 서로 간의 시너지가 있지만 두 제품은 가른 유통 엔진과 타겟층을 가지고 있으므로 별도의 회사에서 진행하는 게 맞다고 판단했다고 한다.(영어)
  
  

프로젝트

• Patterns.dev : 바닐라 JavaScript나 모던 프레임워크로 웹 앱을 만들 때 주요한 설계, 렌더링, 성능 패턴을 정리한 온라인 자료.
• Fizzy :37signals에서 만든 Kanban 서비스.
• Cloudflare Sandbox SDK : Cloudflare의 엣지 네트워크상에서 샌드박스 환경에서 코드를 실행할 수 있는 환경
• Brono Simon : Bruno Simon이 3D 게임으로 만든 개인 포트폴리오 사이트.
• Cloudflare Prometheus Exporter : Cloudflare의 매트릭을 Prometheus로 노출하는 익스포터
  
  

버전 업데이트

• Django v6.0 : Python 웹 프레임워크, 릴리스 공지
• Spring Tools v5.0.0 : Spring 코딩 환경을 위한 도구, 릴리스 공지
• Spring gRPC v1.0.0 : Spring의 gRPC 라이브러리, 릴리스 공지
• Lima v2.0.0 : Linux 가상 머신, 릴리스 공지
• Hono v4.11.0 : 엣지용 웹 프레임워크, 릴리스 공지
• React Native v0.83.0 : React를 이용한 모바일 앱 개발 프레임워크, 릴리스 공지
• Zed v0.216.1 : 코드 에디터, 릴리스 공지
• Node.js v24.12.0 (LTS)) : 자바스크립트 런타임, 릴리스 공지
• OpenTofu v1.11.0 : Infrastructure as Code 도구, [릴리스 공지](https://opentofu.
  org/blog/opentofu-1-11-0/)
• Jotai v2.16.0 : React 상태 관리 라이브러리, 릴리스 공지
• Prisma v7.1.0 : TypeScript/Node.js 데이터베이스 툴킷, 릴리스 공지
• ClickHouse v25.11 : 컬럼형 데이터베이스, 릴리스 공지
• vLLM v0.12.0 : LLM 서빙, 릴리스 공지
• Boundary v0.21 : 인프라 접근 관리, 릴리스 공지
• Deno v2.6 : TypeScript 런타임, 릴리스 공지
  
  
  • npx처럼 바이너리를 바로 실행하는 dx 도입
• TinyBase v7.1 : 로컬 우선 앱을 위한 리액티브 데이터 스토어, 릴리스 공지
• pnpm v10.26 : Node.js 패키지 매니저, 릴리스 공지
• Manus 1.6 : 에이전트 시스템, 릴리스 공지