왜 프라이빗 저장소를 기본값으로 설정해야 하는가
대부분의 개발자는 저장소 공개 여부를 단순히 체크박스 하나를 선택하는 문제로 여깁니다. 이는 실수입니다. 상용 소프트웨어의 경우, 프라이빗 저장소는 여러분의 경쟁 우위를 보호합니다.
프라이빗 저장소는 퍼블릭 저장소와 동일한 기술적 기능을 제공합니다. 코드를 배포하거나, 도메인을 관리하거나, 애플리케이션을 실행하는 방식은 변하지 않습니다. 유일한 차이점은 누가 여러분의 로직을 볼 수 있느냐 하는 것입니다.
프라이빗을 유지해야 하는 이유:
- 해자(Moat)를 보호하세요: 코드 구조, 프레임워크, 아키텍처는 여러분의 비즈니스 전략을 드러냅니다. 퍼블릭 저장소는 경쟁사에게 여러분의 효율성을 복제할 수 있는 청사진을 제공합니다.
- 공격 표면(Attack surface)을 줄이세요: 공개된 코드는 해커가 취약점을 찾는 데 도움을 줍니다. 해커는 여러분의 인증 및 검증 로직을 연구하여 정밀 타격 공격을 계획할 수 있습니다.
- 주의 분산을 방지하세요: 퍼블릭 저장소는 요청하지 않은 문의나 기술 지원 질문을 불러옵니다. 이는 팀의 시간을 낭비하게 만듭니다.
- 지적 재산을 보호하세요: 최적화된 패턴과 해결된 문제들은 자산입니다. 이를 무료로 제공하지 마세요.
기술적 사실:
- CI/CD 파이프라인은 동일하게 작동합니다.
- 빌드 프로세스는 동일하게 유지됩니다.
- 런타임 성능은 변하지 않습니다.
- 팀 협업 도구는 프라이빗 모드에서도 완벽하게 작동합니다.
만약 퍼블릭으로 전환하기로 결정했다면, 먼저 코드를 감사(Audit)해야 합니다.
퍼블릭 전환 전 감사 단계:
- 시크릿(Secrets) 스캔: GitLeaks와 같은 도구를 사용하여 하드코딩된 자격 증명을 찾으세요.
- 문서 확인: README 파일에서 내부 URL과 배포 절차를 제거하세요.
- 설정 검토: 환경 설정 예시가 인프라를 드러내지 않도록 하세요.
- 메트릭 숨기기: 스케일링 패턴이나 사용자 규모를 보여주는 데이터를 제거하세요.
한 번 퍼블릭으로 전환하면 검색 엔진이 코드를 인덱싱합니다. 이를 진정으로 다시 비공개로 돌리는 것은 불가능합니다.
운영 지능(Operational intelligence)을 프라이빗하게 유지하세요. 오픈 소스가 명확한 비즈니스 목표인 경우에만 퍼블릭 저장소를 사용하십시오.