`Vercel`·`Railway`, 무운영 인프라로만 믿기엔 위험하다

// related

• #0001

  #0001인프라·SaaSGeekNews17시간 전

  `GitHub`, 내부 저장소 무단 접근 조사 중

  `GitHub` investigates unauthorized access to internal repositories

  40radar

  확인된 범위는 내부 저장소 접근에 그쳤고, 고객 정보 영향 증거는 아직 없다. 당장 이전할 이슈는 아니지만 GitHub 공식 업데이트는 봐야 함.

  • —현재 확인된 범위는 내부 저장소 접근. 고객 enterprises, 조직까지 영향이 확정된 상황은 아님.
  • —GitHub 내부 저장소 밖에 저장된 고객 정보가 영향을 받았다는 증거는 아직 없음. 추가 공지가 변수다.
  • —실무 대응은 제한적이다. 조직 감사 로그 확인, 민감 토큰 재점검 정도면 충분하고 과잉 이전은 비용 낭비.

  출처: news.hada.io/topic?id=29701원문 보기 →
• #0002

  #0002인프라·SaaSRevenueCat Blog20시간 전

  `Google Play Billing Library` `9.0`, I/O 2026 결제·콘솔 업데이트

  `Google Play Billing Library` `9.0`, billing and console updates from I/O 2026

  80radar

  Google Play Billing LibraryAndroid 결제 라이브러리 — Google Play 인앱결제 연동

  결제, 분석, 보호, Play Console 변화가 한 번에 묶였다. Android 구독 앱은 빌드 거절 뒤가 아니라 다음 릴리스 전 점검할 이슈다.

  • —Play Billing Library 9.0.0은 메이저 버전이다. 결제 코드와 SDK 호환성 확인을 다음 Android 배포 전 넣어야 함.
  • —업데이트 범위가 AI, Play Console, 분석, 보호까지 넓다. 단순 결제 라이브러리 교체로 끝낼 수 없음.
  • —RevenueCat 정리는 보통 Google Play 변경을 SDK·마이그레이션 영향으로 번역한다. 구독 앱 운영 체크리스트로 유용.
  • —Android 구독 매출이 있으면 Google 일정과 RevenueCat SDK 대응을 같이 봐야 한다. 늦으면 릴리스 리스크로 바로 번짐.

  출처: www.revenuecat.com/blog/engineering/play-billing-v9/원문 보기 →
• #0003

  #0003인프라·SaaSGeekNews20시간 전

  CISA 계약자, `AWS GovCloud` 키를 `GitHub`에 노출

  CISA Contractor Leaked `AWS GovCloud` Keys on GitHub

  40radar

  공개 저장소에 고권한 클라우드 키와 내부 시스템 인증정보가 같이 올라갔다. 작은 팀도 GitHub 시크릿 차단을 프로덕션 통제로 봐야 함.

  • —공개 Private-CISA 저장소에 고권한 AWS GovCloud 계정, 평문 비밀번호, 토큰, 로그가 함께 노출됐다.
  • —시크릿 게시를 막는 기본 설정을 꺼둔 흔적이 있었다. 저장소 하나의 설정 실수가 전체 보안망을 무력화한다.
  • —바로 적용할 건 명확함: secret scanning, pre-commit 훅, 키 로테이션을 개인 프로젝트에도 기본값으로 둬야 한다.

  출처: news.hada.io/topic?id=29689원문 보기 →