![Featured image for [Express] 보안](https://tired-i.com/wp-content/uploads/2026/01/express-image-1.gif)
0. 참고자료
1. 보안
Express 공홈에서는 보안을 위해서 다음과 같은 점을 거론했다.
- 더 이상 사용되지 않거나 취약성이 있는 버전의 Express 사용 중지
- TLS 사용 (대충 SSL, https를 사용할 것을 권고한다는 의미)
- Helmet 사용
- 쿠키를 안전하게 사용
- 인증 체계에 대한 브루스 포트 공격 방지
- 종속 항목이 안전한지 확인
- 그 외의 알려져 있는 취약점 회피
- 추가적인 고려사항
2. dependency 보안
npm@6부터 npm은 자동으로 모든 설치 요청을 검사합니다.
또한 npm audit을 이용해 여러분의 의존성 트리를 검사할 수 있습니다.
가. audit
npm audit
23년 7월 기준 nsp는 더 이상 지원하지 않는다.
이는 Node Security Platform(통칭 nsp )를 npm, Inc가 인수했기 때문이다.
npm v6가 나오면서 npm audit이라는 기능에 녹아들었다.
나. Snyk
npm install -g snyk
cd your-app
snyk test //취약점을 검사
Code language: JavaScript (javascript)3. Helmet
Helmet helps secure Express apps by setting HTTP response headers.
자주 발생하는 보안 이슈를 자동으로 해결하는 모듈.
가. 설치
npm install --save helmet
나. 예시
const helmet = require('helmet');
app.use(helmet());
Code language: PHP (php)인증서를 구매하기 전까지는 꺼놓자.