본문으로 건너뛰기
J
피드

yt-dlp, Bun 지원을 제한하고 폐기 수순으로 전환

open-source 약 5분
tags
#bun#yt-dlp#ejs#supply-chain#javascript
vote
0
댓글
북마크

yt-dlp가 ejs 호환 자바스크립트 런타임으로서 Bun 지원 범위를 Bun 1.2.11부터 1.3.14까지만으로 좁히고, 장기적으로는 지원을 중단할 수 있다고 밝혔다. 이유는 오래된 Bun 버전의 잠금 파일 처리 문제가 npm 공급망 공격 상황에서 보안 리스크가 크고, 최신 Bun 개발 방향에 대한 유지보수 불신이 커졌기 때문이다.

  • 1

    Bun 1.0.31 이상 지원에서 Bun 1.2.11~1.3.14만 지원하는 방식으로 범위가 좁아짐

  • 2

    Bun 1.2.0 이전 버전으로 ejs 패키지를 빌드하면 ejs 잠금 파일이 무시돼 공급망 공격에 취약해질 수 있음

  • 3

    Bun 1.3.14는 기존 Zig 코드베이스로 빌드된 마지막 릴리스라 지원 상한선으로 잡힘

  • 4

    yt-dlp 쪽은 Bun 지원을 deprecated로 표시하고, 유지 부담이 커지면 완전히 제거할 수 있다고 못박음

  • yt-dlp가 Bun 지원을 사실상 정리하기 시작함

    • 다음 yt-dlp 또는 ejs 릴리스부터 Bun은 1.2.11 이상 1.3.14 이하 버전만 지원됨
    • 기존 최소 지원 버전은 Bun 1.0.31이었는데, 이번에 하한선도 올리고 상한선도 새로 둔 셈임

  • 하한선을 Bun 1.2.11로 올린 이유는 보안 쪽이 큼

    • Bun 1.2.0 이전 버전으로 ejs 패키지를 빌드하면 ejs 잠금 파일이 무시되는 문제가 있음
    • 요즘 npm 공급망 공격이 계속 터지는 상황에서, 잠금 파일이 무시된다는 건 꽤 위험한 신호임
    • 게다가 ejs 테스트 스위트가 Bun 1.2.11 이전 버전에서는 제대로 돌지 않아서, 검증 가능한 최소선도 1.2.11로 잡힘

중요

> 핵심은 “Bun이 싫다”가 아니라, 빌드 재현성과 공급망 보안 관점에서 더 이상 넓은 버전 범위를 책임지기 어렵다는 판단임.

  • 상한선을 Bun 1.3.14로 둔 대목이 더 매콤함

    • yt-dlp 쪽 설명에 따르면 Bun은 최근 Claude를 이용해 Rust로 다시 작성됐고, 개발 흐름이 “vibe-coded” 쪽으로 간 것처럼 보인다고 봄
    • 그래서 기존 Zig 코드베이스에서 나온 마지막 릴리스인 Bun 1.3.14까지만 지원하겠다는 입장임
    • 표현이 꽤 직설적임. “나중에 골치 아플 게 보이니 미리 피하겠다”에 가까움

  • Bun 지원은 제한만 되는 게 아니라 deprecated 처리됨

    • 당장은 좁아진 버전 범위 안에서 yt-dlp와 ejs 요구사항을 만족하는 동안 지원을 유지함
    • 하지만 유지보수 부담이 커지는 순간 Bun 지원을 완전히 제거할 권리를 남겨둠
    • 즉, Bun을 yt-dlp/ejs 조합에서 쓰는 사용자는 이제 “언젠가 빠질 수 있음”을 전제로 봐야 함

  • 오픈소스 의존성 관리에서 꽤 흥미로운 선례임

    • 런타임의 성능이나 인기보다, 테스트 가능성·잠금 파일 처리·코드베이스 변화에 대한 신뢰가 더 중요하게 작동한 사례임
    • 특히 AI로 대규모 재작성된 런타임을 downstream 프로젝트가 어떻게 받아들이는지 보여주는 장면이라, Bun만의 얘기로 끝나진 않을 듯함

기술 맥락

  • yt-dlp가 고른 선택은 “Bun을 당장 없애기”가 아니라 “검증 가능한 버전만 남기기”예요. 왜냐하면 ejs를 실행하는 런타임이 빌드와 테스트에서 예측 가능해야 하는데, Bun의 오래된 버전은 잠금 파일 처리부터 흔들렸거든요.

  • 잠금 파일 문제는 단순한 귀찮음이 아니에요. 패키지 의존성의 정확한 버전을 고정하지 못하면, 같은 소스라도 설치 시점에 따라 다른 코드가 들어올 수 있고, 최근 npm 공급망 공격처럼 악성 패키지가 끼어들 여지가 커져요.

  • Bun 1.3.14를 상한선으로 둔 건 코드베이스 신뢰도에 대한 판단이에요. 원문은 이 버전이 기존 Zig 코드베이스 기반의 마지막 릴리스라고 보고, 이후 Rust 재작성 흐름은 유지보수 리스크가 크다고 본 거예요.

  • 이 결정이 개발자에게 중요한 이유는 런타임 선택이 “빠르냐 느리냐”만의 문제가 아니라는 점이에요. 내가 쓰는 도구가 의존성 잠금, 테스트 실행, 릴리스 신뢰성을 얼마나 잘 지키는지가 실제 운영 리스크로 바로 이어지거든요.

이건 단순한 런타임 호환성 공지가 아니라, 오픈소스 프로젝트가 의존성의 개발 방식과 보안 신뢰도를 어떻게 평가하는지 보여주는 꽤 노골적인 사례다. 특히 잠금 파일 무시 같은 이슈는 요즘 npm 공급망 공격 흐름에서는 그냥 넘기기 힘든 신호다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

open-source

위키피디아에도 빅테크식 반노조 플레이북이 들어왔다

위키미디어 재단이 5월 열흘 사이 MediaWiki 장기 핵심 개발자를 해고하고, 자원봉사 편집자 요청을 처리하던 Community Tech 팀을 해산했다는 비판 글이다. 해고된 인력 상당수가 노조 조직 활동과 연결돼 있었고, 위키피디아 편집자들은 연대 파업까지 거론하고 있다. 재단은 2억9660만 달러의 준비금과 빠르게 성장하는 AI 대상 API 매출을 갖고 있어, 이 사안이 단순 비용 절감으로 보기 어렵다는 게 글의 핵심이다.

open-source

캘리포니아, 연령 확인법에서 리눅스 빼려는 수정안 추진

캘리포니아가 운영체제에 사용자 나이 확인을 요구하는 법안에서 대부분의 오픈소스 운영체제를 제외하는 수정안을 추진 중이다. 데비안, 페도라, 우분투, 아치, 리눅스 민트 같은 배포판은 빠질 가능성이 커졌지만, 스팀OS처럼 독점 앱 생태계와 연결된 플랫폼은 여전히 애매한 상태다.

open-source

마이크로소프트, 45년 전 86-DOS 소스코드를 오픈소스로 공개

마이크로소프트가 86-DOS 1.00 출시 45주년에 맞춰 지금까지 발견된 것 중 가장 오래된 DOS 소스코드를 공개했어. 팀 패터슨의 차고에 있던 도트 매트릭스 출력물을 스캔하고 옮겨 적어, 원본 바이너리와 바이트 단위로 동일하게 다시 컴파일되는 수준까지 복원한 게 포인트야.

open-source

밤부 랩, AGPLv3 위반 논란으로 오픈소스 커뮤니티와 충돌

3D 프린터 제조사 밤부 랩이 AGPLv3 라이선스 위반 논란에 휘말렸고, Software Freedom Conservancy가 두 건의 위반 사례를 확인했다는 내용이야. Louis Rossmann과 Gamers Nexus는 관련 개발자의 법적 방어를 위해 2만달러를 기부했고, 갈등의 핵심은 오픈소스 기반 생태계를 클라우드와 DRM으로 점점 닫아가려는 움직임이야.

open-source

플리퍼, 리눅스 기반 확장형 기기 '플리퍼 원' 공개

플리퍼가 기존 플리퍼 제로를 대체하는 후속작이 아니라, 리눅스 기반 네트워킹·확장형 기기인 플리퍼 원을 공개했어. RK3576 8코어 ARM 칩, 와이파이 6E, 듀얼 이더넷, NVMe, HDMI 4K 120Hz까지 넣으면서 장난감 같은 해킹 도구에서 훨씬 범용적인 리눅스 장비 쪽으로 방향을 넓히는 그림이야.