PaperClip을 Azure에 올리기 전 의존성 검사가 필요하다
Azure v1.3은 Azure에서 여러 에이전트를 함께 돌리기 위한 오픈소스 구성이다. 이 구성은 을 작업 흐름 조율과 화면용으로 쓰고, Hermes를 에이전트 런타임으로 쓰며, Honcho를 메모리용으로 쓴다. Azure 쪽 기반으로는 , Azure Container Apps, pgvector가 붙은 Postgres, Key Vault, Application Insights와 , 그리고 를 우선 쓰는 비용 절감형 모델 라우터가 포함된다.
배포 준비 중 기반이 되는 인기 에이전트 런타임을 의존성 검사로 확인했더니, 약 10개의 에서 알려진 CVE가 나왔다. 문제가 나온 패키지에는 aiohttp, , tornado, python-multipart처럼 요청 처리 경로에 들어가는 도구도 있었다. 대부분은 서비스 거부 관련 취약점이었다.
많이 쓰이고 활발히 관리되는 도구라도 최신 보안 패치가 빠져 있을 수 있다.
핵심 포인트
- Azure는 , Hermes, Honcho를 Azure 배포용으로 묶은 오픈소스 구성이다.
- 은 이 구성에서 작업 흐름 조율과 화면 역할을 맡는다.
- 배포 전 의존성 검사에서 약 10개의 CVE가 발견됐다.
- aiohttp, , tornado, python-multipart처럼 요청 처리에 가까운 패키지도 포함됐다.
- 인기 있고 활발한 에이전트 런타임도 보안 패치가 늦을 수 있다.