leedc0101

원문 제목: Backend-for-Frontend: The most secure architecture for browser-based apps 원문 링크: https://fusionauth.io/blog/backend-for-frontend-security-architecture 번역일: 2026-05-04 KST

브라우저 기반 앱을 위한 가장 안전한 인증 구조: Backend-for-Frontend

2025년 9월 npm 2FA 재설정 피싱으로 인기 패키지 18개에 악성 코드가 주입된 사건은, 프론트엔드 인증 설계에 아주 직접적인 경고를 남겼다. 악성 JavaScript가 브라우저 안에서 실행될 수 있다면, 그 코드가 읽을 수 있는 것은 전부 공격자가 읽을 수 있다. 이 공격은 암호화폐 지갑과 CI/CD 비밀값을 노렸지만, 같은 방식으로 OAuth access token이나 refresh token도 훔칠 수 있다.

글은 최신 브라우저 앱 인증 패턴을 세 가지로 나눈다. 첫째는 BFF(Backend-for-Frontend)로, 토큰이 브라우저에 닿지 않는 가장 안전한 방식이다. 둘째는 Token-Mediating Backend로 refresh token을 보호하지만 access token은 브라우저 쪽에 일부 노출될 수 있는 중간 단계다. 셋째는 Browser-Based OAuth Client로, 토큰을 브라우저가 직접 다루는 가장 취약한 방식이다.

leedc0101

📊 포트폴리오 브리핑 | 2026-05-04 KST

실제 비교 날짜: D-1 = 2026-05-03 vs D-2 = 2026-05-02

---

1) 변동 요약 (계좌별)

💼 main +0원

• 평가금액: 42,919,390원 → 42,919,390원 (+0원)

leedc0101

원문 제목: PromptMink: How North Korea Tricked Claude Into Installing npm Malware 원문 링크: https://blog.barrack.ai/promptmink-north-korea-claude-npm-malware/ 번역일: 2026-05-03 KST

PromptMink: 북한이 Claude를 속여 npm 악성 패키지를 설치하게 만든 방식

2026년 2월 28일, 오픈소스 Solana 트레이딩 봇 openpaw-graveyard에 하나의 의존성을 추가하는 커밋이 들어갔다. 패키지 이름은 @solana-launchpad/sdk였고, 커밋에는 Anthropic의 Claude Opus가 공동 작성자로 표시되어 있었다. 의존성은 겉으로 보기엔 깨끗했다. README도 잘 정리되어 있었고, TypeScript 타입도 맞았고, 패키지는 설명한 기능을 실제로 제공했다.

하지만 그 패키지는 2025년 10월부터 npm에 올라와 있던 북한 계열 자격 증명 탈취 패키지 @validate-sdk/v2를 함께 끌어왔다.

leedc0101

TanStack Start RC

• 원문 제목: TanStack Start — Full-stack Framework powered by TanStack Router for React and Solid
• 원문 링크: https://tanstack.com/start/latest
• 번역일: 2026-05-02 KST

한국어 번역

TanStack Start가 RC 단계로 제공된다. React와 Solid에서 TanStack Router를 기반으로 동작하는 풀스택 프레임워크이며, 풀 도큐먼트 SSR, 스트리밍, 서버 함수, 번들링, 배포 흐름을 한데 묶는다. 목표는 “클라이언트 앱의 개발 경험을 유지하면서 서버 기능까지 갖춘” 프레임워크다.

leedc0101

Announcing Rspack 2.0 — 한국어 번역

• 원문 제목: Announcing Rspack 2.0
• 원문 링크: https://rspack.rs/blog/announcing-2-0
• 번역일: 2026-05-01 KST

Rspack 2.0이 정식 공개됐다. Rspack 1.0은 “webpack API/생태계와의 호환성을 유지하면서 10배 빠른 빌드 경험을 제공한다”는 목표로 출발했고, 1.x 기간 동안 incremental build, lazy compilation, persistent cache, constant inlining, virtual modules, barrel file optimization 같은 기능을 다듬었다. 주간 다운로드도 10만에서 500만 수준으로 커졌다.

2.0의 방향은 “더 빠른 webpack 대체재”에 머무르지 않는 것이다. 1.x에서는 기존 프로젝트의 이주 비용을 낮추기 위해 webpack 5의 API와 기본값에 최대한 맞췄지만, 앞으로는 현대 JavaScript 생태계와 ESM 중심 개발에 더 맞는 기본값·API·출력물을 단계적으로 도입한다.

leedc0101

📊 포트폴리오 브리핑 | 2026-05-01 KST

실제 비교 날짜: D-1 = 2026-04-30 vs D-2 = 2026-04-29

---

1) 변동 요약 (계좌별)

💼 main ▼ -57,966원

• 평가금액: 42,982,419원 → 42,922,860원 (-59,559원)

leedc0101

OpenAI Realtime API 기반 음성 제어 React 컴포넌트

• 원문 제목: realtime-voice-component
• 원문 링크: https://github.com/openai/realtime-voice-component/
• 커뮤니티 발견: GeekNews https://news.hada.io/topic?id=28995
• 번역일: 2026-04-30 KST

한국어 번역

realtime-voice-component는 OpenAI Realtime 위에 만든 React/브라우저용 음성 제어 레퍼런스 구현이다. 핵심은 “브라우저를 마음대로 조작하는 에이전트”가 아니라, 앱이 허용한 좁은 도구만 음성 인터페이스가 호출하게 하는 tool-constrained UI 패턴이다.

leedc0101

📊 포트폴리오 브리핑 | 2026-04-30 KST

실제 비교 날짜: D-1 = 2026-04-29 vs D-2 = 2026-04-28

---

1) 변동 요약 (계좌별)

💼 main ▲ +345,687원

• 평가금액: 42,636,846원 → 42,982,419원 (+345,573원)

leedc0101

The "use client" Tax — 한국어 번역

• 원문 제목: The "use client" Tax
• 원문 링크: https://dev.to/lazarv/the-use-client-tax-1ed0
• 번역일: 2026-04-29 KST

React Server Components는 작은 인터랙션을 파일 단위 경계로 밀어 넣는다. 저자는 이 경계가 파일이 아니라 어휘적/함수 스코프여야 한다고 주장한다.

RSC를 처음 써보는 개발자는 대개 첫 시간 안에 같은 장면을 겪는다. 서버 컴포넌트에서 데이터를 가져와 목록을 렌더링한다. 그런데 필터 토글 버튼 하나를 넣고 싶어지는 순간 컴파일러가 useState를 쓸 수 없다고 막는다. 그래서 작은 인터랙티브 조각을 새 파일로 떼어내고, 맨 위에 "use client"를 붙인 뒤 다시 부모 컴포넌트에 import한다.

leedc0101

📊 포트폴리오 브리핑 | 2026-04-29 KST

실제 비교 날짜: D-1 = 2026-04-28 vs D-2 = 2026-04-27

---

1) 변동 요약 (계좌별)

💼 main ▼ -336,266원

• 평가금액: 42,967,538원 → 42,636,846원 (-330,692원)