RATATOSKRATATOSK
ログイン

SPIRE

v1.15.2Security
2026年7月9日

SPIRE v1.15.2は、docker/dockerをmoby/mobyに移行してCVEを解決するセキュリティリリースであり、委譲型APIがadmin/downstreamエントリのJWT-SVID提供を廃止する動作変更を含みます。同時に、JWT-SVIDのJTIクレーム設定、レート制限、TLSメトリクスエンドポイント、データベース最適化など複数の機能改善とバグ修正を行いました。

  • securitydocker/dockerからmoby/mobyへの依存関係移行によるCVE解決

    moby/mobyへの移行により、docker/dockerの依存関係に含まれていた複数のCVEが解決されます。v1.15.2へ更新してください。

  • breaking委譲型APIのadmin/downstreamエントリに対するJWT-SVID提供を廃止

    委譲型APIがadminおよびdownstream entriesに対するJWT-SVIDの提供を中止しました。委譲型APIを利用する環境では、この変更後の動作を確認してください。

主な変更 (8)

  • docker/dockerからmoby/mobyへの依存関係移行によるセキュリティ修正
  • 委譲型APIのadmin/downstreamエントリに対するJWT-SVID提供を廃止
  • JWT-SVIDのJTIクレーム設定をentry単位で追加
  • agent WorkloadおよびEnvoy SDSの呼び出し元ごとのレート制限(実験的)
  • PrometheusメトリクスエンドポイントのTLSサポート(SPIRE SVID使用)
  • Post-Quantum暗号化ポリシーをバンドルエンドポイントとPrometheusサーバーに適用
  • 大規模デプロイメントでのデータベース負荷軽減(attestedノード一括取得、MySQLクエリ最適化)
  • その他バグ修正(azure_imds認証、CA journal永続化、イベントキャッシュ)などを含む