SPIRE
v1.15.2Security2026年7月9日
SPIRE v1.15.2は、docker/dockerをmoby/mobyに移行してCVEを解決するセキュリティリリースであり、委譲型APIがadmin/downstreamエントリのJWT-SVID提供を廃止する動作変更を含みます。同時に、JWT-SVIDのJTIクレーム設定、レート制限、TLSメトリクスエンドポイント、データベース最適化など複数の機能改善とバグ修正を行いました。
securitydocker/dockerからmoby/mobyへの依存関係移行によるCVE解決
moby/mobyへの移行により、docker/dockerの依存関係に含まれていた複数のCVEが解決されます。v1.15.2へ更新してください。
breaking委譲型APIのadmin/downstreamエントリに対するJWT-SVID提供を廃止
委譲型APIがadminおよびdownstream entriesに対するJWT-SVIDの提供を中止しました。委譲型APIを利用する環境では、この変更後の動作を確認してください。
主な変更 (8)
- docker/dockerからmoby/mobyへの依存関係移行によるセキュリティ修正
- 委譲型APIのadmin/downstreamエントリに対するJWT-SVID提供を廃止
- JWT-SVIDのJTIクレーム設定をentry単位で追加
- agent WorkloadおよびEnvoy SDSの呼び出し元ごとのレート制限(実験的)
- PrometheusメトリクスエンドポイントのTLSサポート(SPIRE SVID使用)
- Post-Quantum暗号化ポリシーをバンドルエンドポイントとPrometheusサーバーに適用
- 大規模デプロイメントでのデータベース負荷軽減(attestedノード一括取得、MySQLクエリ最適化)
- その他バグ修正(azure_imds認証、CA journal永続化、イベントキャッシュ)などを含む