RATATOSKRATATOSK
ログイン

リリース

CNCF graduated・incubatingプロジェクトのリリースノートのAI分析。

2026年7月解除 ×

Backstage

CI/CD & App Delivery昨日2026年7月14日

Backstage v1.53.0は、SSE MCP transport削除、設定スキーマ型検証の厳格化、認証リダイレクトURI・CIMDの厳格化、OpenAPI検証ツールのOptic→oasdiff置き換えなど、複数の重大な破壊的変更を含むフィーチャーリリースです。Catalog entity page BUI migrationがアルファサポートされ、TechDocs・Scaffolder・catalog周辺のバグ修正、user settingsストレージ・Azure DevOps webhook・Redis・S3 PrivateLinkなどの機能追加が行われていますが、アップグレード前に設定・コードの互換性確認が必須です。

  • breakingSSE MCP transportの削除

    MCP actions backend with SSE transportを使用していた場合は、アップグレード前にHTTP streamableエンドポイントへの移行が必要です。

  • breakingconfig-loaderの型解決が厳格化

    TypeScript設定スキーマで宣言された型インポートが新しく検証されるようになりました。無効なインポートはスキーマ読み込みを失敗させます。既存の設定ファイルで未解決の型参照がないか確認してください。

  • breakingauth-backendのリダイレクトURI・CIMD検証が厳格化

    認証設定のワイルドカード処理が変更されました。ホスト・パス境界を跨ぐワイルドカード、プロトコル未指定のパターン、埋め込み認証情報を含むリダイレクトURIが無効とみなされるようになりました。auth-backendの設定を確認し、`http://localhost:*/*`のように明示的にプロトコルと範囲を指定してください。

  • breakingEntityContextMenuItemBlueprintの出力仕様変更

    EntityContextMenuItemBlueprintが、レンダリング済みMUI要素ではなくメニューアイテムデータを出力するよう変更されました。icon型がIconElementになっています。catalog依存コンポーネントのメニュー実装を確認してください。

  • breakingbootstrapEnvProxyAgentsとプロキシエージェント周辺の削除

    bootstrapEnvProxyAgentsとglobal-agent、undiciの依存関係が削除されました。Node環境でプロキシエージェント設定を行っている場合は、NODE_USE_ENV_PROXY環境変数の直接利用に切り替えてください。

  • breakingOpenAPI検証ツールがOpticからoasdiffに変更

    OpenAPI検証ツールが@useoptic/opticからoasdiffに置き換わりました。repo-tools内のOpenAPI破壊的変更検出を使用している場合は、新しいoasdiffの動作仕様を確認してください。

  • breakingOpenAPIスキーマコマンドとヘルパー関数の削除

    `package schema openapi init`、`repo schema openapi test`コマンドが削除されました。runtime検証は`@backstage/backend-openapi-utils/testUtils`の`wrapServer`で引き続き利用できます。deprecatedの`wrapInOpenApiTestServer`も削除されているため、移行スクリプトを確認してください。

主な変更 (7)
  • SSE MCP transportを削除。HTTP streamableエンドポイントへの移行が必要
  • config-loaderがTypeScriptスキーマの型インポートを検証・解決するよう厳格化。無効な型参照はスキーマ読み込み失敗
  • auth-backendのリダイレクトURI・CIMD検証を厳格化。ワイルドカード・プロトコル未指定・埋め込み認証情報が無効に。`http://localhost:*/*`のような明示的なパターンが必須
  • EntityContextMenuItemBlueprintが出力仕様を変更。MUI要素からメニューアイテムデータへ
  • bootstrapEnvProxyAgentsと関連依存関係(global-agent、undici)を削除。NODE_USE_ENV_PROXY環境変数を推奨
  • OpenAPI検証ツールをOpticからoasdiffに切り替え。package schema openapi init・repo schema openapi testコマンドも削除
  • TechDocs・Scaffolder・Catalogにおける複数のバグ修正(メタデータリクエストループ、型変換エラー、フィルター処理など)、BUI向けCatalog entity page migrationのアルファサポート、database-backed user settingsプラグインのデフォルト追加、Auth0・Azure DevOps webhook・Redis・S3 PrivateLinkの機能拡張
原文

Flux

CI/CD & App Delivery2026年7月13日

Flux v2.9.2は、v2.9.1の回帰によってKustomizationがopenapi.pathのURL参照で調整に失敗する問題を修正した定期パッチです。複数のCRD説明と依存関係も修正されています。

主な変更 (5)
  • v2.9.1で導入された回帰修正: Kustomizationのopenapi.pathがURLを指す場合の調整が失敗する問題を解決(kustomize-controller)
  • HelmChart CRD説明修正: .status.urlがBucketStatus.Artifactを誤って参照していた箇所をHelmChartStatus.Artifactに修正(source-controller)
  • ImageRepository CRD説明修正: .status.observedExclusionListがspec.lastScanResultを誤って参照していた箇所をstatus.lastScanResultに修正(image-reflector-controller)
  • ImageUpdateAutomation CRD説明修正: .status.observedSourceRevisionからGo構造体の宣言が漏れていた問題を削除(image-automation-controller)
  • fluxcd/pkgおよびツールキット依存関係を更新
原文

Argo

CI/CD & App Delivery2026年7月9日

Argo CD v3.4.5は、SSA認証調整、同期・UI関連の回帰、Dex設定環境変数の問題を修正したルーチンパッチです。破壊的変更なし。

主な変更 (7)
  • リポジトリサーバーが参照元ソースの深さを尊重するよう修正
  • Server-Side Apply時の認証調整処理を削除し、不正な調整動作を回避
  • マニフェスト生成パスを使用した同期中に新しいコミットが到着した場合の自動同期スキップを修正
  • 削除されたリソースがUIで存在するとして誤表示される問題を修正
  • replace同期オプションが無視されないフィールドを上書きする問題を修正
  • Dex設定の環境変数展開リグレッションを修正
  • golang.org/x/cryptoを0.53.0に更新、Ubuntuベースイメージを26.04 LTSに更新
原文

Tekton

CI/CD & App Delivery2026年7月8日

Tekton v1.6.5はGoツールチェーンを1.25.10に更新する定期的なセキュリティパッチです。破壊的変更や新機能はありません。

  • securityGo 1.25.10へのセキュリティアップデート

    Tekton v1.6.5はGoツールチェーンを1.25.10に更新し、複数のCVEを修復します。本番環境で稼働中の場合は速やかに更新してください。

主な変更 (1)
  • Goを1.25.10に更新してCVEを修復
原文

Tekton

CI/CD & App Delivery2026年7月8日

Tekton v1.9.6はセキュリティ重点のパッチリリースで、Go およびgolang.org/x/cryptoとgolang.org/x/netを更新してCVE脆弱性を修正します。併せてkodata LICENSEシンボリックリンクの実ファイル化を行いました。

  • securityGo およびクリプト・ネットライブラリのCVE修正

    CVE対策としてGoを1.25.10に、golang.org/x/cryptoをv0.52.0に、golang.org/x/netをv0.55.0に更新しました。これらの依存ライブラリの脆弱性を修正するため、v1.9.6へのアップグレードを推奨します。

主な変更 (2)
  • セキュリティ: Go 1.25.10、golang.org/x/crypto v0.52.0、golang.org/x/net v0.55.0へ更新(CVE対策)
  • ビルド衛生: kodata LICENSEシンボリックリンクを実ファイルに置き換え
原文

Flux

CI/CD & App Delivery2026年7月7日

Flux v2.9.1は、post-build変数置換がFlux自身のCRDスキーマを破損させ得た不具合を修正するパッチリリースで、SOPSの.ini復号エラーとdry-run時のstrategic merge patchエラーの修正も含む。新規の破壊的変更や非推奨化、CVEの開示はない。

  • breakingpost-build変数置換によるFlux CRDスキーマ破損を修正

    事後ビルド変数置換(post-build substitution)を有効にしたKustomizationで、${...}形式の文字列がFlux自身のCRDスキーマ内のフィールドと一致する場合、CRDのスキーマが書き換えられて壊れる不具合があった。v2.9.1ではFlux CRDに`kustomize.toolkit.fluxcd.io/substitute: disabled`アノテーションを付与し、置換対象から除外することで修正している。該当する構成を使っている場合はv2.9.1へ更新を。

主な変更 (3)
  • post-build変数置換がFlux自身のCRDスキーマを書き換えて破損させる不具合を修正。CRDに`substitute: disabled`アノテーションを付与して対象外に
  • SOPSによる.ini形式ファイルの復号処理の不具合を修正
  • dry-run時のstrategic merge patchでエラーが発生する問題を修正
原文
月別に見る