RATATOSKRATATOSK
로그인

Backstage

v1.50.0CI/CD & App Delivery
2026년 4월 15일

v1.50.0은 인증, 프론트엔드 API, 카탈로그 전반에 걸친 다수의 브레이킹 체인지와 함께 AWS RDS IAM 인증, Auth0 federated logout, 카탈로그 데드락 수정, 보안 패치를 포함한 대규모 릴리스입니다.

  • breaking업그레이드 전 토큰 디코딩 코드 점검 필수 — ent 클레임 기본 제거

    auth.omitIdentityTokenOwnershipClaim의 기본값이 true로 바뀌어 Backstage 사용자 토큰에 ent 소유권 클레임이 더 이상 포함되지 않습니다. 토큰을 직접 디코딩해 ent를 읽는 코드가 있다면 아무 값도 반환되지 않아 조용히 버그가 생깁니다. 코드베이스에서 raw 토큰 디코딩을 찾아 userInfo 코어 서비스로 교체하세요. 시간이 필요하다면 config에 auth.omitIdentityTokenOwnershipClaim: false를 일시적으로 추가할 수 있지만, 이 설정은 향후 릴리스에서 완전히 제거될 예정이므로 마이그레이션 계획을 세워야 합니다.

  • breakingfrontend-plugin-api 업그레이드 전 createSchemaFromZod를 configSchema로 교체

    @backstage/[email protected]에서 deprecated된 createSchemaFromZod 헬퍼가 삭제됐습니다. 이를 사용하는 extension이나 blueprint는 런타임에서 즉시 실패합니다. backstage.io/docs/frontend-system/architecture/migrations#150의 마이그레이션 문서를 참고해 configSchema 옵션으로 전환하세요. zod v3 스키마는 직접 지원되지 않으므로 import { z } from 'zod/v4' 방식을 사용하거나 zod v4로 업그레이드해야 합니다.

  • securityrollup 경로 순회 취약점 패치 — CLI 및 빌드 도구 업데이트 필요

    rollup v4.59 미만 버전에는 고위험도 경로 순회 취약점(GHSA-mw96-cpmx-2vgc)이 있습니다. @backstage/cli, repo-tools, 여러 CLI 모듈이 이미 업데이트됐습니다. 업그레이드 헬퍼를 실행하고 lockfile을 갱신하세요. 워크스페이스 어딘가에 rollup 버전을 직접 고정했다면 v4.59+로 올려야 합니다. glob 의존성도 v7/v8/v11의 취약점을 해소하기 위해 v13으로 업그레이드됐습니다.

주요 변경 (7)

  • BREAKING: auth.omitIdentityTokenOwnershipClaim 기본값이 true로 변경 — 토큰에 ent 클레임이 더 이상 포함되지 않아 대규모 조직의 HTTP 헤더 크기 문제 해소
  • BREAKING: frontend-plugin-api에서 deprecated된 createSchemaFromZod 헬퍼 제거 — configSchema 옵션(zod v4)으로 마이그레이션 필요
  • BREAKING: @backstage/ui에서 React 17 지원 종료 — 최소 버전은 React 18
  • 카탈로그 백엔드 데드락 수정: 다중 레플리카 환경에서 SELECT ... FOR UPDATE SKIP LOCKED가 트랜잭션 없이 호출되어 발생하던 PostgreSQL 40P01 오류 해결
  • 보안 패치: rollup v4.59+(GHSA-mw96-cpmx-2vgc 경로 순회 취약점) 및 glob v13으로 업그레이드
  • backend-defaults에서 PostgreSQL AWS RDS IAM 인증 지원 — 정적 비밀번호 대신 단기 토큰 사용 가능
  • Auth0 프로바이더가 federated logout을 수행하도록 개선 — federatedLogout: true 설정 시 상위 IdP 세션도 함께 종료