Backstage
v1.50.0CI/CD & App Deliveryv1.50.0은 인증, 프론트엔드 API, 카탈로그 전반에 걸친 다수의 브레이킹 체인지와 함께 AWS RDS IAM 인증, Auth0 federated logout, 카탈로그 데드락 수정, 보안 패치를 포함한 대규모 릴리스입니다.
breaking업그레이드 전 토큰 디코딩 코드 점검 필수 — ent 클레임 기본 제거
auth.omitIdentityTokenOwnershipClaim의 기본값이 true로 바뀌어 Backstage 사용자 토큰에 ent 소유권 클레임이 더 이상 포함되지 않습니다. 토큰을 직접 디코딩해 ent를 읽는 코드가 있다면 아무 값도 반환되지 않아 조용히 버그가 생깁니다. 코드베이스에서 raw 토큰 디코딩을 찾아 userInfo 코어 서비스로 교체하세요. 시간이 필요하다면 config에 auth.omitIdentityTokenOwnershipClaim: false를 일시적으로 추가할 수 있지만, 이 설정은 향후 릴리스에서 완전히 제거될 예정이므로 마이그레이션 계획을 세워야 합니다.
breakingfrontend-plugin-api 업그레이드 전 createSchemaFromZod를 configSchema로 교체
@backstage/[email protected]에서 deprecated된 createSchemaFromZod 헬퍼가 삭제됐습니다. 이를 사용하는 extension이나 blueprint는 런타임에서 즉시 실패합니다. backstage.io/docs/frontend-system/architecture/migrations#150의 마이그레이션 문서를 참고해 configSchema 옵션으로 전환하세요. zod v3 스키마는 직접 지원되지 않으므로 import { z } from 'zod/v4' 방식을 사용하거나 zod v4로 업그레이드해야 합니다.
securityrollup 경로 순회 취약점 패치 — CLI 및 빌드 도구 업데이트 필요
rollup v4.59 미만 버전에는 고위험도 경로 순회 취약점(GHSA-mw96-cpmx-2vgc)이 있습니다. @backstage/cli, repo-tools, 여러 CLI 모듈이 이미 업데이트됐습니다. 업그레이드 헬퍼를 실행하고 lockfile을 갱신하세요. 워크스페이스 어딘가에 rollup 버전을 직접 고정했다면 v4.59+로 올려야 합니다. glob 의존성도 v7/v8/v11의 취약점을 해소하기 위해 v13으로 업그레이드됐습니다.
주요 변경 (7)
- BREAKING: auth.omitIdentityTokenOwnershipClaim 기본값이 true로 변경 — 토큰에 ent 클레임이 더 이상 포함되지 않아 대규모 조직의 HTTP 헤더 크기 문제 해소
- BREAKING: frontend-plugin-api에서 deprecated된 createSchemaFromZod 헬퍼 제거 — configSchema 옵션(zod v4)으로 마이그레이션 필요
- BREAKING: @backstage/ui에서 React 17 지원 종료 — 최소 버전은 React 18
- 카탈로그 백엔드 데드락 수정: 다중 레플리카 환경에서 SELECT ... FOR UPDATE SKIP LOCKED가 트랜잭션 없이 호출되어 발생하던 PostgreSQL 40P01 오류 해결
- 보안 패치: rollup v4.59+(GHSA-mw96-cpmx-2vgc 경로 순회 취약점) 및 glob v13으로 업그레이드
- backend-defaults에서 PostgreSQL AWS RDS IAM 인증 지원 — 정적 비밀번호 대신 단기 토큰 사용 가능
- Auth0 프로바이더가 federated logout을 수행하도록 개선 — federatedLogout: true 설정 시 상위 IdP 세션도 함께 종료