RATATOSKRATATOSK
로그인

Crossplane

v1.20.6Orchestration & Management
2026년 4월 21일

v1.20.6은 여러 의존성 CVE를 수정하고 CI 워크플로우의 스크립트 인젝션 취약점을 보강한 보안 중심 패치 릴리스입니다.

  • security의존성 CVE 다수 패치 — 즉시 v1.20.6으로 업그레이드

    이번 릴리스에서 암호화(circl), git 처리(go-git), HTTP/2 스트리밍(spdystream), 텔레메트리(otelhttp) 등 다섯 개 보안 의존성이 한꺼번에 업데이트됐습니다. go-git은 단 하나의 패치 릴리스 안에서 두 번 연속 보안 수정이 들어갔는데, 이는 실제 악용 가능성이 높다는 신호로 읽어야 합니다. v1.20.x를 운영 중이라면 지금 바로 업그레이드하세요.

  • securityCI/CD 공급망 보안 강화 — 자체 파이프라인도 점검 필요

    Crossplane 팀은 릴리스 프로모션 워크플로우의 스크립트 인젝션을 차단하고 GitHub Actions 잡 권한을 최소화했습니다. Crossplane 포크나 커스텀 자동화를 운영 중이라면 자체 워크플로우도 같은 패턴으로 점검해야 합니다. 확인 포인트는 두 가지입니다: run 스텝에 신뢰할 수 없는 입력값이 들어가는 곳, 그리고 GITHUB_TOKEN 권한이 과도하게 넓은 잡.

  • enhancementTrivy 스캔 CI에서 제거 — 자체 스캔 체계 확인 필요

    이번 릴리스에서 Crossplane은 자체 CI 파이프라인에서 Trivy 스캔을 제거했습니다. Crossplane 업스트림의 스캔 결과를 보안 신호로 참고하고 있었다면, 그 정보는 더 이상 제공되지 않습니다. Crossplane 이미지와 프로바이더 이미지에 대한 취약점 스캔을 자체 파이프라인에서 독립적으로 운영하고 있는지 지금 확인하세요.

주요 변경 (5)

  • go-git/go-git 두 차례 업데이트(v5.17.1 → v5.18.0)로 git 관련 보안 취약점 수정
  • cloudflare/circl v1.6.3으로 업그레이드하여 암호화 라이브러리 보안 결함 해소
  • moby/spdystream v0.5.1 업데이트로 HTTP/2 스트림 처리 보안 이슈 패치
  • OpenTelemetry OTLP 트레이스 익스포터 v1.43.0으로 보안 수정 반영
  • CI 워크플로우 스크립트 인젝션 및 권한 상승 취약점 보강