RATATOSKRATATOSK
로그인

Crossplane

v1.20.8Orchestration & Management
2026년 5월 23일

v1.20.8은 보안 전용 패치 릴리스로, Go 런타임을 1.25.10으로 올리고 go-git, golang.org/x/net, x/crypto, docker/cli 등 여러 의존성 CVE를 수정했습니다.

  • securityv1.20 운영 클러스터는 즉시 v1.20.8로 업그레이드 필요

    이번 패치는 go-git(두 건), golang.org/x/net, golang.org/x/crypto, docker/cli, in-toto-golang CVE와 Go 런타임 stdlib CVE까지 한꺼번에 잡았습니다. v1.20.8 미만 버전을 운영 중이라면 현재 취약한 상태입니다. 특히 Crossplane이 Git 저장소에서 패키지를 가져오는 환경이라면 go-git과 x/crypto 취약점이 직접 영향을 줄 수 있습니다. '다음 스프린트에 처리'할 수준이 아니니 빠르게 업그레이드 일정을 잡으세요.

  • enhancement아직 v1.20을 쓰고 있다면 v1.21+ 전환 검토 시점

    v1.20 라인은 보안 백포트만 받고 있어 기능 개선은 없습니다. 이번 패치를 계기로 업그레이드 블로커를 점검해 보세요. v1.21은 충분히 안정화되었고, 구버전 마이너에 머무르면 이런 보안 패치를 계속 쫓아다녀야 하는 상황이 반복됩니다.

주요 변경 (5)

  • Go 런타임을 1.25.10으로 업그레이드하여 stdlib CVE 수정
  • go-git/go-git v5.19.1로 업데이트 (이번 릴리스에서 두 차례 보안 수정)
  • golang.org/x/net v0.53.0 보안 패치 적용
  • golang.org/x/crypto v0.52.0 보안 패치 적용
  • docker/cli 및 in-toto-golang 보안 이슈 수정