RATATOSKRATATOSK
로그인

Crossplane

v2.1.6Orchestration & Management
2026년 5월 23일

v2.1.6은 보안 패치 중심의 릴리스로, Go 런타임을 1.25.10으로 올리고 go-git, x/crypto, OpenTelemetry 등 여러 취약 의존성을 수정했습니다.

  • securityv2.1.x 사용 중이라면 즉시 v2.1.6으로 업그레이드

    Go stdlib, go-git, x/crypto, x/net에 걸친 복수의 CVE가 패치됐습니다. go-git 취약점은 패키지 페치 동작에 영향을 줄 수 있고, x/crypto·x/net 문제는 TLS 및 HTTP 처리에 노출될 수 있습니다. API나 동작 변경은 없어 업그레이드 위험이 낮으므로, 빠르게 적용하는 것이 좋습니다.

  • security설치된 프로바이더 이미지도 별도로 취약점 스캔 필요

    Crossplane 코어는 패치됐지만, AWS·GCP·Azure 등 프로바이더는 각자의 의존성 트리를 가진 별도 이미지입니다. Trivy나 Grype로 현재 실행 중인 프로바이더 파드를 스캔해 동일한 취약 버전이 포함돼 있는지 확인하세요. 각 프로바이더 유지관리팀의 별도 패치 릴리스를 기다려야 합니다.

주요 변경 (5)

  • Go 1.25.10으로 업그레이드하여 stdlib CVE 대응
  • go-git을 v5.19.0 → v5.19.1로 두 차례 보안 패치
  • golang.org/x/crypto 및 x/net 보안 업데이트
  • OpenTelemetry otel v1.41.0으로 업그레이드
  • in-toto-golang v0.11.0으로 공급망 보안 강화