Crossplane
v2.2.2Orchestration & Management2026년 5월 23일
Go 런타임을 1.25.10으로 올리고 go-git, x/crypto 등 의존성 보안 패치를 적용한 순수 보안 패치 릴리스입니다.
securityv2.2.x 사용 중이라면 즉시 v2.2.2로 업그레이드하세요
이번 릴리스는 기능 변경 없이 보안 패치만 포함합니다. Go 1.25.10의 stdlib CVE 수정, go-git v5.19.1의 git 취약점 패치, x/crypto의 암호화 취약점 수정이 모두 반영됐습니다. 동작 변경이 없어 업그레이드 위험은 최소화 수준입니다. 이미지 스캔이나 컴플라이언스 요건이 있는 팀은 v2.2.1 이하 버전을 유지할 경우 취약점 탐지 결과가 계속 뜰 겁니다.
security업그레이드 후 새 이미지 다이제스트로 스캐너 재실행 필요
go-git가 이번 릴리스에서 두 번 연속 패치된 점은 해당 공격 표면에 대한 실질적인 익스플로잇 압박이 있었음을 시사합니다. 업그레이드 후 새 Crossplane 이미지 다이제스트로 취약점 스캐너를 다시 돌려 모든 탐지 결과가 해소됐는지 확인하세요. in-toto-golang도 함께 패치됐으므로 공급망 관련 CVE 항목도 함께 점검하길 권장합니다.
주요 변경 (5)
- Go 런타임을 1.25.10으로 업그레이드하여 stdlib CVE 다수 수정
- go-git/go-git를 v5.19.0 → v5.19.1로 두 차례 연속 보안 업데이트
- golang.org/x/crypto v0.52.0으로 업데이트하여 암호화 관련 취약점 해소
- in-toto-golang v0.11.0으로 업데이트하여 공급망 검증 도구 보안 패치
- crossplane-runtime도 v2.2.2로 동반 업데이트