Harbor
v2.15.0Storage & DataHarbor v2.15.0은 프록시 캐시 연결 제한, 엔드포인트별 CA 인증서, Cosign v3 지원과 함께 베어러 토큰 보안 취약점 수정 및 Trivy 공급망 사고 대응 업데이트를 포함합니다.
security즉시 업그레이드 필요: Trivy 공급망 사고 및 베어러 토큰 우회 취약점
이번 릴리스에 보안 이슈 두 건이 포함되어 있습니다. Trivy 공급망 사고로 인해 v0.69.3으로 긴급 업데이트됐으므로, 다음 스캔 실행 전에 반드시 적용해야 합니다. 베어러 토큰 수정은 프로젝트 생성 이전에 발급된 토큰을 거부하는 인가 우회 패치입니다. 두 이슈 모두 정기 유지보수를 기다리지 말고 빠르게 업그레이드하는 것을 권장합니다.
breakingGCR 복제 어댑터 제거 — 업그레이드 전 기존 복제 규칙 마이그레이션 필수
Google Container Registry 어댑터가 완전히 제거됐습니다. GCR을 대상으로 하는 복제 규칙이 있다면 업그레이드 후 조용히 실패하게 됩니다. v2.15.0 업그레이드 전에 해당 규칙을 Artifact Registry(GAR) 엔드포인트로 전환하세요. GCR을 바라보는 프록시 캐시 프로젝트도 동일하게 재구성이 필요합니다.
enhancement프록시 캐시 업스트림 연결 수 제한으로 레이트 리밋 충돌 방지
새로운 `max_upstream_conn` 파라미터로 프록시 캐시 프로젝트별 아웃바운드 연결 수를 조절할 수 있습니다. Docker Hub처럼 레이트 리밋이 있는 레지스트리나 자체 호스팅 레지스트리를 풀스루 캐시로 사용 중이라면, 업그레이드 후 UI나 API로 프로젝트별 연결 수를 적절히 설정하세요.
주요 변경 (7)
- 프록시 캐시 프로젝트에 `max_upstream_conn` 파라미터 추가 — UI에서 업스트림 연결 수를 제한할 수 있음
- 레지스트리 엔드포인트별 CA 인증서 지원 추가 — 커스텀 PKI를 사용하는 사설 레지스트리 환경에 유용
- 프로젝트 생성 이전에 발급된 베어러 토큰을 거부하도록 수정 — 인가 우회 취약점 패치
- Trivy 공급망 사고 이후 v0.69.3으로 긴급 업데이트
- Cosign v3 Bundle 서명 형식 지원 추가, Harbor 릴리스 아티팩트에 Cosign 키리스 서명 적용
- GCR 복제 어댑터 제거 — Google Cloud Registry 계정 종료에 따른 조치
- 초기화 시 감사 로그 DB 저장 비활성화 옵션 추가 — 고부하 환경에서 DB 쓰기 부담 감소