SPIRE
v1.15.0SecuritySPIRE v1.15.0은 HashiCorp Vault 키 관리자 플러그인, rootless Podman 지원, PROXY 프로토콜 속도 제한을 추가하고 sigstore 증명을 정식 기능으로 승격했습니다. CLI JSON 출력 변경 사항은 업그레이드 전 반드시 확인해야 합니다.
breaking업그레이드 전 CLI JSON 파싱 코드 전수 점검
CLI가 JSON 출력 시 객체를 슬라이스로 감싸던 방식이 제거됐습니다. spire-server 또는 spire-agent CLI의 JSON 출력을 파싱하는 스크립트, 파이프라인, 자동화 도구는 배열 대신 단일 객체를 받게 되어 동작이 깨질 겁니다. 프로덕션 배포 전에 비운영 환경에서 반드시 검증하세요.
breaking'bootstrapped' 레이블 변경으로 메트릭 쿼리 점검 필요
메트릭 레이블 오타('bootstraped' → 'bootstrapped')가 수정됐습니다. 기존 레이블명을 참조하는 Prometheus 쿼리, Grafana 대시보드, 알림 규칙이 있다면 업그레이드 후 조용히 매칭이 끊깁니다. v1.15.0 배포 전에 관련 항목을 모두 찾아 수정하세요.
enhancementVault 운영 중이라면 Vault Key Manager 플러그인으로 통합 검토
조직에서 HashiCorp Vault를 이미 운영 중이라면, 별도의 AWS KMS나 Azure Key Vault 없이 키 저장소를 Vault로 통합할 수 있습니다. 온프레미스나 멀티클라우드 환경에서 특히 유용합니다. 다만 기존 키는 자동으로 마이그레이션되지 않으니 키 이관 계획을 별도로 수립한 뒤 전환하세요.
enhancementsigstore 증명 프로덕션 적용 시점 도래
k8s 및 docker 어테스터의 sigstore 기반 증명이 정식 기능으로 승격됐습니다. 실험적 플래그 때문에 도입을 미뤄왔다면 이번 릴리스가 적기입니다. 스테이징 환경에서 셀렉터 동작을 먼저 검증한 뒤 프로덕션에 적용하세요.
주요 변경 (6)
- HashiCorp Vault Key Manager 플러그인 추가 — AWS KMS, Azure Key Vault 외 새로운 키 저장 옵션 확보
- CLI JSON 출력 호환성 변경: 객체가 더 이상 슬라이스로 감싸지지 않아 기존 파싱 도구가 깨질 수 있음
- k8s 및 docker 어테스터의 sigstore 지원이 실험적 단계를 벗어나 정식 기능으로 승격
- Docker 워크로드 어테스터가 rootless Podman을 지원 — 비루트 컨테이너 런타임 환경 커버리지 확대
- GCP IIT 노드 어테스터가 서비스 계정 이메일 조회 시 더 이상 'use_instance_metadata: true' 불필요
- 메트릭 레이블 오타 수정: 'bootstraped' → 'bootstrapped' — 대시보드 및 알림 규칙 업데이트 필요