The Update Framework (TUF)
v7.0.0Securityv7.0.0은 Windows 위임 경로 매칭 보안 취약점(GHSA-qp9x-wp8f-qgjj)을 수정하고, ngclient의 Updater() 생성자 시그니처를 변경한 메이저 릴리스입니다.
securityWindows 환경이라면 즉시 v7.0.0으로 업그레이드하세요
GHSA-qp9x-wp8f-qgjj는 Windows에서 위임 경로 매칭이 의도와 다르게 동작해, 신뢰해서는 안 될 타겟이 검증을 통과할 수 있는 취약점입니다. Windows 클라이언트가 하나라도 있다면 즉시 패치해야 합니다. Linux/macOS는 직접적인 영향은 없지만, 어차피 업그레이드 필요성은 동일합니다.
breakingUpdater() 호출 코드 전수 점검 필요
'bootstrap'이 선택적 인자에서 명시적 키워드 인자로 바뀌었습니다. 기존에 bootstrap을 생략하고 Updater()를 호출하던 코드는 즉시 TypeError가 발생합니다. 코드베이스 전체에서 Updater() 호출 부분을 찾아 bootstrap=None을 추가하는 것으로 간단히 해결됩니다. 호출 지점마다 한 줄 수정이지만, 빠뜨리면 런타임 오류로 직결됩니다.
enhancementsecuresystemslib.hash 의존성 제거 예고에 미리 대비하세요
이번 릴리스는 securesystemslib.hash 제거의 시작점입니다. 커스텀 TUF 확장이나 내부 코드에서 securesystemslib.hash를 직접 import하거나 사용하고 있다면, 차기 릴리스에서 완전히 제거되기 전에 마이그레이션 계획을 세워두는 것이 좋습니다.
주요 변경 (5)
- Windows에서 위임 경로 매칭이 잘못 동작하던 보안 취약점(GHSA-qp9x-wp8f-qgjj) 수정
- Updater() 생성자에서 'bootstrap'이 이제 명시적 키워드 인자로 필수화됨
- 기존 동작을 유지하려면 bootstrap=None을 명시적으로 전달해야 함
- 향후 securesystemslib.hash 의존성 제거를 위한 사전 준비 작업 포함
- 문서 오류 다수 수정