릴리즈
CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.
Flux v2.9.1은 post-build 변수 치환이 Flux 자체 CRD 스키마를 손상시키던 버그를 고친 패치 릴리스입니다. 이와 함께 SOPS .ini 복호화 오류와 dry-run 시 strategic merge patch 오류도 수정했습니다. 새로운 breaking change나 CVE는 없습니다.
breaking변수 치환으로 인한 CRD 스키마 손상 수정
post-build 변수 치환을 켠 Kustomization에서 매니페스트의 ${...} 값이 Flux CRD 스키마 필드와 우연히 일치하면, 이전 버전에서는 CRD 스키마가 손상될 수 있었습니다. v2.9.1은 Flux 자체 CRD에 kustomize.toolkit.fluxcd.io/substitute: disabled 어노테이션을 붙여 치환 대상에서 제외했습니다. post-build 치환을 사용 중이면 업그레이드하세요.
주요 변경 (4)
- CRD 스키마 손상 수정: Flux 자체 CRD에 kustomize.toolkit.fluxcd.io/substitute: disabled 어노테이션을 붙여 post-build 치환이 스키마를 덮어쓰지 않도록 함
- SOPS .ini 파일 복호화 오류 수정
- dry-run 시 strategic merge patch 오류 수정
- 새로운 破괴적 변경, deprecation, CVE는 없음
Flux v2.9.0은 대부분의 컨트롤러에 새 기능을 더한 기능 릴리스이며, 수명이 끝난 image.toolkit.fluxcd.io/v1beta2와 notification.toolkit.fluxcd.io/v1beta2 API가 CRD에서 제거된 것이 유일한 주요 변경 사항입니다.
breakingv1beta2 image·notification API 제거
image.toolkit.fluxcd.io/v1beta2 또는 notification.toolkit.fluxcd.io/v1beta2를 아직 쓰는 클러스터에 적용됩니다. 두 API는 수명이 끝나 v2.9.0의 CRD에서 완전히 제거되었습니다. 업그레이드 전에 ImagePolicy, ImageRepository, ImageUpdateAutomation, Alert, Provider, Receiver 리소스를 최신 API 버전으로 옮겨야 하며, 그렇지 않으면 컨트롤러가 해당 리소스를 조정하지 못합니다.
주요 변경 (8)
- 주요 변경: image.toolkit.fluxcd.io/v1beta2와 notification.toolkit.fluxcd.io/v1beta2가 수명 종료로 CRD에서 제거됨. 업그레이드 전 관련 리소스 마이그레이션 필요.
- `flux plugin` 명령으로 새 Flux CLI 플러그인 시스템 도입, Mirror·Schema 플러그인 포함.
- Kustomization에 필드 무시 규칙을 통한 Server-Side Apply 드리프트 제어 추가, Age 포스트 퀀텀 암호 기반 SOPS 복호화도 지원.
- OpenBao/Vault용 Kustomization Workload Identity 인증, GitRepository용 AWS CodeCommit Workload Identity 인증 신설.
- HelmRelease에 차트 훅을 포함한 포스트 렌더 전략 추가, `helm --set-literal`과 동일한 리터럴 모드 값 참조 지원.
- GitRepository와 ImageUpdateAutomation에 SSH 키 기반 Git 커밋 서명·검증 추가, OCIRepository는 에어갭 환경 keyless 검증용 커스텀 Sigstore trusted root 지원.
- 시크릿 없이 OIDC로 보호되는 웹훅 Receiver 추가, ArtifactGenerator에 모노레포용 경로 패턴 디렉터리 탐색 기능 추가.
- source-controller v1.9.1, kustomize-controller v1.9.1, notification-controller v1.9.1, helm-controller v1.6.1, image-reflector/automation-controller v1.2.1 등 컴포넌트 업데이트, CLI는 Kubernetes 1.36과 Go 1.26 기반으로 빌드되며 여러 명령 추가와 소소한 버그 수정도 포함.
OpenKruise v1.9.0은 워크로드 기능을 여럿 추가하고, ImagePullJob CPU 급등·SidecarSet 패닉 등 프로덕션에서 실제로 문제가 됐던 버그들을 다수 수정했습니다.
breakingmaxUnavailable/maxSurge 문자열 값, 이제 webhook에서 거부됨
maxUnavailable: '5'처럼 정수를 따옴표로 감싼 문자열 형식은 이제 admission webhook에서 거부됩니다. CloneSet 스펙이나 Helm 차트에서 이런 방식으로 값을 지정하고 있다면 업그레이드 후 배포가 막힙니다. v1.9.0 업그레이드 전에 관련 매니페스트를 미리 점검하세요.
enhancementImagePullJob CPU 스파이크 수정 — 대규모 클러스터라면 업그레이드 우선 검토
reconcile이 연쇄적으로 증폭되면서 controller-manager CPU가 급등하는 버그가 있었습니다. 원인 불명의 CPU 압박을 겪고 있었다면 이 버그일 가능성이 높습니다. v1.9.0으로 올리면 별도 설정 변경 없이 해결됩니다.
enhancementCloneSet progressDeadlineSeconds·OnDelete 전략 활용 검토
CloneSet에 progressDeadlineSeconds가 추가되어 롤아웃이 멈췄을 때 자동으로 감지할 수 있습니다. 지금까지는 외부 모니터링 없이는 stuck 상태를 잡기 어려웠는데 이 필드로 해결됩니다. OnDelete 전략은 수동 업그레이드 제어가 필요한 팀에 유용합니다. CloneSet으로 카나리·단계적 배포를 운영 중이라면 두 옵션 모두 검토해 볼 만합니다.
주요 변경 (5)
- ImagePullJob: 연쇄 reconcile 증폭으로 인한 CPU 스파이크 수정, 노드별 동시성 제어 추가 — 대규모 이미지 풀 환경에서 특히 중요
- SidecarSet: Pod 삭제 시 패닉 및 null pointer 접근 버그 수정, 컨테이너 순서 주입·shareVolumeDevicePolicy 지원 추가
- CloneSet: progressDeadlineSeconds·OnDelete 업데이트 전략 추가, CloneSetEventHandlerOptimization 활성 시 라이프사이클 훅 누락 버그 수정
- UnitedDeployment: ReserveUnschedulablePods 기능 추가 — 스케줄 불가 Pod를 교체하지 않고 유지
- PodUnavailableBudget이 Pod RESIZE 액션을 보호 — in-place 수직 스케일링 사용 시 유용
Argo CD 3.4.4는 헬스 체크, RBAC, diff, 템플릿 렌더링 안정성 개선에 초점을 맞춘 패치 릴리스입니다. 다중 네임스페이스 구성이나 Dex 인증을 사용한다면 업그레이드하세요.
breaking다중 네임스페이스 RBAC 회귀 수정
이전 릴리스에서 다중 네임스페이스 아키텍처의 프로젝트 범위 리소스에 대한 RBAC 제어가 깨졌습니다. 이 패치가 정상 동작을 복구합니다. 여러 네임스페이스에 걸쳐 프로젝트 수준 RBAC 제한을 사용 중이라면 업그레이드 후 접근 제어가 올바르게 작동하는지 확인하세요. 특히 프로젝트 범위 리소스 가시성을 점검하세요.
enhancement헬스 체크 안정성 개선
PromotionStrategy 헬스 체크가 no-op 재생성 후 잘못된 Progressing 상태를 보고하여 배포를 차단했습니다. 이제 고쳐졌습니다. PromotionStrategy를 사용 중이면 업그레이드하여 수동 개입이 필요한 고착 상태를 피하세요.
enhancement서버측 diff 회귀 복구
최근 변경으로 새 객체에 대한 서버측 diff가 깨져 에러가 발생했습니다. 이 패치가 diff 기능을 복구합니다. 배포 파이프라인에서 서버측 diff를 의존 중이라면(특히 새 리소스의 경우) 이 업데이트를 적용하여 정상 동작을 되돌리세요.
주요 변경 (5)
- PromotionStrategy 헬스 체크 회귀 수정 - Progressing 상태에 갇히던 리소스 복구
- 다중 네임스페이스 배포에서 프로젝트 범위 RBAC 회귀 수정
- 새 객체에 대한 diff 에러 수정
- 달러 기호가 포함된 Dex 비밀번호 파싱 수정
- ApplicationSet RenderGeneratorParams의 cross-generator Values 템플릿 해석 수정
Argo CD v3.3.12는 동기화 상태 추적, 클러스터 옵저버 락, 설정 파싱, Git 저장소 깊이 처리를 수정한 유지보수 릴리스입니다. Breaking 변경은 없습니다.
securityDex 인증에서 특수문자를 포함한 암호 처리
Dex 암호 파싱 시 달러 기호가 포함된 암호를 처리하지 못해 사용자 로그인이 차단될 수 있었습니다. Dex OIDC를 사용하고 최근 특수문자가 포함된 암호를 설정했거나 변경했다면 v3.3.12로 즉시 업그레이드하여 접근을 복구하세요. 업그레이드 후 Dex 로그인을 테스트하세요.
enhancementArgo Rollouts 사용 시 PromotionStrategy 상태 고정 해결
Argo Rollouts를 사용하고 PromotionStrategy를 쓰는 경우, 설정 리로드 후 변경이 없더라도 애플리케이션이 Progressing 상태에 남아 있을 수 있었습니다. v3.3.12로 업데이트하여 이 문제를 해결하세요. 업그레이드 후 애플리케이션 상태가 정상화되었는지 확인하세요.
주요 변경 (5)
- 공(no-op) 리하이드레이션 이후 PromotionStrategy 상태가 Progressing에서 해제됨
- 클러스터 인포머에 락 추가로 동시 접근 문제 방지
- 달러 기호를 포함한 Dex 암호 파싱 수정
- 변경 감지 및 fetch 작업에서 Git 저장소 깊이 설정 반영
- 정규화에서 실시간 상태 제외로 정확도 개선
v1.52.0은 discovery API 기본값 변경, immediate stitching 제거, BUI union 타입 변경 등 세 가지 breaking change와 함께 PostgreSQL 카탈로그 성능 개선 및 다수의 안정성 수정이 포함됩니다.
breakingdiscovery.endpoints 마이그레이션 및 immediate stitching 설정 제거
업그레이드 전에 두 가지 설정을 점검하세요. 첫째, `discovery.endpoints`에 내부 전용 문자열 타겟을 쓰고 있다면 객체 형태로 바꾸고 내부 URL은 `target.internal`에, 브라우저가 접근 가능한 URL은 `target.external`에 넣어야 합니다. 그렇지 않으면 프론트엔드가 내부 주소에 직접 요청을 보냅니다. 둘째, 설정 파일에서 `catalog.stitchingStrategy.mode: 'immediate'`를 삭제하세요. 이미 무시되지만 deprecation 경고가 발생합니다. 둘 다 설정 파일 수정으로 해결됩니다.
breakingComboboxProps / SelectProps 타입 확장 코드 업그레이드 전 수정 필요
`ComboboxProps`와 `SelectProps`가 union 타입으로 바뀌었습니다. 두 타입을 `extends`로 확장한 인터페이스가 있으면 타입 에러가 납니다 — 타입 교차(intersection)로 바꾸세요. `.bui-SelectPopover`의 직계 자식으로 리스트 내용을 선택하던 CSS 셀렉터도 확인이 필요합니다. 런타임 폴백 없이 컴파일 단계에서 바로 실패합니다.
enhancementPostgreSQL 카탈로그 쿼리 성능 개선 — 마이그레이션만 실행하면 적용
이번 릴리즈에 PostgreSQL 전용 쿼리 플래너 개선이 여러 건 포함됩니다. search 테이블에 다중 컬럼 통계 추가, 불필요한 레거시 인덱스 제거, vacuum 임계값 조정, count/list 쿼리 분리가 마이그레이션으로 자동 적용됩니다. 엔티티 수가 많은 환경에서 카탈로그 목록 조회가 10~40배 느렸다면 이 업그레이드가 직접적인 해결책입니다. 별도 설정 변경 없이 마이그레이션 실행만으로 적용됩니다. MySQL/SQLite 환경에는 해당되지 않습니다.
주요 변경 (7)
- @backstage/plugin-app의 기본 discovery API가 FrontendHostDiscovery로 변경 — discovery.endpoints의 내부 전용 문자열 타겟을 객체 형태로 마이그레이션 필요
- catalog.stitchingStrategy.mode: 'immediate' 제거 — 설정이 남아 있으면 경고 로그가 출력됨
- ComboboxProps·SelectProps가 union 타입으로 변경 — 인터페이스 상속 코드 수정 필요
- PostgreSQL 대상 카탈로그 백엔드 쿼리 플래너 개선 다수 포함 (다중 컬럼 통계, 레거시 인덱스 제거, count 쿼리 분리)
- @backstage/connections 실험적 패키지 추가 — 기존 integrations의 장기 대체제 예정, 현재는 프로덕션 사용 금지
- react-syntax-highlighter·@dagrejs/dagre 지연 로딩 전환으로 @backstage/core-components 초기 모듈 로드 약 10 MB 절감
- 새로 생성되는 앱에 Yarn 4.13.0 및 npmMinimalAgeGate: 3d 설정이 기본 적용
flagd core v0.16.0은 비활성화 플래그 평가 결과를 FLAG_DISABLED 오류에서 reason=DISABLED 성공 응답으로 변경합니다. gRPC/OFREP 직접 호출자와 평가 메타데이터 검사 코드에 영향을 줍니다.
breakingerrorCode 또는 reason 필드를 검사하는 코드 전수 확인 필요
FLAG_DISABLED 오류 코드 분기나 gRPC/OFREP 응답의 reason 필드를 조건으로 사용하는 코드는 업그레이드 후 동작이 바뀝니다. 오류 경로 대신 reason=DISABLED가 포함된 성공 응답을 받게 됩니다. 업그레이드 전에 코드베이스 전체에서 FLAG_DISABLED 문자열, 오류 코드 분기문, reason 조건 처리 로직을 찾아 수정하세요. SDK를 통해 반환값만 사용하는 경우는 변경 없이 업그레이드 가능합니다.
enhancementreason=DISABLED를 옵저버빌리티 신호로 적극 활용
이번 변경으로 '플래그 비활성화'와 '평가 오류'를 메트릭과 로그에서 명확히 구분할 수 있게 됐습니다. 대시보드와 알림 규칙에서 reason=DISABLED를 오류가 아닌 정상 신호로 처리하도록 업데이트하면, 불필요한 알림 노이즈를 줄이면서도 비활성화 플래그 사용 현황을 추적하는 게 훨씬 수월해집니다.
주요 변경 (4)
- 비활성화 플래그가 FLAG_DISABLED 오류 대신 reason=DISABLED와 함께 성공 응답으로 반환됨
- 반환값 자체는 그대로 — SDK는 여전히 호출자가 제공한 기본값을 돌려주므로 최종 사용자 동작은 동일
- 영향 범위 제한적: gRPC/OFREP 직접 호출, errorCode/reason 필드 검사 코드, core/pkg/model 임포트 코드에만 해당
- 변경 배경과 설계 근거는 ADR(아키텍처 결정 기록)에 문서화됨
flagd v0.16.0에서 비활성화 플래그 평가가 오류 반환에서 reason=DISABLED로 성공 응답하는 방식으로 바뀌었습니다. gRPC/OFREP 직접 호출 코드나 평가 메타데이터를 검사하는 코드에 영향을 줍니다.
breakingFLAG_DISABLED 또는 errorCode를 검사하는 코드 전수 점검 필요
gRPC/OFREP 직접 호출, core/pkg/model import, 또는 평가 응답의 reason이나 errorCode를 읽는 코드가 있다면 업그레이드 전에 반드시 수정해야 합니다. FLAG_DISABLED 오류는 더 이상 발생하지 않고, 대신 reason=DISABLED가 담긴 성공 응답이 옵니다. SDK를 통해 반환값만 읽는 경우는 영향 없지만, FLAG_DISABLED를 기반으로 모니터링 알림이나 분기 로직을 구성했다면 조용히 동작을 멈출 수 있습니다. 코드베이스에서 FLAG_DISABLED와 errorCode 검사 부분을 먼저 grep으로 찾아 확인하세요.
주요 변경 (4)
- 비활성화 플래그가 FLAG_DISABLED 오류 대신 reason=DISABLED로 성공 응답 반환
- 실제 반환값은 동일 — SDK는 기존과 동일하게 호출자가 제공한 기본값을 돌려줌
- 영향 범위 한정: reason/errorCode 검사 코드, gRPC/OFREP 직접 호출, core/pkg/model import 코드만 해당
- 변경 배경은 ADR(아키텍처 결정 기록) 문서에 정리되어 있음
OpenFeature core/v0.15.8이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗OpenFeature flagd/v0.15.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗OpenFeature core/v0.15.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗OpenFeature flagd-proxy/v0.9.6이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗OpenFeature flagd/v0.15.6이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗Argo CD v3.3.11은 3.3 브랜치의 정기 패치 릴리스로, 버그 수정 6건과 의존성 보안 패치 1건(CVE-2026-41240)을 포함합니다.
securityArgo CD UI dompurify CVE 패치
UI의 redoc/dompurify를 v3.4.0으로 올려 CVE-2026-41240을 패치했습니다. Argo CD UI를 운영 중이면 v3.3.11로 업그레이드해서 이 XSS 관련 취약점을 제거하세요.
enhancement컨트롤러 시작 레이스 컨디션 및 nil 포인터 크래시 수정
애플리케이션 컨트롤러 시작 시 레이스 컨디션으로 InvalidSpecError가 발생하던 문제와, gitops-engine의 removeWebookMutation()에서 nil 포인터 역참조가 발생하던 문제를 고쳤습니다. 컨트롤러 시작 시 스펙 오류나 크래시를 겪었다면 업그레이드하세요.
주요 변경 (5)
- 애플리케이션 컨트롤러 시작 시 InvalidSpecError를 일으키던 레이스 컨디션 수정
- gitops-engine의 removeWebookMutation()에서 nil 포인터 역참조 수정
- 삭제 훅 리소스의 라벨 truncate 처리 수정
- UI의 redoc/dompurify를 v3.4.0으로 올려 CVE-2026-41240 패치
- 서버사이드 diff(ssd)에서 resourceVersion 제거
Argo CD 3.4.3은 UI XSS CVE(CVE-2026-41240, dompurify), 컨트롤러 기동 race condition, 웹훅 nil pointer 크래시, CLI/UI 버그 등을 수정한 패치 릴리스입니다.
securityUI XSS 취약점 CVE-2026-41240 패치 적용 필요
UI에서 사용하는 dompurify를 v3.4.0으로 올려 CVE-2026-41240을 수정했습니다. 웹 UI를 외부에 노출하거나 불특정 사용자가 접근하는 환경이라면 3.4.3으로 빠르게 업그레이드하세요. 인터넷에 직접 노출된 경우 다음 정기 배포를 기다리지 말고 즉시 적용하는 편이 좋습니다.
enhancement컨트롤러 기동 race condition 및 웹훅 nil pointer 크래시 수정
애플리케이션 컨트롤러 기동 시 InvalidSpecError가 잘못 발생하는 race condition과, removeWebhookMutation()에서 nil pointer dereference로 인한 크래시가 모두 수정됐습니다. 컨트롤러 재시작 후 근거 없는 스펙 오류나 웹훅 관련 패닉이 간헐적으로 발생했다면 이번 패치가 원인일 가능성이 높습니다.
enhancement'app wait', 이미 동기화된 앱에 대해 즉시 반환
'app wait' 명령이 앱이 이미 원하는 상태일 때 즉시 종료하도록 바뀌었습니다. CI/CD 파이프라인에서 sync 완료 대기 용도로 'app wait'를 쓴다면, 이미 정상 상태인 경우 불필요하게 대기하던 문제가 사라집니다. 코드 변경 없이 업그레이드만으로 파이프라인 속도가 빨라집니다.
주요 변경 (6)
- CVE-2026-41240 수정: UI의 dompurify를 v3.4.0으로 업그레이드
- 애플리케이션 컨트롤러 기동 시 InvalidSpecError를 유발하는 race condition 수정
- gitops-engine의 removeWebhookMutation()에서 nil pointer dereference 수정
- CLI: 앱이 이미 desired state이면 'app wait'가 즉시 종료
- UI: non-hydrator 앱의 Parameters 탭에서 전체 소스를 반환하도록 수정
- gitSourceHasChanges 및 fetch 함수에서 repo depth 설정이 제대로 반영됨
OpenFeature core/v0.15.6이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗Flux v2.8.8은 go-git CVE 2건을 패치하고, helm-controller 메모리 누수를 수정하며, GCP 소버린 클라우드 레지스트리 지원을 추가한 패치 릴리스입니다.
securitygo-git CVE 2건 패치를 위해 즉시 업그레이드
CVE-2026-45571과 CVE-2026-45570은 source-controller와 image-automation-controller에 영향을 줍니다. 대부분의 Flux 설치 환경에서 이 두 컨트롤러를 사용하므로, 별도 우회 방법 없이 v2.8.8로 즉시 업그레이드하는 것이 유일한 조치입니다.
breakingcrds/ 디렉터리에 비-CRD 리소스를 두는 차트 점검 필요
기존 helm-controller는 차트의 crds/ 디렉터리 안의 모든 오브젝트를 강제 적용했는데, 이번에 CRD만 대상으로 동작이 교정됐습니다. 설치 순서 우회 목적으로 crds/ 아래에 비-CRD 매니페스트를 둔 차트(특히 서드파티 차트)가 있다면 영향을 받습니다. HelmRelease 목록을 검토하고, 프로덕션 배포 전 반드시 비운영 환경에서 테스트하세요.
enhancementreconciliation 정체 이력이 있다면 아티팩트 페치 타임아웃 설정 확인
이번에 추가된 HTTP 타임아웃 설정은 페치 중 무기한 블로킹을 직접 해결합니다. helm-controller나 source-controller의 reconciliation이 명확한 오류 없이 멈추는 현상을 경험했다면, 이 수정이 원인이었을 가능성이 높습니다. 업그레이드 후 기본값에 의존하지 말고 타임아웃을 명시적으로 설정하세요. helm-controller v1.5.5 CHANGELOG에서 정확한 필드명을 확인하고, 메모리가 지속적으로 증가했던 환경이라면 업그레이드 전후 메모리 사용량도 비교해보세요.
주요 변경 (5)
- go-git v5.19.1 업데이트로 source-controller·image-automation-controller의 CVE-2026-45571, CVE-2026-45570 취약점 패치
- helm-controller: reconcile 루프마다 Kubernetes 클라이언트 전송 재시도 래퍼가 누적되던 메모리 증가 문제 수정
- 아티팩트 페치 HTTP 타임아웃 설정 옵션 추가 — 무기한 블로킹으로 인한 reconciliation 정체 방지
- helm-controller가 차트 crds/ 디렉터리의 비-CRD 오브젝트를 강제 적용하던 동작 수정 (운영 영향 가능성 있음)
- source-controller·image-reflector-controller에 GCP 소버린 클라우드 아티팩트 레지스트리 지원 추가
v1.51.0은 6개의 브레이킹 체인지와 카탈로그 쿼리 성능 대폭 개선, 새로운 AiResource 엔티티 종류, MCP/OIDC 보안 강화를 담고 있습니다. 업그레이드 전 마이그레이션 시간을 반드시 확보하세요.
breaking대규모 설치 환경은 배포 전 카탈로그 DB 마이그레이션 SQL 선행 실행 필수
이번 마이그레이션은 search 테이블에 커버링 인덱스와 UNIQUE 제약을 추가합니다. 데이터가 많은 환경에서는 처리 시간이 길어질 수 있어, 릴리즈 노트에서도 배포 전 SQL 명령을 수동으로 먼저 실행하도록 명시적으로 권고하고 있습니다. 그냥 배포하면 예측 불가한 다운타임이 생길 수 있으니 changelog에서 정확한 SQL을 확인하고 진행하세요.
breaking업그레이드 전 OIDC 패턴 및 MsgGraph 설정 반드시 검토
OIDC의 CIMD/DCR 기본 패턴이 와일드카드 '*'에서 특정 MCP 클라이언트 기본값으로 바뀌었습니다. 커스텀 MCP 클라이언트가 있다면 allow list에 명시적으로 추가하지 않으면 조용히 동작을 멈춥니다. Microsoft Graph는 이제 비활성 계정을 기본으로 제외하므로, 비활성 사용자를 인입해야 한다면 업그레이드 전에 필터를 명시적으로 설정해두세요. NavItemBlueprint는 PageBlueprint의 title/icon 파라미터로, PolicyQueryUser의 token/expiresInSeconds는 credentials로 각각 마이그레이션해야 합니다.
enhancement대규모 조직은 Microsoft Graph 증분 인입 모듈로 전환 검토
신규 msgraph-incremental 모듈은 사용자와 그룹을 한 페이지씩 처리하고 커서 상태를 저장합니다. 파드가 재시작되더라도 전체 재인입 없이 이전 지점부터 이어갈 수 있어, 수만 명 규모의 조직에서는 실질적인 운영 부담이 줄어듭니다. 기존 MicrosoftGraphOrgEntityProvider는 전체 데이터셋을 메모리에 올리는 방식이라 대규모 환경에서는 새 모듈로 전환하는 게 낫습니다.
주요 변경 (6)
- 6개 브레이킹 체인지: NavItemBlueprint 제거, PortableSchema.schema 메서드 전용 변경, OIDC/CIMD/DCR 패턴 강화, PolicyQueryUser 정리, 카탈로그 페이지네이션 동작 변경, Microsoft Graph 비활성 사용자 기본 제외
- 카탈로그 백엔드 쿼리 성능 대폭 개선 — PostgreSQL 인덱스 활용으로 페이지네이션 응답 시간이 수 초에서 수 밀리초 수준으로 단축; 대규모 설치 환경에서는 배포 전 SQL 마이그레이션 명령 선행 실행 권장
- 새로운 AiResource 카탈로그 엔티티 종류 및 mcp-server API 서브타입 추가로 AI 워크로드 모델링 지원 확대
- Microsoft Graph 증분 인입 모듈 신규 추가 — 커서 기반 메모리 효율적 인입, 파드 재시작 후 마지막 페이지부터 재개
- 스캐폴더 폼 데코레이터 안정(public) API로 승격; always()·failure() 스텝 제어 함수 추가
- TechDocs에 외부 폰트 다운로드 비활성화 옵션 추가(에어갭 환경 지원); 약 24.8일 이상 스케줄 태스크의 타이머 오버플로 버그 수정
pack v0.40.6은 'builder inspect'의 신뢰 감지 버그를 수정하고 heroku/builder:26을 기본 신뢰 빌더 목록에 추가한 소규모 패치 릴리스입니다.
breaking신뢰 감지 버그 우회 코드 제거 필요
'builder inspect'가 신뢰된 빌더를 untrusted로 잘못 표시하던 문제 때문에 CI 스크립트에 '--trust-builder' 플래그나 별도 우회 로직을 추가했다면, v0.40.6으로 업그레이드 후 해당 코드를 제거하세요. 불필요한 신뢰 override는 보안 관점에서도 정리하는 게 맞습니다.
enhancementheroku/builder:26 신뢰 설정 별도 구성 불필요
Heroku 스택 26을 사용하는 팀은 더 이상 빌더를 수동으로 신뢰 처리할 필요가 없습니다. v0.40.6으로 업그레이드하고 설정 파일이나 파이프라인에 남아 있는 heroku/builder:26 관련 명시적 신뢰 설정을 정리하세요.
주요 변경 (3)
- 'builder inspect'에서 신뢰된 빌더를 untrusted로 잘못 표시하던 버그 수정
- heroku/builder:26을 기본 신뢰 빌더 목록에 추가
- 이 릴리스로 생성된 빌더에 lifecycle v0.21.0 기본 탑재
v3.2.12는 UI 로그 줄 넘침 버그, lint 중첩 문제, URL 유효성 검사 함수 노출 등 소규모 버그를 수정한 패치 릴리스입니다.
enhancement로그 뷰어 줄 바꿈 버그 영향받는다면 즉시 적용
Argo CD 로그 뷰어에서 줄 바꿈 토글을 켰을 때 로그가 컨테이너 영역을 벗어나는 UX 버그가 있었습니다. 이번 패치로 깔끔하게 수정됐으니, 해당 기능을 자주 쓰는 팀이라면 다음 배포 때 바로 반영하면 됩니다. 별도 설정 변경은 필요 없습니다.
enhancement다음 정기 유지보수 창에 일반 패치로 적용 권장
Breaking Change나 CVE는 없습니다. spdystream 의존성 업데이트도 경미한 수준입니다. 긴급성은 낮지만, 향후 마이너 버전 업그레이드 전 3.2.x를 최신 상태로 유지하는 것이 좋습니다.
주요 변경 (5)
- 줄 바꿈 토글 활성화 시 로그 줄이 컨테이너를 벗어나던 UI 버그 수정 (#27586)
- URL 유효성 검사 함수를 외부에서 사용할 수 있도록 export 처리 (#27816)
- lint 로직의 불필요한 중첩 구조 수정 (#27815)
- github.com/moby/spdystream 0.5.0 → 0.5.1 의존성 업데이트
- 모든 컨테이너 이미지 cosign 서명 및 SLSA Level 3 프로버넌스 유지
Argo CD v3.3.10은 권한 검증 시 nil 패닉, 로그 UI 오버플로우 버그를 수정하고 CVE 해소를 위해 Go를 1.25.9로 올린 패치 릴리스입니다.
securityGo 1.25.9 CVE 수정 — 즉시 업그레이드 권장
Go 런타임을 1.25.9로 올린 이유가 CVE 해소입니다. 릴리스 노트에 CVE ID가 명시되지 않았지만, 안정 브랜치에서 보안 목적으로 런타임을 교체했다면 다음 정기 점검까지 미룰 이유가 없습니다. 3.3.x를 운영 중이라면 지금 바로 3.3.10으로 업그레이드하세요.
breaking서버사이드 diff의 시크릿 마스킹 동작 변경 — 자동화 파이프라인 점검 필요
서버사이드 diff 결과에 HideSecretData가 이제 정상 적용됩니다. 기존에는 diff 출력에 시크릿 값이 그대로 노출되었을 수 있는데, 업그레이드 후에는 마스킹 처리됩니다. diff 출력을 파싱하는 자동화 스크립트나 감사 도구가 있다면 업그레이드 전에 반드시 확인하세요.
enhancementnil APIResource 패닉 수정 — 컨트롤러 비정상 재시작 해소
일부 커스텀 또는 비표준 API 그룹을 사용하는 환경에서 ArgoCD 컨트롤러가 이유 없이 재시작되는 현상이 있었다면, 이번 패닉 수정이 원인이었을 가능성이 높습니다. 3.3.10으로 올리면 해당 환경의 안정성이 개선됩니다.
주요 변경 (5)
- Go 런타임을 1.25.9로 업그레이드해 3.3 브랜치의 CVE 해소
- APIResource가 nil일 때 권한 검증기에서 패닉이 발생하던 버그 수정
- 로그 뷰어의 줄 바꿈 토글 시 컨테이너 오버플로우 발생 문제 수정
- gitops-engine의 서버사이드 diff 결과에 HideSecretData가 올바르게 적용되도록 수정
- OpenTelemetry SDK를 1.43.0으로 업그레이드
Argo CD v3.4.2는 권한 검증기의 패닉 버그 수정, 서버사이드 diff의 시크릿 노출 패치, 그리고 문제가 있던 리비전 최적화 롤백을 포함한 패치 릴리스입니다.
security서버사이드 diff에서 시크릿 값 노출 가능 — 즉시 업그레이드 필요
서버사이드 diff 미리보기를 사용하는 경우 Secret 리소스의 민감한 값이 UI 또는 API 응답에 그대로 노출될 수 있었습니다. 서버사이드 apply나 diff 기능을 쓰고 있다면 3.4.2로 즉시 업그레이드하세요. 노출이 의심된다면 ArgoCD API 접근 로그도 점검해보는 것이 좋습니다.
breakingUpdateRevisionForPaths 롤백으로 이전 동작 복원
3.4.x에서 성능 최적화로 추가된 UpdateRevisionForPaths 호출 최소화 로직이 회귀 문제를 일으켜 롤백됐습니다. 해당 변경에 의존하던 동작이 있다면 업그레이드 후 경로 필터(path filter)를 사용하는 애플리케이션의 sync 동작을 집중적으로 모니터링하세요.
enhancement권한 검증기 패닉 수정으로 서버 안정성 향상
비표준 CRD나 API 애그리게이션 환경에서 ArgoCD 서버 파드가 이유 없이 재시작되는 현상을 경험했다면 이 패치가 원인을 해결했을 가능성이 높습니다. 업그레이드 후 서버 파드 재시작 빈도가 줄어드는지 확인해 보세요.
주요 변경 (5)
- 3.4.x에서 도입된 'UpdateRevisionForPaths 불필요 호출 방지' 최적화를 회귀 문제로 인해 롤백
- APIResource가 nil일 때 권한 검증기에서 발생하던 nil 포인터 패닉 수정
- 서버사이드 diff 결과에 HideSecretData가 적용되지 않던 버그 수정 — Secret 값이 UI/API diff 뷰에 노출될 수 있었음
- OpenTelemetry SDK 1.43.0 및 moby/spdystream 0.5.1로 업데이트
- 공급망 보안을 위한 CI 파이프라인 이미지 버전 고정 추가
Flux v2.8.7은 go-git의 CVE를 패치하고, ssa:IfNotPresent 어노테이션이 붙은 클러스터 범위 리소스가 매 조정 주기마다 삭제·재생성되던 버그를 수정한 패치 릴리스입니다.
securityCVE-2026-45022 패치를 위해 즉시 업그레이드
이번 CVE는 Git 저장소를 직접 클론하고 상호작용하는 source-controller와 image-automation-controller에 영향을 줍니다. 외부 또는 반신뢰 Git 소스를 사용하는 환경이라면 우선순위를 높여 대응해야 합니다. 'flux install' 또는 Helm 릴리스를 v2.8.7로 업데이트하세요.
breakingssa:IfNotPresent를 사용하는 클러스터 범위 리소스 상태를 반드시 점검
ClusterRole, CRD 등 네임스페이스 없는 클러스터 범위 리소스에 kustomize.toolkit.fluxcd.io/ssa: IfNotPresent 어노테이션을 사용하고 있었다면, 버그 수정 전까지 매 조정마다 리소스가 삭제·재생성됐을 수 있습니다. 업그레이드 후 해당 리소스 상태를 확인하고, 의존 워크로드가 조용히 영향을 받지는 않았는지 감사하세요.
enhancementv2.6에서 올라온다면 공식 업그레이드 절차 반드시 확인
v2.6 → v2.8.7로 바로 올릴 경우, Flux 팀이 제공하는 v2.7+ 업그레이드 절차를 건너뛰면 문제가 생길 수 있습니다. 구버전 Flux를 운영 중인 환경이라면 업데이트 적용 전에 해당 가이드를 반드시 먼저 검토하세요.
주요 변경 (4)
- go-git v5.19.0 업데이트로 CVE-2026-45022 수정 (source-controller, image-automation-controller)
- ssa:IfNotPresent 어노테이션이 있는 네임스페이스 미지정 리소스가 매 조정마다 삭제·재생성되던 kustomize-controller 버그 수정
- source-controller, kustomize-controller, image-automation-controller 전반의 fluxcd/pkg 의존성 업데이트
- helm-controller v1.5.4, kustomize-controller v1.8.5, source-controller v1.8.4 컴포넌트 버전 업
Argo CD 3.4.1은 3.4 시리즈의 첫 릴리스(3.4.0 없이 바로 출시)로, ApplicationSet 클러스터 버전 형식 변경이라는 브레이킹 체인지와 함께 대규모 버그 수정, 성능 개선, UI 개선이 포함됩니다.
securitySwagger UI 보안 헤더 추가 및 JWT 로그아웃 무효화 적용
두 가지 보안 수정이 포함됩니다. Swagger UI 엔드포인트에 X-Frame-Options와 Content-Security-Policy 헤더가 추가돼 클릭재킹 위험이 줄었고, 로그아웃 시 JWT 토큰이 서버 측에서 즉시 무효화돼 로그아웃 후 세션 재사용이 차단됩니다. 별도 설정 변경은 없지만, 리버스 프록시 환경이라면 업그레이드 후 보안 헤더가 클라이언트까지 제대로 전달되는지 확인하세요.
breaking업그레이드 전 ApplicationSet 클러스터 버전 라벨 업데이트 필수
쿠버네티스 버전 라벨 형식이 Major.Minor(예: '1.29')에서 vMajor.Minor.Patch(예: 'v1.29.3')로 바뀌었습니다. argocd.argoproj.io/auto-label-cluster-info를 사용하는 ApplicationSet Cluster Generator가 있다면, 기존 클러스터 시크릿의 라벨 형식이 구버전 그대로입니다. 업그레이드 후 argocd.argoproj.io/kubernetes-version 키로 새 형식을 적용하지 않으면 클러스터 버전 기반 필터가 동작하지 않습니다. 롤아웃 전에 반드시 3.3-3.4 업그레이드 가이드를 확인하세요.
enhancementAppSet 컨트롤러 및 repo-server 성능 개선 — 대규모 클러스터에서 효과 기대
parentUIDToChildren 자료구조 최적화, 컨트롤러 시크릿 deep-copy 감소, CLI 서버사이드 diff 병렬 배치 처리, checkout 시 repoLock 최적화 등 여러 성능 개선이 한꺼번에 들어왔습니다. 대규모 클러스터에서 AppSet 컨트롤러 CPU 사용량이 높거나 조정 지연이 있었다면 이번 업그레이드 후 개선 효과가 보일 겁니다. 롤아웃 후 컨트롤러 CPU와 조정 지연 메트릭을 모니터링하세요.
주요 변경 (5)
- 브레이킹: Helm 3.19.0 정렬을 위해 쿠버네티스 클러스터 버전 형식이 Major.Minor에서 vMajor.Minor.Patch로 변경 — auto-label-cluster-info 사용 중인 ApplicationSet Cluster Generator는 라벨 키 업데이트 필요
- 로그아웃 시 JWT 토큰 무효화 처리 추가로 세션 지속 취약점 해소
- Swagger UI 엔드포인트에 X-Frame-Options 및 CSP 헤더 추가
- 리소스 그래프의 순환 ownerRef 처리 시 발생하던 스택 오버플로우 수정
- AppSet 컨트롤러 성능 개선: 클러스터 시크릿 조회 최적화, 애플리케이션 캐시 동기화, 시크릿 deep-copy 감소
Argo CD v3.1.16은 서버 측 이중 삭제 오류를 수정하고 SonarQube 스캔 액션 의존성을 업데이트한 소규모 패치입니다.
security배포 파이프라인에 cosign 서명 검증 적용 검토
Argo CD 이미지는 SLSA Level 3 기준을 충족합니다. 아직 어드미션 단계에서 서명 검증을 강제하지 않고 있다면, Kyverno나 OPA Gatekeeper 같은 정책 엔진에 이미지 서명 검증 규칙을 추가하는 것을 권장합니다.
enhancement이중 삭제 오류가 발생하는 환경이라면 즉시 패치 적용
캐스케이드 삭제나 조정 루프에서 삭제 작업을 재시도하는 파이프라인이 있다면, 기존 버전에서 불필요한 오류가 발생해 알림을 유발하거나 재시도 실패로 이어질 수 있었습니다. 변경 범위가 좁아 업그레이드 리스크가 낮습니다.
주요 변경 (3)
- 버그 수정: 동일 리소스에 두 번째 삭제 요청 시 서버 오류가 발생하던 문제 해결
- CI 파이프라인 내 SonarQube 스캔 액션을 5.2.0에서 8.0.0으로 업그레이드
- 모든 컨테이너 이미지는 cosign 서명 및 SLSA Level 3 프로버넌스 유지
flagd core v0.15.5는 fractional rollout과 JSONLogic and/or 연산자의 평가 버그를 수정한 릴리스입니다. 복잡한 플래그 타게팅 룰을 운영 중인 팀은 업그레이드를 권장합니다.
security의존성 보안 알림 해소
Dependabot 보안 알림 항목들이 이번 릴리스에서 처리됐습니다. CVE 번호는 명시되지 않았지만 전이 의존성의 알려진 취약점이 대상입니다. 보안 민감 환경에서 flagd를 운영 중이라면 업그레이드하세요.
breakingFractional 평가기 버그 수정: targeting key 없는 사용자가 있다면 반드시 업그레이드
targeting key가 없거나 null인 사용자(예: 비로그인 익명 사용자)가 fractional 평가를 거치면 이전 버전에서 잘못된 버킷에 배정될 수 있었습니다. percentage rollout을 사용 중이라면 업그레이드하세요.
breakingJSONLogic and/or 버그 수정으로 평가 결과 달라질 수 있음
and/or 조건을 조합한 복합 플래그 룰이 v0.15.4에서 잘못 평가됐을 수 있습니다. 업그레이드 후 기존 룰의 평가 결과가 바뀔 수 있으므로, 복합 boolean 조건을 쓰는 룰은 배포 전에 검증하세요.
주요 변경 (5)
- Fractional 평가기에서 targeting key가 누락되거나 null일 때 발생하던 오동작 수정
- JSONLogic and/or 연산자 버그 수정 — 복합 boolean 룰 평가 결과 정상화
- 커스텀 연산자 spec 준수 관련 여러 수정
- OTel 서비스 이름 및 버전 오버라이드 정상화
- Dependabot 보안 알림 의존성 업데이트
OpenFeature flagd-proxy/v0.9.5이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗OpenFeature flagd/v0.15.5이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗v3.3.9는 ApplicationSet DuckType Generator 패닉, 파드 로그 UI 크래시 등 버그 4건을 수정하고, CVE 대응을 위해 Go 버전을 올린 패치 릴리스입니다.
securityGo CVE 패치 포함 — 즉시 업그레이드 권장
이번 릴리스는 Go 런타임 CVE 수정을 명시적 목적으로 버전을 올렸습니다. 구체적인 CVE ID는 릴리스 노트에 명시되어 있지 않지만, 3.3.x를 운영 중이라면 다음 정기 점검 때까지 기다리지 말고 바로 3.3.9로 올리세요. 컨테이너 이미지는 cosign 서명 및 SLSA Level 3 증명이 적용되어 있으니, 파이프라인에서 서명 검증을 요구한다면 배포 전 확인하세요.
breakingDuckType Generator 패닉 수정 — 영향받은 ApplicationSet 동작 확인 필요
클러스터 레이블에 비문자열 값이 있는 환경에서 DuckType Generator를 사용 중이었다면, 기존 버전에서는 조용히 패닉이 발생했습니다. 업그레이드 후 해당 ApplicationSet들이 정상 처리되면서 이전에 실패하던 동기화가 갑자기 활성화될 수 있습니다. 업그레이드 직후 ApplicationSet 리소스 상태를 점검해 예상치 못한 동작이 없는지 확인하세요.
enhancementOCI 메타데이터 캐싱 복구 — 레지스트리 부하 감소 기대
Redis 캐시가 제대로 동작하지 않아 OCI 소스 조회가 매번 레지스트리에 직접 요청을 보내고 있었습니다. 수정 후 캐싱이 정상 작동하므로, OCI 기반 ApplicationSet이나 Helm 차트를 사용 중이라면 레지스트리 요청 수 감소와 응답 지연 개선을 기대할 수 있습니다. 별도 설정 변경은 필요하지 않습니다.
주요 변경 (5)
- ApplicationSet DuckType Generator에서 클러스터 레이블 값이 문자열이 아닐 때 패닉이 발생하던 문제 수정
- 오래된 컨테이너 인덱스 참조로 인한 파드 로그 뷰어 UI 크래시 수정
- 서버 측 중복 삭제 요청 시 불필요한 오류가 발생하던 문제 수정
- OCI 메타데이터를 Redis 캐시에 올바르게 저장·조회하지 못하던 문제 수정
- Go 표준 라이브러리 CVE 패치를 위한 Go 버전 업그레이드
Argo CD v3.2.11은 이중 삭제 오류, 401 스트림 충돌, 오래된 컨테이너 인덱스로 인한 파드 로그 뷰어 충돌 등 세 가지 버그를 수정한 패치 릴리스입니다.
enhancement파드 로그 뷰어나 스트리밍 UI를 사용한다면 즉시 패치 적용 권장
수정된 세 가지 버그 중 두 개가 UI 안정성 문제입니다. 특히 파드 로그 뷰어 충돌은 장애 대응 중 로그를 열었을 때 빈 화면이나 에러가 뜨는 상황을 만드는 골치 아픈 문제입니다. 설정 변경 없이 버전 업그레이드만으로 해결되니 다음 유지보수 윈도우에 적용하면 됩니다.
enhancement자동화된 정리 워크플로우를 운영 중이라면 이중 삭제 수정 사항 확인
GitOps 조정 루프나 스크립트 기반 리소스 삭제 파이프라인에서 동일 리소스에 삭제 요청이 두 번 이상 발생하는 경우, 이전에는 서버가 오류를 반환했습니다. 이제는 이 상황을 정상적으로 처리합니다. 업그레이드 외 별도 조치는 필요 없습니다.
주요 변경 (5)
- 동일 리소스에 두 번 삭제 요청 시 발생하던 서버 오류 수정
- 스트리밍 연결에서 401 오류 발생 시 UI가 충돌하던 문제 수정
- 오래된 컨테이너 인덱스 참조로 인한 파드 로그 뷰어 충돌 수정
- SonarQube 스캔 액션 의존성을 5.3.1에서 8.0.0으로 업그레이드
- 모든 컨테이너 이미지는 cosign 서명 및 SLSA Level 3 프로버넌스 유지