RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 6월해제 ×

OpenCost

Observability2026년 6월 25일

이번 OpenCost 릴리스는 GPU 가격, 데이터 레이스, Azure Windows 가격 계산 등을 손보는 통상적인 패치이며, STACKIT 프로바이더가 신규로 추가됐습니다. 브레이킹 체인지나 지원 종료, CVE 수정 사항은 없습니다.

주요 변경 (7)
  • 데이터 레이스 및 안정성 수정 다수: cloudcost Status의 coverage 읽기에 가드가 추가되고 ClusterMap 티커를 정지시켜 누수를 막았으며, customcost Status()는 coverage 맵을 복사하도록 수정, GPUAllocation.Equal은 포인터 필드 값을 올바르게 비교하도록 수정
  • Azure Windows 노드의 온디맨드 가격 계산이 OS를 인식하도록 수정되어, 잘못된 기준 요율을 쓰던 문제를 해결
  • 커스텀 프로바이더의 GPU 기본 가격 오류를 수정하고, 크래시를 막기 위한 nil 필터 가드 추가
  • 클라우드 가격 조회용 HTTP 클라이언트에 타임아웃을 추가해 행업(hang)을 방지
  • STACKIT을 신규 지원 클라우드 프로바이더로 추가
  • BigQueryConfiguration에 queryProjectID 필드 추가, Provider Pricing Data 접근을 위한 GKE Workload Identity Federation 지원 추가
  • 그 외 소소한 변경: get_efficiency 툴에 step 파라미터 노출, Bingen 0.1.1 스트리밍 writer 지원, UI 빌드 도구를 parcel에서 react-router/vite로 전환, Tilt 개발용 Dockerfile.debug 복원, 스팟 가격 인증 실패 로그의 출력량 감소
원문

Fluentd

Observability2026년 6월 25일

Fluentd v1.19.3은 보안 및 강화 패치입니다. out_http의 호스트 체크와 출력의 태그 경로 경계 검증을 강화하고, buffer와 in_http의 압축 해제 페이로드 크기를 제한합니다. in_monitor_agent와 in_debug_agent의 기본 접근 및 가시성도 제한됩니다. 버그 수정은 스토리지, 파싱, 연결 재사용 문제를 다룹니다.

  • breakingout_http: 동적 엔드포인트 호스트 검증 강화

    v1.19.3에서 out_http의 동적 엔드포인트용 호스트 검증이 강화됩니다. 실행 중에 호스트 이름을 out_http에 제공하는 설정은 더욱 엄격한 검증 규칙을 따라야 합니다.

  • breakingbuffer, in_http: 압축 해제 페이로드 크기 제한

    v1.19.3에서 buffer와 in_http의 압축 해제 페이로드 크기에 제한이 적용됩니다. 제한을 초과하여 압축 해제되는 요청이나 버퍼 데이터는 거부됩니다.

  • breakingin_monitor_agent: 민감 정보 표시 제한 기본 설정

    v1.19.3에서 in_monitor_agent의 config, retry, debug info 기본 표시 설정이 변경됩니다. 기본적으로 노출되던 민감 정보는 명시적으로 활성화하지 않는 한 숨겨집니다.

  • breakingoutput: 태그 경로 경계 엄격 검증

    v1.19.3에서 출력 태그 경로 경계가 엄격히 검증됩니다. 적용된 경계 규칙을 따르지 않는 태그 경로는 거부됩니다.

  • breakingin_debug_agent: 기본값으로 로컬 접근만 허용

    v1.19.3에서 in_debug_agent는 기본적으로 로컬 머신에서만 연결을 수락합니다. 바인드 주소가 명시적으로 변경되지 않는 한 원격 연결은 거부됩니다.

주요 변경 (5)
  • out_http 호스트 검증 및 태그 경로 경계 강화, 압축 해제 페이로드 크기 제한 시행
  • in_monitor_agent 민감 정보 기본 비표시, in_debug_agent 기본값 로컬 전용
  • storage_local 인코딩 오류 수정, parser_csv 빈 줄 처리, out_forward 소켓 재사용 문제 수정
  • 버퍼가 대괄호를 포함한 경로에서도 정상 재개
  • Ruby 4.1용 win32-registry 의존성 추가
원문

OpenTelemetry

Observability2026년 6월 23일

v0.155.0은 운영자 입장에서 대응이 필요한 릴리스입니다. 안정화됐던 feature gate 7개가 제거되고, memory_limiter 메트릭 이름이 바뀌었으며, 설정/서비스 API 2개가 스냅샷 기반으로 대체 예정입니다. 나머지는 mdatagen과 새로 옮겨온 schemagen CLI 관련 도구 작업입니다.

  • breaking안정화된 feature gate 7개 제거

    confighttp.framedSnappy, configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting 중 하나라도 --feature-gates 플래그나 설정에 남아있다면 해당됩니다. v0.155.0에서 이 게이트들이 완전히 제거되어 참조가 남아있으면 시작 자체가 실패합니다. 업그레이드 전에 CLI 인자와 설정에서 모두 제거하세요.

  • breakingmemory_limiter 메트릭 이름에 접두사 추가

    memory_limiter 프로세서의 otelcol_processor_* 메트릭을 대시보드나 알림 규칙에서 사용 중이라면 해당됩니다. 다른 프로세서와 구분하기 위해 otelcol_processor_memory_limiter_* 로 이름이 바뀌었습니다. 대시보드와 알림 규칙, 메트릭 쿼리를 새 이름으로 수정해야 합니다.

  • breakingmdatagen의 reaggregation_enabled 설정 제거

    mdatagen metadata.yaml에서 reaggregation_enabled를 쓰던 커스텀 컴포넌트가 해당됩니다. 이 설정이 제거되고 이제 항상 메트릭별 재집계 설정이 생성됩니다. 기존 파일에 필드가 남아있어도 값은 무시되므로, 생성된 결과가 기대와 일치하는지 확인하세요.

  • breakingConfig watcher API deprecated, 스냅샷 기반으로 전환 권고

    service.Settings.CollectorConf나 extensioncapabilities.ConfigWatcher를 쓰는 익스텐션이나 코어 코드가 해당됩니다. 각각 service.Settings.ConfigSnapshot과 extensioncapabilities.ConfigSnapshotWatcher로 대체되며 deprecated 처리됐습니다. 즉시 강제되진 않지만 스냅샷 기반 API로 이전을 준비하세요.

주요 변경 (8)
  • 안정화됐던 feature gate 7개가 완전히 제거됨: confighttp.framedSnappy, configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting. 이제 이 게이트들을 참조하면 실패합니다.
  • memory_limiter 프로세서 메트릭 이름이 otelcol_processor_memory_limiter_* 접두사로 바뀌어 기존 대시보드와 알림이 깨집니다.
  • mdatagen의 reaggregation_enabled 메타데이터 설정이 제거되고, 이제 메트릭별 재집계 설정이 무조건 생성됩니다(기존 파일은 허용되지만 값은 무시됨).
  • service.Settings.CollectorConf와 extensioncapabilities.ConfigWatcher가 deprecated되고 ConfigSnapshot, ConfigSnapshotWatcher로 대체됨.
  • schemagen CLI가 opentelemetry-collector-contrib에서 이 저장소의 cmd/schemagen으로 이전됐고, 수작업 스키마 조각을 병합하는 overlayFile, 커스텀 Go 패키지 패턴을 지정하는 -p 플래그, component|package 강제 지정용 -m 플래그가 추가되고 외부 패키지 대상 모드 감지 버그도 수정됨.
  • mdatagen이 버전별 메트릭을 지원해 새 시맨틱 컨벤션으로 메트릭 이름/타입/속성 이전을 도와주며, 마지막 feature gate 제거 시 남던 잔여 파일 문제와 생성된 식별자의 약어 대문자화 오류도 고쳐짐.
  • pdata JSONUnmarshaler에 DisallowUnknownFields 옵션(기본값 false)이 추가되어, 켜면 알려지지 않은 OTLP JSON 필드를 에러로 처리할 수 있음(단, 활성화 시 하위 호환성은 떨어짐).
  • 미들웨어 설정(pkg/config/configmiddleware)이 스키마 기반 정의로 이전됨.
원문

Prometheus

Observability2026년 6월 17일

Prometheus v3.5.4는 보안 패치 릴리스입니다. STACKIT SD의 시크릿 노출 버그를 고쳤고, Go 및 UI 의존성 여러 개에서 CVE를 패치했습니다. 빠른 업그레이드가 필요합니다.

  • securitySTACKIT SD 사용 중이라면 자격증명 즉시 교체

    /-/config 엔드포인트가 STACKIT SD 시크릿을 평문으로 노출하고 있었습니다. STACKIT SD를 쓰는 인스턴스에서 /-/config가 관리자 외에 접근 가능했다면 해당 자격증명이 유출됐다고 보고 즉시 교체해야 합니다. v3.5.4로 업그레이드한 뒤 /-/config 엔드포인트에 인증을 적용하세요.

  • securityGo CVE 세 건 패치 — 노출된 인스턴스라면 즉시 업그레이드

    GO-2026-5026, GO-2026-4918, GO-2026-4985가 golang.org/x/net v0.55.0, OpenTelemetry v1.43.0 업그레이드로 수정됩니다. 외부 트래픽을 받는 Prometheus 인스턴스를 운영 중이라면 다음 정기 점검 때까지 미루지 말고 이번 패치를 먼저 적용하세요.

  • enhancementghcr.io에서도 이미지 직접 pull 가능

    Prometheus 컨테이너 이미지가 이제 ghcr.io/prometheus/prometheus에도 게시됩니다. Docker Hub 속도 제한이나 접근 문제가 있는 환경이라면 이미지 소스를 ghcr.io로 전환하는 것을 검토하세요.

주요 변경 (4)
  • STACKIT SD가 /-/config 엔드포인트를 통해 시크릿을 평문으로 노출하던 문제 수정 (GHSA-39j6-789q-qxvh)
  • golang.org/x/net 및 OpenTelemetry 버전 업그레이드로 GO-2026-5026, GO-2026-4918, GO-2026-4985 패치
  • react-router-dom, vite, vitest, postcss 등 UI 의존성 보안 업데이트
  • 컨테이너 이미지가 ghcr.io에도 게시되기 시작
원문

Chaos Mesh

Observability2026년 6월 10일

Chaos Mesh v2.8.3은 컨테이너 이미지의 critical/high CVE를 패치하고, CrashLoopBackOff 상태 파드에서 NetworkChaos 복구가 실패하던 버그를 수정한 패치 릴리스입니다.

  • securitycritical/high CVE 패치를 위해 v2.8.3으로 업그레이드

    Go 툴체인과 containerd에서 critical/high 수준의 CVE가 확인됐습니다. release-2.8 브랜치를 운영 중이라면 즉시 v2.8.3으로 업그레이드하세요. 설정 변경은 필요 없고 이미지 교체만으로 충분합니다.

  • breakingCrashLoopBackOff 파드를 대상으로 한 NetworkChaos 실험 재검증 필요

    이전 버전에서는 대상 컨테이너가 CrashLoopBackOff 상태일 때 NetworkChaos 복구가 실패했습니다. v2.8.3은 이를 pause 컨테이너 PID로 폴백해 수정했습니다. 의도적으로 크래시가 반복되는 워크로드를 포함한 카오스 실험을 운영 중이라면, 업그레이드 후 복구 동작을 다시 확인하세요.

주요 변경 (5)
  • Go 툴체인 1.25.11 및 containerd 1.7.32로 업그레이드 — 컨테이너 이미지의 critical/high CVE 패치
  • memStress 헬퍼를 최신 Go 툴체인으로 재빌드 (v0.3.1)
  • chaos-daemon 이미지를 headless JRE로 전환하여 공격 표면 축소
  • 대상 컨테이너가 CrashLoopBackOff 상태일 때 NetworkChaos 복구 실패 수정 — sandbox(pause) 컨테이너 PID로 폴백
  • e2e 테스트에서 deprecated된 wait.PollImmediate를 wait.PollUntilContextTimeout으로 교체
원문

OpenTelemetry

Observability2026년 6월 8일

OTel Collector v0.154.0은 exporterhelper 시작 시 nil 포인터 패닉을 수정하고, --skip-get-modules 동작 방식을 변경합니다. TLS·CORS 설정 옵션도 소폭 추가됐습니다.

  • securityinclude_insecure_cipher_suites는 기본 비활성 — 건드리지 마세요

    새로 추가된 configtls 옵션으로 취약한 암호 스위트를 다시 활성화할 수 있지만, 기본값은 비활성입니다. 레거시 피어 연동이 불가피한 경우가 아니라면 운영 환경에서 true로 설정하지 마세요. 불가피하게 켜야 한다면 임시 조치로 간주하고 추적 관리하세요.

  • breaking--skip-get-modules를 쓰는 빌드 파이프라인 점검 필요

    OCB 기반 빌드 스크립트에서 --skip-get-modules 실행 시 go.mod가 암묵적으로 재생성되는 동작에 의존했다면, 이제 그 동작은 사라졌습니다. CI 파이프라인을 확인하고, 필요하다면 go mod tidy 단계를 명시적으로 추가하세요.

  • enhancementsending_queue에 sizer를 설정한다면 즉시 업그레이드

    sending_queue.sizer를 사용하면서 batch.enabled: false로 설정한 경우, 컬렉터가 시작 시 패닉으로 죽는 문제가 이번 릴리스에서 수정됐습니다. 해당 구성을 사용 중이라면 v0.154.0으로 업그레이드하세요.

주요 변경 (5)
  • cmd/builder: --skip-get-modules가 이제 go.mod를 재생성하지 않음 — 문서대로 모듈 작업을 완전히 건너뜀
  • pkg/exporterhelper: sending_queue.sizer 설정 시 batch.enabled: false이면 컬렉터 시작 중 nil 포인터 패닉이 발생하던 버그 수정
  • pkg/config/configtls: include_insecure_cipher_suites 옵션 추가, 기본값은 비활성화
  • pkg/confighttp: CORSConfig에 ExposedHeaders 필드 추가 — Access-Control-Expose-Headers 응답 헤더 제어 가능
  • cmd/mdatagen: 생성된 config 구조체에서 minimum, maximum, exclusiveMinimum, exclusiveMaximum 등 숫자 유효성 검사기 지원
원문

Cortex

Observability2026년 6월 5일

v1.21.1은 공식 보안 감사 결과를 반영한 패치 릴리스로, XSS, gzip 폭탄, 메모리 증폭 취약점 등 다수의 보안 문제를 수정했습니다. 즉시 업그레이드가 필요합니다.

  • security즉시 업그레이드 — 공식 감사에서 발견된 다수 취약점 패치

    이번 릴리스는 공식 보안 감사(V01–V07) 결과를 백포트한 것입니다. 상태 페이지 XSS, OTLP 수집 경로의 gzip 폭탄, 잘못된 네이티브 히스토그램 페이로드를 통한 메모리 증폭, 가십 포트 플러드/OOM 공격 등이 포함됩니다. 이론적 취약점이 아니라 Cortex 엔드포인트에 접근 가능한 클라이언트라면 누구든 악용할 수 있는 수준입니다. 지금 바로 v1.21.1로 업그레이드하고, 업그레이드 후 -distributor.otlp-max-recv-msg-size 설정이 실제 수집량 대비 적절한지 검토하세요.

  • security/config 엔드포인트 노출 여부 점검 필수

    이전 버전에서는 Swift, etcd, Redis, HTTP basic-auth 자격증명이 /config 엔드포인트에 평문으로 노출됐습니다. 내부 사용자나 스크래핑 시스템이 해당 엔드포인트에 접근할 수 있었다면 자격증명이 유출된 것으로 간주하고 즉시 교체하세요. 마스킹 처리가 됐더라도 네트워크 정책이나 인증 미들웨어로 /config 접근을 별도로 제한하는 것을 권장합니다.

  • enhancementMemberlist 가십 포트 제한 플래그 설정 검토

    새로 추가된 세 가지 플래그(-memberlist.packet-read-timeout, -memberlist.max-packet-size, -memberlist.max-concurrent-connections)로 인바운드 가십 TCP 동작을 제어할 수 있습니다. 기본값은 무난하지만, Cortex 클러스터가 신뢰도가 낮은 네트워크 세그먼트에 노출되어 있거나 가십 관련 OOM이 발생한 적 있다면 명시적으로 값을 지정하세요. 다음 정기 유지보수 창에 Helm values나 설정 관리 도구에 반영해두는 것이 좋습니다.

주요 변경 (7)
  • Alertmanager 및 Store Gateway 상태 페이지의 저장형 XSS 취약점 수정 (text/template → html/template)
  • gzip 압축 해제 폭탄 공격 차단: 압축 해제 크기를 -distributor.otlp-max-recv-msg-size로 제한
  • 네이티브 히스토그램 protobuf 크기를 기본 16KB로 제한하는 -validation.max-native-histogram-size-bytes 추가 (메모리 증폭 방지)
  • Memberlist 가십 포트 강화: 패킷 읽기 타임아웃, 최대 패킷 크기, 최대 동시 연결 수 제어 플래그 추가
  • /config 엔드포인트에서 Swift, etcd, Redis, HTTP basic-auth 자격증명 마스킹 처리
  • TenantID 불일치 PushStream 요청 거부 및 HMAC-SHA256 스트림 인증 추가
  • ingester·store-gateway 클라이언트에서 snappy 압축 사용 시 발생하던 패닉 수정
원문

Jaeger

Observability2026년 6월 3일

v2.19.0은 경량 검색용 /api/v3/trace-summaries 엔드포인트를 도입하고 UI 검색을 이 API로 전환했습니다. ClickHouse TLS 지원과 gRPC 최대 메시지 크기 설정도 추가됐습니다.

  • breakingUI 검색의 /api/v3/trace-summaries 전환 — 백엔드 호환성 확인 필수

    이번 버전부터 UI 검색은 /api/v3/trace-summaries만 사용합니다. gRPC 스토리지 플러그인을 커스텀으로 운영 중이라면 SummaryReader 인터페이스 구현 여부를 반드시 확인하세요. 미구현 시 전체 트레이스 집계 폴백 경로로 동작하지만 성능 차이가 있습니다. UI와 백엔드를 별도로 관리한다면, UI를 이 버전으로 올리기 전에 백엔드도 v2.19.0으로 먼저 업그레이드해야 합니다.

  • breakingAPI v3 클라이언트에서 query.num_traces를 query.search_depth로 교체

    기존 query.num_traces는 deprecated 별칭으로 당분간 작동하지만, 스크립트·대시보드·연동 도구에서 query.search_depth로 교체하는 걸 지금 진행하는 편이 좋습니다. 또한 HTTP 쿼리 파라미터는 camelCase가 정식 형식이 됐고 snake_case는 deprecated 별칭으로 전환됐으니 함께 확인하세요.

  • enhancementgRPC 스토리지에서 메시지 크기 오류가 있다면 max_recv_msg_size_mib 설정

    gRPC 원격 스토리지 플러그인 사용 시 큰 트레이스가 기본 메시지 크기 제한에 걸리는 경우가 많습니다. 새로운 max_recv_msg_size_mib 옵션으로 이 한도를 명시적으로 올릴 수 있습니다. 'received message larger than max' 오류를 경험한 적 있다면 Jaeger 배포 설정에 이 값을 추가하세요.

  • enhancement프로덕션 ClickHouse 스토리지에 TLS 설정 적용

    ClickHouse 스토리지 플러그인에 TLS 설정이 추가됐습니다. Jaeger 백엔드로 ClickHouse를 사용 중이고 네트워크 경계를 넘는 연결이 있다면, 네트워크 레벨 통제에만 의존하지 말고 TLS를 지금 설정하는 게 좋습니다.

주요 변경 (6)
  • UI 검색이 전체 트레이스 로딩 대신 /api/v3/trace-summaries를 사용하도록 전환 — 호환 백엔드 필요
  • GET /api/v3/trace-summaries HTTP 엔드포인트 및 gRPC FindTraceSummaries 핸들러 신규 추가
  • API v3에서 query.num_traces가 query.search_depth로 변경 — 기존 이름은 deprecated 별칭으로 유지
  • ClickHouse 스토리지에 TLS 설정 지원 추가
  • gRPC 스토리지 클라이언트에 max_recv_msg_size_mib 설정 옵션 추가
  • Elasticsearch 인덱스 템플릿에 scope 및 link 필드 누락 수정 — 기존 인덱스 재색인 필요 여부 확인 필요
원문
월별 보기