RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

wasmCloud

Orchestration & Management2026년 7월 2일

wasmCloud v2.5.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

wasmCloud

Orchestration & Management2026년 7월 1일

wasmCloud v2.5.0은 wasmtime 46 업그레이드와 wasip3 기본 활성화를 중심으로 한 기능 릴리스이며, keyvalue bucket WIT 인터페이스의 breaking 변경과 quinn-proto의 medium 심각도 보안 수정이 함께 포함되어 있습니다. 나머지는 새로운 비동기 keyvalue/blobstore 인터페이스, 오퍼레이터 하드닝, 런타임 및 도구 관련 각종 수정으로 구성됩니다.

  • securityquinn-proto 보안 수정 (RUSTSEC-2026-0185)

    소스에서 wasmCloud를 빌드하거나 의존성 스캔을 돌리는 경우 해당됩니다. 이번 릴리스에서 quinn-proto가 RUSTSEC-2026-0185(medium) 패치를 받았습니다. 애플리케이션 코드 수정 없이 업그레이드만 하면 됩니다.

  • breakingkeyvalue bucket이 공유 types 인터페이스로 이동

    wasmcloud:keyvalue 인터페이스를 사용하는 컴포넌트에 해당됩니다. bucket 타입이 인터페이스 내부 정의에서 빠져나와 공유 types 인터페이스로 옮겨졌습니다. 기존 wasmcloud:keyvalue WIT 기반으로 만든 컴포넌트와 프로바이더는 업그레이드 전에 바인딩을 갱신하고 코드를 다시 생성해야 합니다.

  • breakingwasmtime 46, wasip3 기본 활성화

    이 런타임에서 동작하는 모든 컴포넌트에 해당됩니다. wasmtime이 46으로 올라가고 wasip3 지원이 기본으로 켜집니다. 전체 배포 전에 기존 컴포넌트를 새 런타임에서 먼저 테스트하세요. 특히 wasip3 동작 변화에 민감한 컴포넌트는 주의가 필요합니다.

주요 변경 (7)
  • 런타임이 wasmtime 46으로 업그레이드되고 wasip3가 기본으로 켜졌으며, 동적 링커를 통한 wasip3 크로스 컴포넌트 스트리밍도 추가됨
  • breaking WIT 변경: wasmcloud:keyvalue bucket이 인터페이스별 인라인 정의 대신 공유 types 인터페이스로 이동함
  • quinn-proto의 RUSTSEC-2026-0185 보안 결함 수정 (medium 심각도)
  • 비동기 wasmcloud:keyvalue 및 wasmcloud:blobstore WIT 인터페이스 신규 추가, wasi:keyvalue·wasmcloud:postgres·wasmcloud:messaging/consumer는 (implements ..) 임포트로 멀티플렉싱 가능해짐
  • 엔드투엔드 오퍼레이터 구현이 추가되고 runtime-operator Helm 차트가 린트 및 하드닝되었으며, 오퍼레이터 캐싱이 server-side apply를 올바르게 사용하도록 수정됨
  • wash-runtime 엔진 설정이 WasmProposal을 통해 조합 가능해지고 CLI와 차트에 노출됨, wash-runtime의 P3 HTTP 응답 스트리밍과 타임아웃 시 gRPC 바디 정리도 함께 수정됨
  • 그 외 소소한 수정과 도구 개선: 패키지 수준 참조 WIT 검증, 버전 지정자 remove 처리, wash new의 Windows 경로 처리, wash wit add의 멀티라인 world 선언 지원, AbortOnDrop을 통한 임시 태스크 정리, CI 개선(CARGO_NET_RETRY, s390x 빌드, 네임스페이스 OCI 경로로 WIT 패키지 배포)
원문

Karmada

Orchestration & Management2026년 6월 30일

Karmada v1.18.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Karmada

Orchestration & Management2026년 6월 30일

Karmada v1.17.4이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Karmada

Orchestration & Management2026년 6월 30일

Karmada v1.16.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Volcano

Orchestration & Management2026년 6월 27일

Volcano v1.14.3은 스케줄러 버그 수정 백포트만으로 구성된 정기 패치 릴리스입니다. 신규 기능, 지원 중단, 보안 변경 사항은 없습니다.

주요 변경 (7)
  • Network-Topology-Aware 스케줄링 소프트 모드의 잡·서브잡 처리 오류 수정
  • 인큐 스칼라 리소스 회계에 밀리 단위 적용, 리소스 계산 정밀도 오류 해결
  • 중·대형 클러스터에서 발생하던 HAMi vGPU 스케줄링 실패 수정
  • Ascend vNPU 상태 확인 방식을 Allocatable 리소스 기반으로 변경
  • 선점 시 우선순위가 높은 파드를 먼저 유예(reprieve)하도록 순서 복원
  • 장기 실행 잡에서 job.Status.Conditions가 무한 증가하는 문제를 차단해 메모리·etcd 부담 감소
  • 그 외 소규모 스케줄러 수정: 파드 해제 시 device 어노테이션 정리, minPartitions 미설정 시 minAvailable의 replicas 폴백, 노드 스냅샷 ImageStates 복원, maxFloat·maxInt 표시 오류 수정
원문

Operator Framework

Orchestration & Management2026년 6월 27일

Operator Framework v1.42.3이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Crossplane

Orchestration & Management2026년 6월 23일

Crossplane v2.3.3은 OCI 패키지 서명 검증의 TOCTOU 취약점(GHSA-mf7q-r4rv-jv94)을 수정하고, namespaced XR에서 `crossplane render`가 잘못된 namespace를 주입하던 버그를 고칩니다.

  • securityOCI 서명 TOCTOU 취약점(GHSA-mf7q-r4rv-jv94) — 즉시 업그레이드 필요

    이 취약점은 악의적인 OCI 레지스트리가 서명 검증을 통과한 뒤 서명되지 않은 패키지 콘텐츠를 제공할 수 있는 문제입니다. OCI 레지스트리에서 패키지를 설치하는 모든 Crossplane 환경에 해당됩니다. v2.3.3으로 업그레이드하고, 취약한 버전에서 설치된 패키지는 재설치를 검토하세요. 기술 세부사항은 crossplane-runtime v2.3.3 어드바이저리를 확인하세요.

  • securitygolang.org/x/net, x/sys CVE 패치 — 소스 빌드 환경 확인 필요

    Crossplane을 소스에서 빌드하거나 자체 provider/function에서 이 라이브러리를 vendor로 관리하는 팀은 의존성 버전을 v2.3.3 기준으로 맞춰야 합니다. 공식 이미지를 사용 중이라면 v2.3.3 이미지에 이미 패치된 버전이 포함되어 있습니다.

  • breakingnamespaced XR에서 crossplane render의 namespace 주입 동작 변경

    CI 파이프라인이나 로컬 테스트에서 `crossplane render`를 namespaced XR 대상으로 실행한다면, 이제 injected resource ref에 namespace가 붙지 않습니다. 실제 reconciler 동작에 맞춘 수정이지만, 기존 render 테스트 결과가 달라질 수 있습니다. 업그레이드 후 render 테스트를 다시 돌려 예상치 못한 차이가 없는지 확인하세요.

주요 변경 (4)
  • OCI 패키지 서명 검증 TOCTOU 취약점 수정 — crossplane-runtime v2.3.3 통해 반영 (GHSA-mf7q-r4rv-jv94)
  • namespaced XR의 resource ref에 namespace가 잘못 설정되던 `crossplane render` 버그 수정 — KCL 바인딩 등 strict schema 함수가 깨지는 문제 해결
  • Go 툴체인을 1.25.11로 업그레이드
  • apis 모듈 내 golang.org/x/net 및 golang.org/x/sys를 CVE 패치 버전으로 업데이트
원문

Crossplane

Orchestration & Management2026년 6월 23일

Crossplane v2.2.3은 패키지 서명 검증의 TOCTOU 취약점(GHSA-wfqx-gjrf-g28r)을 패치하고, Go 툴체인과 의존성 보안 업데이트를 포함한 패치 릴리스입니다.

  • security태그 기반 패키지 설치를 사용한다면 즉시 v2.2.3으로 업그레이드

    Crossplane 패키지를 태그로 설치하고 직접 통제하지 않는 레지스트리를 사용하는 경우, 이 TOCTOU 취약점(GHSA-wfqx-gjrf-g28r)에 노출됩니다. 악의적인 레지스트리가 서명 검증 단계에는 올바른 이미지를, 실제 설치 단계에는 서명되지 않은 다른 이미지를 반환할 수 있었습니다. v2.2.3으로 즉시 업그레이드하세요. 추가 방어 수단으로, 패키지 설치 시 태그 대신 다이제스트 참조로 전환하는 것도 고려할 만합니다.

  • securityGo 1.25.11 및 golang.org/x/net v0.55.0 업스트림 보안 패치 반영

    Go 툴체인과 net 패키지 업데이트는 업스트림 보안 수정을 포함합니다. v2.2.3으로 업그레이드하는 것 외에 별도 조치는 필요 없지만, 컨테이너 이미지 CVE 스캔을 운영 중이라면 이전 버전 이미지에서 관련 취약점이 탐지될 수 있으므로 v2.2.3을 컴플라이언스 스캔 기준 이미지로 삼으세요.

주요 변경 (4)
  • TOCTOU 취약점(GHSA-wfqx-gjrf-g28r) 수정: 태그 참조를 다이제스트로 한 번만 변환해 서명 검증과 이미지 풀에 동일하게 사용
  • Go 툴체인 1.25.11로 업그레이드
  • golang.org/x/net v0.55.0으로 업데이트
  • crossplane-runtime v2.2.3으로 업데이트
원문

Crossplane

Orchestration & Management2026년 6월 23일

Crossplane v2.1.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Crossplane

Orchestration & Management2026년 6월 23일

Crossplane v1.20.10이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

wasmCloud

Orchestration & Management2026년 6월 17일

wasmCloud 2.4.0은 WorkloadDeployments 자동 스케일링을 추가하고, 아키텍처 지원을 확대하며(s390x), wash CLI와 호스트 플러그인 API를 개선합니다. 대체로 운영상 이점이 있는 점진적 개선입니다.

  • enhancement변동 트래픽을 다루는 WorkloadDeployment는 자동 스케일링 활성화하기

    wasmCloud 2.4.0에서 WorkloadDeployments 자동 스케일링을 지원합니다. 현재 고정 레플리카 개수로 운영하면서 피크 시간이나 배치 처리 윈도우처럼 수요가 변동한다면, 자동 스케일링을 활성화하여 수동 조정과 유휴 비용을 줄일 수 있습니다. Helm 차트나 YAML 매니페스트에서 자동 스케일링 설정을 검토하고, 프로덕션 배포 전에 스테이징 환경에서 임계값을 테스트하세요.

  • enhancements390x나 다른 비x86 시스템에 배포하는 경우 wash CLI 업데이트하기

    wash가 이제 s390x-unknown-linux-gnu용으로 빌드됩니다. IBM 메인프레임이나 s390x 시스템을 운영 중이라면, 에뮬레이션이나 우회책 없이 wash를 네이티브로 빌드하고 실행할 수 있습니다. 릴리스 애셋에서 새 바이너리를 받아 호스트 설정과 호환되는지 확인하세요.

  • enhancement컨테이너 헬스 체크 설정을 검토하여 NATS 연결 상태 활용하기

    컨테이너 헬스 체크가 이제 별도 프로브 대신 NATS 연결 상태를 사용합니다. 장애 감지가 단순해집니다. 컨테이너가 NATS 연결을 잃으면 더 빠르게 unhealthy로 표시됩니다. 특히 지연 시간이 크거나 네트워크가 혼잡하여 NATS 재연결이 오래 걸릴 수 있는 환경에서는 헬스 체크 임계값과 타임아웃을 확인하세요.

주요 변경 (5)
  • WorkloadDeployments 자동 스케일링으로 수동 크기 조정 대신 수요 기반 스케일링 가능.
  • wash CLI가 s390x-unknown-linux-gnu 빌드를 지원하여 하드웨어 플랫폼 범위 확대.
  • wash-runtime 리팩터링으로 호스트 플러그인 API 사용성 개선.
  • 컨테이너 헬스 체크가 NATS 연결 상태 기반으로 작동하여 더 정확한 장애 감지.
  • 단일 워크로드가 여러 주제에서 수신할 수 있는 다중 구독 워크로드 지원.
원문

KubeVirt

Orchestration & Management2026년 6월 17일

KubeVirt v1.8.4는 virt-handler의 gRPC 연결 누수 버그 수정, CVE-2026-35469 패치, 누락된 메트릭·알림 추가를 담은 패치 릴리스입니다.

  • securityCVE-2026-35469 패치: v1.8.4로 즉시 업그레이드

    moby/spdystream 의존성에서 CVE-2026-35469(GHSA-pc3f-x583-g7j2)가 발견됐습니다. v1.8.4 이전 버전을 운영 중이라면 바로 업그레이드하세요. 내부 취약점 스캐너 결과에서 해당 CVE를 확인하고, 업그레이드 전후로 탐지 여부를 비교해두면 좋습니다.

  • breakinggRPC 연결 누수 수정 후 virt-handler 리소스 사용량 변화 확인

    GetLauncherClient의 연결 누수로 VMI 생성이 빈번한 클러스터에서는 메모리와 고루틴이 계속 쌓였습니다. 업그레이드 후 virt-handler 메모리 사용량이 눈에 띄게 줄어들 수 있으니, 누수 상태를 기준으로 설정했던 메모리 제한이나 알림 임계값이 있다면 재검토하세요.

  • enhancement새 메트릭·알림 추가 — 대시보드와 runbook 업데이트 필요

    virt 컴포넌트에서 빠져 있던 메트릭, recording rule, 알림이 추가됐습니다. 기존 Prometheus·Alertmanager 설정과 비교해 새로 추가된 항목을 확인하고, 필요한 알림을 runbook에 반영하세요.

주요 변경 (4)
  • CVE-2026-35469 대응: moby/spdystream v0.5.0 → v0.5.1 업그레이드 (GHSA-pc3f-x583-g7j2)
  • virt-handler GetLauncherClient의 gRPC 연결 누수 수정 — 동일 VMI에 여러 컨트롤러가 경쟁할 때 메모리·소켓·고루틴이 무제한 증가하던 문제
  • virt 컴포넌트의 누락된 메트릭, recording rule, 알림 추가
  • node-labeller에 --expand-cpu-features 및 --supported-cpu-features 플래그 적용
원문

Dapr

Orchestration & Management2026년 6월 16일

Dapr v1.18.1은 워크플로우 엔진 버그 수정에 집중된 패치 릴리스로, 타이머 리마인더 누수, 설정 리로드 후 사이드카 불능 상태, 워크플로우 영구 중단 등 5가지 문제를 수정합니다.

  • breakingHelm 설치 사용자: 워크플로우 동시성 제한이 이전까지 무시됐습니다

    Helm으로 Dapr을 설치하면서 Configuration 리소스에 globalMaxConcurrentWorkflowInvocations, globalMaxConcurrentActivityInvocations 또는 per-name 제한 필드를 설정했다면, 해당 설정이 실제로는 적용되지 않았습니다. 1.18.1로 업그레이드하면 CRD 스키마가 올바르게 수정되어 제한이 실제로 적용되기 시작합니다. 값이 지나치게 보수적으로 설정돼 있으면 처리량이 갑자기 줄어들 수 있으므로, 프로덕션 업그레이드 전에 설정값을 반드시 검토하세요.

  • enhancement에이전트형·루프 워크플로우를 운영한다면 업그레이드 필수

    이번 릴리스에서 수정된 버그 3개가 ContinueAsNew 루프나 동일 이벤트 이름을 반복 대기하는 패턴에 직접 영향을 줍니다. 이런 패턴은 에이전트형 워크플로우에서 흔히 쓰입니다. 리마인더 누수는 워크플로우 수명 동안 계속 쌓이고, ContinueAsNew 교착 상태는 타임아웃 없이 영구 중단을 유발합니다. 루프 워크플로우가 RUNNING에서 멈추거나 이유 없이 깨어나는 현상이 관측된다면 1.18.1로 업그레이드하세요.

  • enhancement워크플로우 사이드카의 설정 핫 리로드가 이제 정상 동작합니다

    이 수정 이전에는 워크플로우 워커를 호스팅하는 사이드카에서 SIGHUP으로 설정 리로드를 수행하면 사이드카가 영구적으로 망가질 수 있었습니다 — 포트 50001이 연결을 거부하고 파드를 재시작하는 것 외에 복구 방법이 없었습니다. 워크플로우를 호스팅하는 배포에서 설정 핫 리로드를 사용한다면 1.18.1 업그레이드를 필수로 처리하세요.

주요 변경 (5)
  • 동일한 외부 이벤트 이름을 루프에서 반복 대기할 때 타이머 리마인더가 누수되던 문제 수정
  • 설정 핫 리로드(SIGHUP) 시 워크플로우 사이드카가 영구적으로 불능 상태에 빠지던 문제 수정 — 스트리밍 워커가 종료 시 정상적으로 닫힘
  • 실제 변경이 없는 Kubernetes 오퍼레이터 리싱크 이벤트에 사이드카가 불필요하게 재시작하던 문제 수정
  • ContinueAsNew 경계를 넘어 완료된 차일드 워크플로우 때문에 부모 워크플로우가 RUNNING 상태로 영구 중단되던 문제 수정
  • Helm 차트의 Configuration CRD에 v1.18.0에서 추가된 워크플로우/액티비티 동시성 제한 필드 누락 수정
원문

Dapr

Orchestration & Management2026년 6월 16일

Dapr 1.17.10은 pubsub publish 작업에서 resiliency retry policy의 `matching` 규칙이 무시되던 버그를 수정합니다. pubsub와 resiliency retry를 함께 사용 중이면 업그레이드해 의도한 재시도 동작을 강제하세요.

  • breakingPubsub publish 오류의 재시도 동작 변경

    pubsub outbound retry 대상으로 `matching` 규칙이 있는 resiliency policy를 설정했다면, publish 오류가 올바르게 분류되어 terminal 오류(예: 401 Unauthorized, 404 Not Found)는 더 이상 maxRetries를 소진하지 않고 즉시 멈춥니다. resiliency 정책 설정을 검토하세요. 기존 동작(항상 publish 재시도)에 의존했다면 retry policy를 조정하거나 `matching` 제약을 제거하세요.

  • enhancementPubsub에 resiliency policy 의도 강제 적용

    pubsub publish 대상으로 명시적인 `matching` 코드를 가진 resiliency policy를 설정했다면 1.17.10으로 업그레이드하세요. 정책이 의도한 대로 작동합니다. Service invocation, output binding 등 다른 작업과 같은 수준으로 pubsub publish가 retry `matching`을 존중하게 됩니다. 코드 변경은 불필요하며 투명한 수정입니다.

주요 변경 (3)
  • Pubsub Publish와 BulkPublish 작업에서 resiliency retry `matching` (httpStatusCodes/gRPCStatusCodes)이 이제 적용됨
  • Publish 오류가 gRPC status를 포함하면 resiliency.CodeError로 감싸져 다른 policy runner와 같은 동작 수행
  • Terminal pubsub 오류(유효하지 않은 topic, 권한 거부)가 maxRetries를 모두 소진하지 않고 즉시 실패하도록 변경
원문

Dapr

Orchestration & Management2026년 6월 16일

Dapr 1.16.16은 1.18→1.16 다운그레이드 후 발생하는 Sentry 인증서 서명 실패와 Helm StatefulSet 스토리지 충돌 두 가지 버그를 수정합니다.

  • breaking1.16.16으로 다운그레이드할 때 Helm 플래그를 반드시 확인하세요

    helm upgrade 시 --reset-values를 사용하고 원래 설치 때 넣었던 값을 명시적으로 다시 전달하세요. --reuse-values는 절대 사용하지 마세요. 1.17/1.18 차트의 computed default가 그대로 넘어오는데, 특히 placement의 disseminateTimeout=8s가 1.16 바이너리에서 허용 범위(1s~3s)를 벗어나 시작 시 실패합니다. 스케줄러 StatefulSet을 미리 삭제하지 않은 경우, --set dapr_scheduler.cluster.storageSize=<현재 값>을 추가하거나 --cascade=orphan으로 StatefulSet을 삭제한 뒤 진행하세요.

  • breaking1.18에서 1.16으로 롤백한 클러스터는 Sentry 크래시를 겪고 있을 가능성이 높습니다

    Dapr 1.18에서 1.16.x 초기 버전으로 롤백했다면, trust bundle의 Ed25519 키와 ECDSA CSR 타입 불일치로 Sentry가 시작 시 크래시되고 있을 겁니다. 1.16.16으로 업그레이드하면 해결되며, 인증서를 수동으로 교체할 필요는 없습니다.

주요 변경 (4)
  • 신뢰 번들이 신버전(Ed25519)으로 생성된 경우에도 Sentry가 ECDSA CSR을 정상적으로 서명하도록 수정
  • 인증서 템플릿에서 CSR의 SignatureAlgorithm을 복사하던 로직 제거 — 이제 Go x509 라이브러리가 발급자 키에서 알고리즘을 자동 추론
  • Helm 차트에 storageSize 템플릿 헬퍼를 백포팅하여, 다운그레이드 시 실제 StatefulSet 값을 읽어 immutable 필드 충돌 방지
  • 신규 설치는 기존과 동일하게 .Values.cluster.storageSize(기본 1Gi)로 폴백
원문

Dapr

Orchestration & Management2026년 6월 12일

Dapr 1.16.15는 발급자 키가 Ed25519 또는 RSA일 때 dapr-sentry가 기동 직후 crash-loop에 빠지는 버그를 수정합니다. 1.18에서 다운그레이드했거나 발급자 키를 교체한 경우 즉시 확인이 필요합니다.

  • breaking1.18 다운그레이드 또는 발급자 키 교체 환경은 1.16.15로 업그레이드하세요

    1.18에서 1.16으로 다운그레이드하면 dapr-trust-bundle 시크릿에 Ed25519 발급자 키가 그대로 남습니다. 이 상태에서 dapr-sentry는 crash-loop에 빠지고 새로운 mTLS 인증서 발급이 전면 중단됩니다. 기존 사이드카는 인증서가 만료되기 전까지는 동작하지만, 파드 재시작이나 인증서 만료 시점에 identity 취득에 실패합니다. 1.16.15로 즉시 업그레이드하세요. 당장 업그레이드가 어렵다면, dapr-trust-bundle의 발급자 키를 ECDSA P-256으로 교체하는 방법이 유일한 임시 해결책입니다.

주요 변경 (5)
  • dapr-trust-bundle에 Ed25519 또는 RSA 발급자 키가 있으면 dapr-sentry가 'unsupported key type' 오류로 기동 실패
  • 원인: dapr/kit의 EncodePrivateKey가 *ecdsa.PrivateKey와 포인터형 *ed25519.PrivateKey만 처리하고, 값 타입 ed25519.PrivateKey와 RSA는 누락
  • 수정: dapr/kit v0.16.3에서 세 가지 키 타입 모두 PKCS#8로 정상 처리하도록 개선
  • 1.18에서 1.16으로 다운그레이드한 클러스터, 또는 발급자 키를 Ed25519/RSA로 교체한 1.16 배포 환경이 영향권
  • sentry가 crash-loop 중이어도 인증서가 아직 유효한 사이드카는 동작하지만, 새로 뜨거나 인증서가 만료된 사이드카는 ID 발급 실패
원문

Dapr

Orchestration & Management2026년 6월 11일

Dapr 1.18은 워크플로우 보안·내구성(변조 감지, 접근 정책, 히스토리 전파, 동시성 제한)을 크게 보강했습니다. Jobs API와 HotReload가 GA로 승격되었고, 업그레이드 전 반드시 검토해야 할 breaking change가 여럿 포함되어 있습니다.

  • security공유·멀티테넌트 클러스터에서 WorkflowAccessPolicy 적용 검토

    1.18 이전에는 같은 trust domain의 모든 호출자가 다른 앱의 워크플로우를 스케줄, 종료, 조회할 수 있었습니다. WorkflowAccessPolicy CRD로 이를 per-operation 수준에서 제한할 수 있습니다. 기본값은 여전히 전체 허용이라 기존 배포에 즉각적인 영향은 없지만, 공유 클러스터를 운영 중이라면 지금 정책을 정의해두는 편이 낫습니다. 또한 redis common 컴포넌트의 TLS 인증서 검증 무조건 건너뛰기 버그가 이번 릴리스에서 수정되었으니, 업그레이드 전 Redis TLS 설정이 올바른지 확인하세요.

  • breaking1.18에서 1.17.6 이하로 직접 롤백 금지

    Sentry 1.18은 Ed25519 키로 서명된 CA를 dapr-trust-bundle 시크릿에 기록합니다. 1.17.7 미만의 Sentry는 이 번들을 파싱하지 못해 크래시 루프에 빠지고, 신규 인증서 발급이 전면 중단됩니다. 업그레이드 전에 롤백 목표 버전이 1.17.7 이상인지 반드시 확인하세요. 1.17.7 미만으로 내려가야 한다면 1.17.7로 먼저 롤백해 안정화한 뒤 계속 진행하세요. 워크플로우 ID 재사용에 의존하는 코드도 함께 점검하세요 — 이제 conflict 에러를 반환합니다.

  • breaking서비스 호출 시 hop-by-hop 헤더 제거 — 앱 동작 점검 필요

    Connection, Keep-Alive, Transfer-Encoding 등 HTTP hop-by-hop 헤더가 서비스 호출 경로에서 RFC 7230에 따라 제거됩니다. 해당 헤더가 그대로 전달된다고 가정하는 앱은 조용히 깨질 수 있습니다. 업그레이드 전에 서비스 호출 코드를 검토하고, hop-by-hop에 의존하는 부분은 일반 헤더로 대체하세요.

  • enhancement감사 요건이 있는 워크플로우에 히스토리 서명 활성화 검토

    워크플로우 히스토리 서명은 opt-in이며 기본 비활성 상태입니다. mTLS가 활성화되어 있어야 사용할 수 있습니다. 클러스터 전체에 활성화하기 전에 서명 없이 실행 중인 워크플로우가 완료되거나 purge되도록 기다리세요 — 서명 없이 시작된 워크플로우에 서명을 활성화하면 하드 검증 에러가 발생하며 소급 적용은 불가합니다. 변조가 감지되면 해당 워크플로우는 DAPR_WORKFLOW_HISTORY_TAMPERED 에러와 함께 종료되고, 원본 상태는 포렌식 검토를 위해 보존됩니다. 컴플라이언스 요건이 있거나 멀티테넌트 워크플로우를 운영하는 환경에 적합합니다.

주요 변경 (7)
  • Sentry가 Ed25519 키로 전환 — 롤백 최저선은 1.17.7이며, 1.17.6 이하로 직접 롤백 시 Sentry가 크래시 루프에 빠짐
  • WorkflowAccessPolicy CRD 추가: 앱 간 워크플로우 작업을 per-operation allow-list로 제어 (정책 미설정 시 기본값은 전체 허용)
  • 워크플로우 히스토리 서명(opt-in) 추가: SPIFFE 인증서로 이벤트 배치를 체이닝 서명해 변조를 감지
  • HotReload GA 및 기본 활성화 — 컴포넌트, 구독, 설정 등 사이드카 재시작 없이 재로드
  • Jobs API 안정 버전 승격 — alpha RPC는 deprecated되나 동작은 유지됨, 앱 코드를 ScheduleJob/GetJob/DeleteJob으로 마이그레이션 필요
  • 워크플로우 ID 재사용 정책 변경: 이미 활성 인스턴스가 있는 ID로 새 워크플로우 생성 시 conflict 에러 반환 (기존의 묵시적 덮어쓰기 동작 제거)
  • Java SDK 최소 버전이 Java 17로 상향, Spring Boot 기준선이 3.5로 변경
원문

Crossplane

Orchestration & Management2026년 6월 10일

Crossplane v2.3.2이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

KEDA

Orchestration & Management2026년 6월 9일

KEDA 2.20.1은 동시 스케일링 중 패닉을 유발하는 경합 조건을 고치고 ScaledJob의 누락된 시작 이벤트를 복원합니다. 2.20.0을 운영 중이면 업그레이드가 필수입니다.

  • security동시 스케일링 중 패닉 크래시가 발생했다면 2.20.1로 업그레이드하기

    상태 업데이트 로직의 동시 맵 읽기/쓰기 경합 조건이 여러 트리거가 동시에 스케일링될 때 KEDA를 패닉하게 만들었습니다. 2.20.1에서 수정되었습니다. 2.20.0에서 높은 스케일링 활동 중에 패닉 크래시를 경험했다면 즉시 업그레이드하세요.

  • breaking업그레이드 전에 v2.20.0 호환성 변경사항 확인하기

    KEDA 2.20.0에서 호환성을 깨는 변경이 있었습니다. 2.20.0 이전 버전에서 KEDA를 운영 중이라면 2.20.1로 업그레이드하기 전에 GitHub의 v2.20.0 릴리스 노트를 반드시 읽으세요. 2.20.0 릴리스 노트를 건너뛰고 2.20.1로 바로 업그레이드하지 마세요.

  • enhancementScaledJob 스케일러 시작 이벤트 가시성 복원하기

    KEDA가 Kubernetes 이벤트 수집(aggregation) 키 충돌로 인해 ScaledJob에 대한 KEDAScalersStarted 이벤트를 발생시키지 못했습니다. 이 이벤트를 추적하는 모니터링 도구나 대시보드는 ScaledJob 시작 신호를 놓쳤을 수 있습니다. 2.20.1로 업그레이드하여 정상적인 이벤트 발생을 복원하세요.

주요 변경 (3)
  • 동시 트리거 스케일링 중 패닉을 유발하는 동시 맵 읽기/쓰기 경합 조건 수정
  • 이벤트 수집 키 충돌로 인한 ScaledJob KEDAScalersStarted 이벤트 미발생 문제 해결
  • 2.20.0 실행 중이라면 업그레이드 필수; 이전 버전에서 업그레이드할 때는 2.20.0의 호환성 변경사항 검토 필요
원문

Crossplane

Orchestration & Management2026년 6월 6일

v2 업그레이드 준비 상태를 자동으로 점검하는 CLI 명령 추가, golang.org/x/net 보안 패치, 런타임 업데이트가 포함된 패치 릴리스입니다.

  • securitygolang.org/x/net 보안 패치 — 즉시 업그레이드 필요

    golang.org/x/net이 보안 이슈로 v0.55.0으로 업데이트됐습니다. 릴리스 노트가 명시적으로 보안 업데이트로 분류한 만큼, 선택이 아닌 필수 조치입니다. 다음 정기 점검 시점을 기다리지 말고, 가능한 가장 빠른 유지보수 창에 v1.20.9로 업그레이드하세요.

  • breakingupgrade check 결과는 경고가 아닌 실제 차단 항목

    이 명령은 v2에서 제거되거나 변경된 기능 — 네이티브 P&T Composition, ControllerConfig, 외부 시크릿 스토어, 미정규화 패키지 소스 — 의 실제 사용 여부를 검사합니다. 단순한 deprecation 경고가 아니라 업그레이드를 막는 하드 블로커입니다. 점검 결과에 문제가 있다면, v2 업그레이드 전에 제공된 마이그레이션 가이드를 따라 선행 작업을 완료해야 합니다. 그냥 업그레이드하면 운영 중인 워크로드가 중단됩니다.

  • enhancementv2 마이그레이션 계획 전 upgrade check 먼저 실행

    v1.x 컨트롤 플레인을 운영 중이고 v2 전환이 로드맵에 있다면, 지금 당장 `crossplane beta upgrade check`를 실행해 보세요. 어떤 Composition, ControllerConfig, 패키지 참조가 업그레이드를 막는지 정확히 알 수 있어 수동 감사에 드는 시간을 크게 줄일 수 있습니다. `-o json` 옵션과 함께 CI 파이프라인에 연결하면, v2 업그레이드 PR 병합 전 자동 게이팅도 간단히 구현됩니다.

주요 변경 (5)
  • `crossplane beta upgrade check` 명령으로 실행 중인 컨트롤 플레인의 v2 호환성을 사전 점검 가능
  • 네이티브 P&T Composition, ControllerConfig 사용, 외부 시크릿 스토어, 미정규화 패키지 소스, 연결 세부 정보 등 v2 주요 변경 사항 전 항목 검사
  • 기본 출력은 사람이 읽기 쉬운 텍스트 형식, `-o json` 옵션으로 JSON 출력 가능하며 문제 발견 시 비정상 종료 코드 반환 — CI 게이팅에 바로 활용 가능
  • 각 점검 결과에 마이그레이션 가이드 및 `crossplane beta convert` 명령 링크 포함
  • 보안 업데이트: golang.org/x/net v0.55.0 및 crossplane-runtime v1.20.9 적용
원문

KubeVirt

Orchestration & Management2026년 6월 4일

KubeVirt v1.8.3은 보안 취약점 패치, 인가 버그 수정, 라이브 마이그레이션 안정화, GPU/DRA 장치 처리 개선을 포함한 패치 릴리스로, 빠른 배포가 권장됩니다.

  • securityCVE 및 심볼릭 링크 취약점 — 즉시 업그레이드 필요

    gRPC CVE(GHSA-p77j-4mvh-x3m3)와 VMExport 디렉터리 핸들러의 심볼릭 링크 탐색 취약점, 두 가지 보안 문제가 이번 릴리스에서 수정됐습니다. VMExport를 사용하거나 VM 데이터를 외부에 노출하는 환경이라면 업그레이드를 최우선으로 처리하세요. 업그레이드 전후로 기존 VMExport 디렉터리에 악의적인 심볼릭 링크가 없는지 점검하는 것도 잊지 마세요.

  • breaking메트릭 이름 변경 — 업그레이드 전에 대시보드와 알림 규칙 수정 필요

    kubevirt_vm_created_total과 kubevirt_vm_created_by_pod_total은 완전히 deprecated 처리됐고, 다수의 recording rule도 네이밍 컨벤션 준수를 위해 이름이 바뀝니다. Grafana 대시보드, 알림 규칙, SLO 쿼리에서 이 메트릭을 참조하고 있다면 업그레이드 후 조용히 매칭이 끊깁니다. 프로덕션 배포 전에 옵저버빌리티 스택을 전수 점검하고 새 이름으로 마이그레이션하세요.

  • enhancement라이브 마이그레이션 안정성 향상 — IPv6 및 크로스 네임스페이스 환경 포함

    이번 릴리스에서 라이브 마이그레이션 관련 버그 여러 건이 해결됐습니다. IPv6 클러스터의 크로스 네임스페이스 마이그레이션이 정상 작동하고, kubevirt_vmi_info 중복 시리즈로 인한 알림 오작동도 수정됐으며, 마이그레이션 중 GuestAgentPing 프로브로 인한 파드 재시작도 더 이상 발생하지 않습니다. IPv6나 멀티 네임스페이스 환경에서 불안정성 때문에 라이브 마이그레이션을 꺼리고 있었다면, 이번 버전이 그 장벽을 없애줄 겁니다.

주요 변경 (5)
  • CVE 대응: GHSA-p77j-4mvh-x3m3 해결을 위해 gRPC를 1.79.3으로 업그레이드
  • VMExport 디렉터리 핸들러의 심볼릭 링크 탐색 취약점 패치
  • 다중 VFIO 패스스루 VM 기동 실패('cannot limit locked memory') 수정 — 장치별 memlock rlimit 스케일링 적용
  • virt-api SubjectAccessReview 버그 수정 — vnc/screenshot, sev/* 등 하위 리소스가 잘못된 이름으로 인가 검사되던 문제 해결
  • 라이브 마이그레이션·스냅샷·VM 일시 정지 중 GuestAgentPing 프로브로 인한 virt-launcher 파드 재시작 문제 수정
원문

KubeVirt

Orchestration & Management2026년 6월 4일

KubeVirt v1.7.4는 gRPC CVE 패치, 인가 버그 수정, IPv6 환경 라이브 마이그레이션 수정, VM 수명주기 이벤트 중 프로브 오동작 수정을 포함한 패치 릴리스입니다.

  • securityCVE-2026-33186 패치를 위해 즉시 v1.7.4로 업그레이드

    gRPC 의존성에서 CVE-2026-33186 취약점이 발견되어 1.79.3으로 업그레이드됐습니다. KubeVirt를 v1.7.4로 업그레이드하는 것 외에 별도의 설정 변경은 필요 없습니다. gRPC를 통해 신뢰할 수 없는 입력을 처리하는 워크로드가 있다면 업그레이드를 우선순위에 두세요.

  • breakingVNC, SEV, evacuate 서브리소스 사용 시 RBAC 정책 재검토 필요

    SubjectAccessReview 버그로 인해 vnc/screenshot, sev/*, evacuate/cancel 서브리소스의 인가 검사가 잘못된 이름을 기준으로 평가되고 있었습니다. 이는 보안 문제인 동시에 인가 로직 자체의 정합성 문제입니다. v1.7.4로 업그레이드한 뒤, 관련 서브리소스에 설정된 RBAC 정책이 의도대로 동작하는지 반드시 확인하세요. 허용되어야 할 접근이 차단되거나, 그 반대 상황이 발생했을 가능성이 있습니다.

  • enhancement마이그레이션이나 일시 중지 중 virt-launcher 파드가 재시작되는 문제 해소

    GuestAgentPing 프로브를 사용하는 환경에서 라이브 마이그레이션, 사용자 일시 중지, 스냅샷, 저장, 덤프 중 virt-launcher 파드가 불필요하게 재시작되는 현상이 있었습니다. 이번 수정으로 해당 상태에서의 프로브 오탐이 억제됩니다. 별도 조치 없이 업그레이드만으로 해결되며, 마이그레이션 중 프로브를 비활성화하는 등의 임시 대응책을 운영 중이었다면 제거해도 됩니다.

주요 변경 (5)
  • google.golang.org/grpc를 1.79.3으로 업그레이드하여 CVE-2026-33186 패치
  • 라이브 마이그레이션, 일시 중지, 스냅샷, 저장, 덤프 중 GuestAgentPing 프로브로 인한 virt-launcher 파드 재시작 문제 수정
  • IPv6 클러스터에서 크로스 네임스페이스 라이브 마이그레이션 정상 동작
  • vnc/screenshot, sev/*, evacuate/cancel 서브리소스의 SubjectAccessReview가 잘못된 이름으로 인가 검사하던 버그 수정
  • 블록 볼륨 핫플러그 후 PCI hostdev VM 재시작 실패 수정 및 PCI 토폴로지 조건을 아키텍처가 아닌 머신 타입 기준으로 변경
원문

KubeVirt

Orchestration & Management2026년 6월 4일

KubeVirt v1.6.6은 CVE 패치, virt-api 인가 오류, IPv6 환경의 크로스 네임스페이스 라이브 마이그레이션 버그 등 9건의 주요 결함을 수정한 패치 릴리스입니다.

  • securityCVE-2026-33186 패치 적용을 위해 v1.6.6으로 즉시 업그레이드

    grpc 의존성 업데이트로 CVE-2026-33186이 수정됐습니다. 멀티테넌트 환경이거나 gRPC 엔드포인트가 외부에 노출된 클러스터라면 이번 업그레이드의 가장 중요한 이유입니다. 패치 릴리스이므로 업그레이드 경로는 단순하며, 현재 버전을 확인하고 빠르게 롤아웃 계획을 수립하세요.

  • securityvirt-api 인가 오류 수정 후 RBAC 정책 검토 필요

    vnc/screenshot, sev/*, evacuate/cancel 같은 딥 경로에서 SubjectAccessReview가 잘못된 서브리소스 이름으로 평가되고 있었습니다. 결과적으로 접근 허용 또는 거부가 의도와 다르게 동작했을 수 있습니다. 업그레이드 후 VNC, SEV, 이배큐에이션 서브리소스에 대한 RBAC 정책이 기대대로 작동하는지 반드시 검증하세요.

  • breakingIPv6 클러스터에서 크로스 네임스페이스 마이그레이션 동작 복구 — 업그레이드 후 검증 권장

    IPv6 클러스터에서 크로스 네임스페이스 라이브 마이그레이션이 조용히 실패하고 있었습니다. 이번 패치로 정상 동작이 복구됐는데, 프로덕션 워크플로에 반영하기 전에 업그레이드 후 테스트 마이그레이션을 직접 실행해 수정이 제대로 적용됐는지 확인하는 게 좋습니다.

  • enhancementPCI hostdev 사용 VM의 재시작 안정성 개선

    PCI 패스스루 hostdev를 사용하는 VM이 블록 볼륨 핫플러그 후 재시작에 실패하던 문제가 수정됐습니다. PCI 토폴로지 게이팅이 아키텍처만 보고 머신 타입을 무시하던 것이 원인이었습니다. 별도 설정 변경 없이 업그레이드만으로 해결되므로, 관련 증상을 겪었다면 이번 릴리스에서 해소될 겁니다.

주요 변경 (5)
  • CVE-2026-33186 대응을 위한 grpc 의존성 업그레이드
  • virt-api가 vnc/screenshot, sev/*, evacuate/cancel 등의 딥 서브리소스 경로를 잘라내어 SubjectAccessReview를 잘못된 이름으로 요청하던 인가 버그 수정
  • IPv6 클러스터에서 크로스 네임스페이스 라이브 마이그레이션 정상 동작 복구
  • PCI 토폴로지 게이팅 기준을 아키텍처에서 머신 타입으로 변경 — PCI hostdev VM의 hotplug 후 재시작 실패 해소
  • QEMU 게스트 에이전트 관련 AgentUpdated 이벤트를 실제 변경이 있을 때만 발생하도록 개선
원문

wasmCloud

Orchestration & Management2026년 6월 3일

v2.3.0에서 wash CLI에 워크로드 env/config/secrets 관리 기능이 추가되고, wasmtime 45로 업그레이드되며 보안 패치와 OTel 추적 개선이 함께 이뤄졌습니다.

  • securitywasmtime 45 업그레이드 및 의존성 보안 패치 즉시 적용

    이번 릴리스에는 wasmtime이 두 단계 올라갔습니다. 44.0.2는 보안 패치용이었고, 45는 그 직후 나왔습니다. 여기에 별도 의존성 보안 취약점 패치까지 포함되어 있어 누적된 보안 범위가 적지 않습니다. 프로덕션에서 wasmCloud를 운영 중이라면 다음 정기 업그레이드를 기다리지 말고 v2.3.0으로 바로 올리세요.

  • enhancementKubernetes RBAC을 클러스터 범위에서 네임스페이스 범위로 좁히기

    runtime.wasmcloud.dev apiGroup RBAC이 이제 클러스터 전체 범위 대신 네임스페이스 단위로 설정 가능합니다. 멀티테넌트 Kubernetes 클러스터에서 wasmCloud 오퍼레이터를 운영 중이라면 기존 RBAC 설정을 검토하고 가능한 네임스페이스 범위로 좁히세요. 공유 클러스터의 보안 태세를 실질적으로 강화할 수 있는 변경입니다.

  • enhancementwash workload env/config/secrets로 설정 관리 방식 전환 검토

    설정과 시크릿 관리가 wash CLI에 직접 통합됐습니다. wasmCloud가 지향해온 워크플로우의 핵심 변화로, 이제 환경변수·설정·시크릿을 워크로드의 일급 관심사로 다룰 수 있습니다. 프로덕션 도입 전에 저장소의 otel-config 예제를 먼저 살펴보고 의도된 패턴을 파악하는 걸 권장합니다.

주요 변경 (5)
  • wash CLI에서 워크로드 환경변수, 설정, 시크릿을 직접 관리하는 기능 추가
  • wasmtime 44.0.2 보안 패치에 이어 45로 업그레이드 — 한 릴리스 사이클에 wasmtime이 두 번 올라감
  • HTTP 응답 상태 코드가 요청 스팬에 기록되어 OTel 트레이스 활용도 향상
  • runtime.wasmcloud.dev apiGroup RBAC을 클러스터 전체가 아닌 네임스페이스 단위로 범위 지정 가능
  • WASI OTel RC2 통합 및 wasip3 카나리 이미지 CI 빌드/게시 시작
원문

Knative

Orchestration & Management2026년 6월 2일

Knative Serving v1.22.1은 네트워크 프로버의 유휴 연결 누수, 웹훅 만료 매처의 메모리 누수를 수정하고, 웹훅 요청 본문 크기를 3MiB로 제한하는 패치 릴리스입니다.

  • security웹훅 본문 3MiB 제한 — 즉시 업그레이드 권장

    웹훅 요청 본문에 상한이 생겼습니다. 과도하게 큰 페이로드로 메모리를 고갈시킬 수 있는 경로가 차단된 셈입니다. 멀티테넌트 환경이나 외부 트래픽이 들어오는 클러스터라면 다음 정기 점검을 기다리지 말고 지금 업그레이드하세요.

  • breaking3MiB 초과 웹훅 요청은 거부됨 — 업그레이드 전 객체 크기 확인 필수

    Knative 어드미션 웹훅에 큰 오브젝트(환경 변수가 많거나 어노테이션이 방대한 Service, Configuration 등)를 제출하는 워크로드가 있다면 업그레이드 후 요청이 실패할 수 있습니다. 배포 전에 오브젝트 크기를 점검하고, 불필요한 메타데이터나 spec 필드를 정리해두세요.

  • enhancement연결·메모리 누수 수정 — 장기 운영 클러스터일수록 효과 큼

    프로버 연결 누수와 만료 매처 메모리 누수는 즉각적인 장애보다 시간이 지날수록 파드 상태를 서서히 악화시키는 유형입니다. v1.22.0을 오래 운영 중인 클러스터라면 이미 영향을 받고 있을 가능성이 높습니다. 업그레이드 후 activator와 웹훅 파드의 메모리 사용량 추이를 모니터링해 안정화를 확인하세요.

주요 변경 (3)
  • 네트워킹 프로버의 유휴 연결 누수 수정
  • knative/pkg의 만료된 매처로 인한 메모리 누수 수정
  • 웹훅 요청 본문 크기를 3MiB로 상한 적용 — 무제한 메모리 소비 방지
원문

Knative

Orchestration & Management2026년 6월 2일

Knative Serving v1.21.3은 메모리 누수, 네트워크 프로버의 유휴 연결 누수를 수정하고, 웹훅 요청 바디 크기를 3MiB로 제한하는 패치 릴리스입니다.

  • security3MiB 웹훅 바디 제한 적용 — 업그레이드 전 사전 검증 필요

    웹훅 요청 바디가 3MiB로 제한됩니다. 대규모 어노테이션, 환경 변수, 임베디드 설정이 포함된 Knative Service 매니페스트를 배포하는 환경이라면, 업그레이드 후 어드미션 요청이 거부될 수 있습니다. 운영 환경 적용 전에 가장 큰 Knative Service 스펙을 확인해 단일 어드미션 요청이 3MiB를 초과하지 않는지 점검하세요.

  • enhancement메모리·연결 누수 수정 — 장기 운영 클러스터라면 빠르게 업그레이드

    만료된 매처의 메모리 누수와 네트워크 프로버의 유휴 연결 누수가 함께 수정되었습니다. 리컨실리에이션이 잦거나 헬스체크가 활발한 클러스터에서는 이 누수가 쌓여 컨트롤러나 네트워킹 컴포넌트의 메모리 사용량이 서서히 증가했을 수 있습니다. 별도 설정 변경 없이 버전 업그레이드만으로 해결됩니다.

주요 변경 (5)
  • 웹훅 요청 바디 크기를 3MiB로 제한 (과도한 페이로드 방지)
  • knative/pkg의 만료된 매처에서 발생하는 메모리 누수 수정
  • 네트워킹 프로버의 유휴 연결 누수 수정
  • Serving의 비상수 포맷 문자열 오류 수정
  • knative/pkg, knative/networking, knative/hack 의존성 업그레이드
원문

Dapr

Orchestration & Management2026년 6월 2일

v1.17.9는 Azure Cosmos DB를 워크플로 액터 상태 저장소로 사용할 때 customStatus 행이 없는 워크플로가 퍼지 루프에 영구적으로 갇히는 버그를 수정합니다.

  • breakingCosmos DB를 워크플로 상태 저장소로 쓴다면 즉시 업그레이드

    state.azure.cosmosdb를 워크플로 액터 상태 저장소로 사용하는 배포는 모두 영향권입니다. TTL이 지난 워크플로가 퍼지되지 않고, 스케줄러가 초당 한 번씩 퍼지를 계속 시도하면서 CPU를 낭비하고 로그를 오염시키며 dapr_runtime_workflow_operation_count{status=failed} 메트릭을 계속 올립니다. 1.17.9로 업그레이드 후 사이드카를 재시작하면, 멈춰 있던 워크플로는 다음 리텐션 리마인더 실행 시 자동으로 복구됩니다. 업그레이드 이후 별도 수동 조치는 불필요합니다.

  • enhancement업그레이드 전 메트릭으로 피해 규모 먼저 확인

    업그레이드 전에 dapr_runtime_workflow_operation_count를 operation=purge_workflow, status=failed 레이블로 조회해보세요. Cosmos DB 배포에서 이 값이 계속 증가하고 있다면 멈춰 있는 워크플로가 존재한다는 뜻입니다. 업그레이드 전후 수치를 비교하면 수정이 제대로 적용됐는지 명확히 검증할 수 있습니다.

주요 변경 (5)
  • Cosmos 트랜잭션 배치에 customStatus 삭제를 포함하기 전, 실제로 해당 행이 저장돼 있는지 여부를 추적하도록 수정
  • Cosmos DB에서 멈춰 있던 워크플로는 사이드카 업그레이드 후 자동 복구 — 수동으로 스케줄러 잡을 삭제할 필요 없음
  • 근본 원인: Cosmos DB의 원자적 배치 특성상 NotFound 삭제 하나가 실패하면 전체 트랜잭션이 롤백됨
  • 1초 간격의 무한 재시도 정책으로 인해 영향받은 워크플로당 메트릭과 로그가 초당 1회씩 계속 증가
  • customStatus 도입 이전 버전에서 업그레이드된 워크플로, 수동 정리된 워크플로, 초기 상태에서 진행되지 않은 워크플로 모두 해당
원문

KEDA

Orchestration & Management2026년 6월 1일

KEDA v2.20은 4개의 브레이킹 제거, Kubernetes 이벤트 RBAC 마이그레이션, 신규 스케일러 2개, 자격증명 누출 및 커넥션 누출을 포함한 다수의 버그 수정을 담고 있습니다.

  • securityPulsar, RabbitMQ, AWS 스케일러의 자격증명 누출 및 커넥션 누출 패치

    Pulsar 스케일러는 크로스호스트 리다이렉트나 HTTPS→HTTP 다운그레이드 시 bearer/basic 인증 헤더가 그대로 유출되는 문제가 있었습니다. RabbitMQ는 AMQP 커넥션 누출, AWS 스케일러(SQS, Kinesis, DynamoDB, CloudWatch)는 스케일러 종료 시 TCP 커넥션 누출이 있었습니다. 해당 스케일러를 운영 중이라면 v2.20 업그레이드만으로 문제가 해결됩니다. 별도 설정 변경은 없지만, Pulsar 스케일러에 사용된 자격증명은 사전 교체를 권장합니다.

  • breaking업그레이드 전 RBAC 반드시 수정 — events.k8s.io 마이그레이션은 선택이 아닙니다

    KEDA에 커스텀 또는 제한된 RBAC를 사용 중이라면, 업그레이드 전에 오퍼레이터 Role에 events.k8s.io/events에 대한 create/patch 권한을 추가해야 합니다. 공식 Helm 차트와 매니페스트는 이미 반영되어 있지만, 별도로 관리하는 RBAC는 이벤트 기록이 조용히 멈춥니다. 또한 삭제된 4개 설정(GCP PubSub subscriptionSize, Huawei minMetricValue, IBM MQ tls, InfluxDB triggerMetadata의 authToken)을 사용하는 ScaledObject가 있다면 업그레이드 후 검증 실패가 발생하므로 사전에 정리해야 합니다.

  • enhancementAWS 크로스 어카운트 스케일링, External ID 네이티브 지원으로 간소화

    TriggerAuthentication podIdentity에 External ID 필드가 추가되어 모든 AWS 스케일러에서 크로스 어카운트 IAM assume-role을 공식적으로 지원합니다. 기존에 우회책을 쓰고 있었다면, TriggerAuthentication 매니페스트에 externalId 필드를 설정하는 것으로 대체할 수 있습니다.

주요 변경 (5)
  • 업그레이드 전 RBAC 수정 필수: 이벤트 기록이 core API에서 events.k8s.io로 이동 — 커스텀 RBAC 환경에서는 이벤트 기록이 조용히 중단됨
  • 브레이킹 제거 4건: GCP PubSub subscriptionSize, Huawei minMetricValue, IBM MQ tls, InfluxDB triggerMetadata의 authToken 모두 삭제
  • OpenSearch 및 Elastic Forecast 스케일러 신규 추가; scalingModifiers에 폴백 동작 지원
  • Pulsar 스케일러, 크로스호스트 리다이렉트 및 HTTPS→HTTP 다운그레이드 시 인증 헤더 제거로 자격증명 누출 차단
  • 대규모 클러스터 웹훅 OOM 수정: admission 핫패스에서 json.MarshalIndent 제거 — 약 6만 개 ScaledObject 환경에서 확인된 문제
원문

Volcano

Orchestration & Management2026년 6월 1일

Volcano v1.15.0은 갱 인식 선점/회수, DRA 큐 쿼터, 오토스케일러 친화적 스케줄링 게이트를 도입하고, 이중 계산·경쟁 조건·롤백 오류 등 핵심 스케줄러 버그를 대거 수정했습니다.

  • securityCVE-2026-44247 웹훅 DoS 취약점 및 Prometheus XSS 패치 적용

    CVE-2026-44247은 과도하게 큰 웹훅 요청 본문으로 웹훅 서버 메모리를 고갈시킬 수 있는 DoS 취약점입니다. Prometheus 의존성도 저장형 XSS 어드바이저리(GHSA-vffh-x6r8-xx99)에 대응해 업데이트되었습니다. Volcano 어드미션 웹훅을 외부에 노출하는 환경이라면 v1.15.0으로 즉시 업그레이드하세요. 별도 우회 방법은 없습니다.

  • breakinggangPreempt/gangReclaim과 기존 preempt/reclaim 혼용 금지

    gangPreempt, gangReclaim은 기존 preempt, reclaim 액션과 스케줄러 액션 목록에 함께 사용할 수 없습니다. 업그레이드 전에 스케줄러 ConfigMap을 반드시 점검해 두 세트가 공존하지 않도록 하세요. 또한 DRA 스케줄링이 기본 활성화로 바뀌었으므로, DRA 드라이버가 없는 클러스터에서는 predicate.DynamicResourceAllocationEnable: false를 명시적으로 설정해야 합니다.

  • enhancement스케줄링 게이트로 큐 제한 시 오토스케일러 과잉 스케일업 방지

    Cluster Autoscaler나 Karpenter를 Volcano와 함께 운영 중이라면, 큐 용량 초과로 대기 중인 파드가 불필요한 노드 추가를 유발하는 문제가 있었습니다. 새 스케줄링 게이트 기능이 이를 깔끔하게 해결합니다. 파드 단위 opt-in 방식으로, scheduling.volcano.sh/queue-allocation-gate: 'true' 어노테이션을 설정하면 됩니다. 스케줄러와 webhook-manager 모두에서 기능 게이트를 활성화한 뒤, 큐 쿼터가 엄격하게 적용되는 배치 잡 워크로드부터 어노테이션을 적용해 낭비성 노드 프로비저닝을 줄이세요.

주요 변경 (5)
  • 갱 인식 선점/회수(Alpha): gangPreempt/gangReclaim 액션이 태스크 단위 축출을 잡(Job) 단위로 대체 — 기존 preempt/reclaim과 동일 액션 목록에 혼용 금지
  • DRA 큐 쿼터: ResourceClaim 사용량이 capability/deserved/guarantee에 반영됨, DRA 스케줄링은 기본 활성화(K8s 1.34+ 정렬)
  • 큐 입장용 스케줄링 게이트(Alpha): 큐 용량 초과로 대기 중인 파드가 오토스케일러 스케일업을 유발하지 않도록 차단, 스케줄러와 webhook-manager 양쪽 모두 활성화 필요
  • 플러그형 멀티샤딩 정책: ConfigMap 실시간 재로드 지원, 고정 샤드 파라미터 대신 filter/score/select 파이프라인 구성 가능
  • 주요 버그 수정: 동시 맵 쓰기 패닉, 스냅샷 공유 가변 객체, statement 이중 완료, inqueue 이중 계산, 선점 롤백, 이벤트 핸들러 캐시 경쟁 조건
원문

Karmada

Orchestration & Management2026년 5월 30일

v1.17.3은 차트 업그레이드 차단 문제를 고치고, 멀티 클러스터 검색 가시성을 바로잡으며, 과다 스케줄링을 방지하고, 자격증 로테이션 중 클러스터 준비 상태 감지를 안정화했습니다.

  • breaking차트 업그레이드 차단 해제: ConfigMap 크기 문제 해결됨

    karmada-operator-chart가 Karmada CRD를 ConfigMap에 포함시킬 때 크기 제한을 초과하여 차트 업그레이드를 막았습니다. 이것이 v1.17.3에서 고쳐졌습니다. 이 오류로 구 차트 버전에 갇혀 있었다면 지금 업그레이드하여 Karmada 배포 업데이트 능력을 회복하세요.

  • breaking스케줄러가 이제 클러스터 리소스 제한을 준수함

    스케줄러가 이전에는 클러스터에 리소스가 부족한데도 여러 워크로드 복제본을 배치했습니다. v1.17.3에서 과다 스케줄링을 고칩니다. 업그레이드 후 현재 배포를 감시하여 실제 배치가 기대와 맞는지 확인하고 필요시 복제본 수를 조정하세요.

  • enhancement검색이 이제 복구된 클러스터 리소스를 올바르게 반영함

    karmada-search가 이제 복구된 클러스터를 제대로 감시하고 지연 없이 리소스를 반영합니다. 클러스터 복구 시나리오(장애 조치 또는 복원)에서 검색 기능에 의존한다면 v1.17.3으로 업그레이드하여 새로 복구된 멤버 클러스터의 가시성을 확보하세요.

  • enhancement클러스터 준비 상태가 이제 실패 임계값을 대기함

    임시 자격증 로테이션 실패(SecretRef 누락)는 이제 즉시 실패하지 않고 ClusterFailureThreshold까지 대기한 후 클러스터를 NotReady로 표시합니다. 일상적인 로테이션 중 과민 장애 조치를 방지합니다. 안정적인 자격증 로테이션 프로세스가 이미 있다면 조치 불필요하며, 이것은 거짓 양성을 줄입니다.

주요 변경 (4)
  • operator-chart에 Karmada CRD를 포함할 때 ConfigMap 크기 제한 초과—차트 업그레이드 정상 작동
  • karmada-search watch 연결이 복구된 클러스터의 리소스를 즉시 반영함
  • karmada-scheduler가 더 이상 리소스 제약이 있는 클러스터에 워크로드를 과다 스케줄링하지 않음
  • ClusterClientSetFunc 일시적 실패가 더 이상 클러스터를 즉시 NotReady로 표시하지 않고 ClusterFailureThreshold를 준수함
원문

Karmada

Orchestration & Management2026년 5월 30일

Karmada v1.16.6은 세 가지 신뢰성 문제를 수정했습니다: 클러스터 재연결 시 watch 기반 리소스 발견, 동시 스케줄링 시 스케줄러의 리소스 과다 할당, 일시적 자격증명 오류 시 과민한 클러스터 failover.

  • breaking스케줄러 리소스 과다 할당 문제 수정

    기존에는 여러 template 리소스가 동시에 배치될 때 클러스터 리소스 부족 상태에서도 워크로드를 배치했습니다. v1.16.6으로 업그레이드하여 리소스 가용성 검증을 제대로 적용하세요. 업그레이드 후 클러스터 리소스 제한과 현재 배포가 의도한 용량 제약을 준수하는지 확인하세요.

  • breaking클러스터 준비 상태가 failure threshold를 존중합니다

    시크릿 로테이션 중 일시적 자격증명 오류가 더 이상 클러스터를 즉시 Ready=False로 표시하고 failover를 유발하지 않습니다. 이제 ClusterFailureThreshold를 존중한 후 클러스터 상태를 변경합니다. ClusterFailureThreshold를 조정하거나 빠른 failover 동작에 의존한다면, 스테이징 환경에서 클러스터 자격증명 로테이션을 테스트하여 failover 시점이 기대하는 동작과 일치하는지 확인하세요.

  • enhancementWatch 발견이 재연결 클러스터의 리소스를 반영합니다

    Karmada-search는 네트워크 단절이나 재시작 후 재연결된 클러스터의 리소스를 이제 제대로 반영합니다. 멀티 클러스터 배포에서 watch 기반 리소스 발견을 사용한다면, 업그레이드 후 재연결된 클러스터의 리소스가 수동 개입 없이 검색에 나타나는지 확인하세요. 재연결된 클러스터의 리소스 동기화 지연이 있는지 search 로그를 모니터링하세요.

주요 변경 (3)
  • karmada-search: 재연결된 클러스터의 리소스를 watch 연결에 반영
  • karmada-scheduler: 클러스터 용량 부족 시 동시 배치로 인한 과다 스케줄링 수정
  • karmada-controller-manager: 일시적 자격증명 오류 시 클러스터를 즉시 unready로 표시하지 않음; ClusterFailureThreshold 준수
원문

Karmada

Orchestration & Management2026년 5월 30일

Karmada v1.15.9이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Karmada

Orchestration & Management2026년 5월 30일

v1.18.0은 하이브리드 클라우드 버스트 스케줄링을 위한 overflow cluster affinities와 리소스 이중 할당 방지 메커니즘을 추가합니다. v1.18.x로 올리기 전에 반드시 v1.17.3+를 먼저 적용해야 합니다.

  • securityAlpine 베이스 이미지 3.23.4로 업데이트

    기본 Alpine 이미지가 3.23.3에서 3.23.4로 올라갔습니다. 일반 업그레이드 외에 별도 조치는 없지만, 이미지 digest를 고정해 쓰는 환경이라면 digest 값을 업데이트하세요.

  • breakingv1.18.x 업그레이드 전 v1.17.3+ 필수 적용

    v1.18.x로 올리기 전에 반드시 v1.17.3+ 상태여야 합니다. 이 순서를 건너뛰면 operator 업그레이드가 실패합니다. `karmadactl version`으로 현재 버전을 확인하고, v1.17.3+가 아니라면 먼저 해당 버전으로 올리세요.

  • breakingDeprecated gRPC 필드 교체 — 커스텀 플러그인 수정 필요

    karmada-scheduler-estimator의 gRPC 필드 여러 개가 deprecated 처리됐습니다. `resourceRequest` → `resourceRequestBytes`, `nodeAffinity` → `nodeAffinityBytes`, `tolerations` → `tolerationsBytes`로 교체됩니다. 커스텀 estimator 플러그인이나 이 필드를 직접 읽는 툴링이 있다면 업그레이드 전에 수정하세요. 기존 필드는 v1.18에서는 아직 남아 있지만 이후 릴리스에서 제거됩니다.

  • breaking삭제된 플래그 및 메트릭 레이블 — 기존 설정 충돌 주의

    karmada-controller-manager에서 `--cluster-lease-duration`, `--cluster-lease-renew-interval-fraction` 플래그가 삭제됐습니다. Karmada Init Configuration의 `Etcd.Local.InitImage`도 제거됐습니다. 배포 스크립트나 Helm values에 이 항목들이 있으면 업그레이드 전에 제거하세요. 그렇지 않으면 컴포넌트 기동에 실패합니다. Prometheus 대시보드도 확인하세요 — `cluster`, `cluster_name` 레이블이 사라지고 `member_cluster`로 바뀌었습니다.

  • enhancement스케줄러 오라우팅 및 eviction 누락 버그 수정

    스케줄러 버그 두 건이 이번 릴리스에서 수정됐습니다. 첫째, 클러스터 레플리카가 부족한 binding이 5분 타이머 큐 대신 exponential backoff(1~10초) 큐로 잘못 라우팅되어 워크로드가 멈춘 것처럼 보이는 문제입니다. 둘째, 여러 컨트롤러가 동일한 ResourceBinding을 동시에 수정할 때 graceful eviction 태스크가 조용히 누락되어 실패 클러스터에서 워크로드가 대피되지 않는 race condition입니다. 이런 증상을 겪었다면 v1.18.0으로 업그레이드 후 해당 워크로드 상태를 재확인하세요.

  • enhancement고부하 환경에서 SchedulingOvercommitProtection 활성화 검토

    SchedulingOvercommitProtection feature gate(기본값: 비활성)는 연속 스케줄링 요청 사이에 클러스터 리소스를 과잉 할당하는 문제를 방지합니다. Pod가 노드에 바인딩되기 전에 동일 클러스터에 중복 스케줄링이 발생하는 환경에서 효과적입니다. staging에서 검증 후 karmada-scheduler와 karmada-scheduler-estimator 양쪽에 `--feature-gates=SchedulingOvercommitProtection=true`를 설정하세요.

  • enhancement하이브리드 클라우드 버스트 스케줄링용 Overflow Cluster Affinities

    PropagationPolicy/ClusterPropagationPolicy에 `overflowAffinities` 필드가 추가됐습니다. 1순위 클러스터 그룹이 소진되면 선언 순서대로 보조 그룹으로 레플리카를 넘기고, 스케일다운 시에는 보조 그룹부터 먼저 회수합니다. IDC 우선 + 퍼블릭 클라우드 버스트 패턴에 적합합니다. 기존 정책에는 영향 없고, 이 필드를 추가한 경우에만 동작이 바뀝니다.

주요 변경 (6)
  • 필수 업그레이드 경로: v1.18.x 적용 전 v1.17.3+ 먼저 적용 (karmada-operator-chart 요건)
  • PropagationPolicy에 OverflowClusterAffinities API 추가 — 1순위 클러스터 그룹 소진 시 보조 그룹으로 자동 확장, 스케일다운 시 역순 회수
  • SchedulingOvercommitProtection feature gate (기본값: off) — 연속 스케줄링 시 assumed workload를 캐싱해 리소스 이중 할당 방지
  • karmada-scheduler-estimator gRPC 필드 deprecated: resourceRequest/nodeAffinity/tolerations → *Bytes 필드로 교체 (Kubernetes 1.35+ 대응)
  • 제거된 항목: --cluster-lease-duration/--cluster-lease-renew-interval-fraction 플래그, cluster/cluster_name Prometheus 레이블(→ member_cluster), Etcd.Local.InitImage 설정
  • 주요 버그 수정: binding backoffQ 오라우팅, 동시 컨트롤러 수정 시 eviction 태스크 누락, ClusterTaintPolicy 동시 health taint 누락
원문

Dapr

Orchestration & Management2026년 5월 29일

v1.17.8은 완료된 인스턴스 ID 재사용 시 워크플로우가 영구 stuck되는 버그와, Sentry OIDC discovery document가 X-Forwarded-Host로 오염될 수 있는 보안 취약점(CWE-346)을 수정합니다.

  • securityX-Forwarded-Host를 통한 OIDC discovery document 오염 취약점 조치

    Sentry OIDC 서버를 `--jwt-issuer`나 `--oidc-allowed-hosts` 없이 켜둔 배포는 CWE-346에 노출됩니다. 공격자가 `X-Forwarded-Host` 헤더를 조작한 요청 한 건만으로 discovery document를 오염시킬 수 있고, HTTP 캐시가 최대 1시간 동안 오염된 응답을 서빙할 수 있습니다. 즉시 업그레이드가 어렵다면 `--jwt-issuer`로 issuer를 고정하는 것이 가장 빠른 완화책입니다. 리버스 프록시의 공개 hostname을 `X-Forwarded-Host`로 전달하는 구성이라면 `--oidc-allowed-hosts`를 설정해야 해당 헤더가 계속 동작합니다.

  • breaking인스턴스 ID 재사용으로 stuck된 워크플로우 수정 — 업그레이드 필요

    결정적(deterministic) 인스턴스 ID를 재사용하는 워크플로우를 운영 중이라면 이 버그에 해당할 수 있습니다. 사이드카를 1.17.8로 올리면, 다음 retention reminder가 실행될 때 자동으로 복구되며 스케줄러에서 수동으로 job을 지울 필요가 없습니다. `dapr_runtime_workflow_operation_count{operation=purge_workflow,status=failed}` 메트릭이 워크플로우당 초당 1씩 올라가고 있다면 이 버그를 겪고 있는 겁니다.

주요 변경 (4)
  • 완료된 워크플로우의 retention reminder가 이제 무한 재시도 대신 조용히 드레인됨
  • 기존 1.17 배포에서 stuck된 워크플로우는 사이드카를 1.17.8로 올리면 자동 복구 — 수동 개입 불필요
  • `--oidc-allowed-hosts` 미설정 시 Sentry OIDC가 `X-Forwarded-Host` 헤더를 무시하도록 변경
  • allowlist 미설정 상태에서는 issuer와 jwks_uri를 `r.Host`에서만 도출
원문

Crossplane

Orchestration & Management2026년 5월 23일

Crossplane v2.3.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Crossplane

Orchestration & Management2026년 5월 23일

v1.20.8은 보안 전용 패치 릴리스로, Go 런타임을 1.25.10으로 올리고 go-git, golang.org/x/net, x/crypto, docker/cli 등 여러 의존성 CVE를 수정했습니다.

  • securityv1.20 운영 클러스터는 즉시 v1.20.8로 업그레이드 필요

    이번 패치는 go-git(두 건), golang.org/x/net, golang.org/x/crypto, docker/cli, in-toto-golang CVE와 Go 런타임 stdlib CVE까지 한꺼번에 잡았습니다. v1.20.8 미만 버전을 운영 중이라면 현재 취약한 상태입니다. 특히 Crossplane이 Git 저장소에서 패키지를 가져오는 환경이라면 go-git과 x/crypto 취약점이 직접 영향을 줄 수 있습니다. '다음 스프린트에 처리'할 수준이 아니니 빠르게 업그레이드 일정을 잡으세요.

  • enhancement아직 v1.20을 쓰고 있다면 v1.21+ 전환 검토 시점

    v1.20 라인은 보안 백포트만 받고 있어 기능 개선은 없습니다. 이번 패치를 계기로 업그레이드 블로커를 점검해 보세요. v1.21은 충분히 안정화되었고, 구버전 마이너에 머무르면 이런 보안 패치를 계속 쫓아다녀야 하는 상황이 반복됩니다.

주요 변경 (5)
  • Go 런타임을 1.25.10으로 업그레이드하여 stdlib CVE 수정
  • go-git/go-git v5.19.1로 업데이트 (이번 릴리스에서 두 차례 보안 수정)
  • golang.org/x/net v0.53.0 보안 패치 적용
  • golang.org/x/crypto v0.52.0 보안 패치 적용
  • docker/cli 및 in-toto-golang 보안 이슈 수정
원문

Crossplane

Orchestration & Management2026년 5월 23일

v2.1.6은 보안 패치 중심의 릴리스로, Go 런타임을 1.25.10으로 올리고 go-git, x/crypto, OpenTelemetry 등 여러 취약 의존성을 수정했습니다.

  • securityv2.1.x 사용 중이라면 즉시 v2.1.6으로 업그레이드

    Go stdlib, go-git, x/crypto, x/net에 걸친 복수의 CVE가 패치됐습니다. go-git 취약점은 패키지 페치 동작에 영향을 줄 수 있고, x/crypto·x/net 문제는 TLS 및 HTTP 처리에 노출될 수 있습니다. API나 동작 변경은 없어 업그레이드 위험이 낮으므로, 빠르게 적용하는 것이 좋습니다.

  • security설치된 프로바이더 이미지도 별도로 취약점 스캔 필요

    Crossplane 코어는 패치됐지만, AWS·GCP·Azure 등 프로바이더는 각자의 의존성 트리를 가진 별도 이미지입니다. Trivy나 Grype로 현재 실행 중인 프로바이더 파드를 스캔해 동일한 취약 버전이 포함돼 있는지 확인하세요. 각 프로바이더 유지관리팀의 별도 패치 릴리스를 기다려야 합니다.

주요 변경 (5)
  • Go 1.25.10으로 업그레이드하여 stdlib CVE 대응
  • go-git을 v5.19.0 → v5.19.1로 두 차례 보안 패치
  • golang.org/x/crypto 및 x/net 보안 업데이트
  • OpenTelemetry otel v1.41.0으로 업그레이드
  • in-toto-golang v0.11.0으로 공급망 보안 강화
원문

Crossplane

Orchestration & Management2026년 5월 23일

Go 런타임을 1.25.10으로 올리고 go-git, x/crypto 등 의존성 보안 패치를 적용한 순수 보안 패치 릴리스입니다.

  • securityv2.2.x 사용 중이라면 즉시 v2.2.2로 업그레이드하세요

    이번 릴리스는 기능 변경 없이 보안 패치만 포함합니다. Go 1.25.10의 stdlib CVE 수정, go-git v5.19.1의 git 취약점 패치, x/crypto의 암호화 취약점 수정이 모두 반영됐습니다. 동작 변경이 없어 업그레이드 위험은 최소화 수준입니다. 이미지 스캔이나 컴플라이언스 요건이 있는 팀은 v2.2.1 이하 버전을 유지할 경우 취약점 탐지 결과가 계속 뜰 겁니다.

  • security업그레이드 후 새 이미지 다이제스트로 스캐너 재실행 필요

    go-git가 이번 릴리스에서 두 번 연속 패치된 점은 해당 공격 표면에 대한 실질적인 익스플로잇 압박이 있었음을 시사합니다. 업그레이드 후 새 Crossplane 이미지 다이제스트로 취약점 스캐너를 다시 돌려 모든 탐지 결과가 해소됐는지 확인하세요. in-toto-golang도 함께 패치됐으므로 공급망 관련 CVE 항목도 함께 점검하길 권장합니다.

주요 변경 (5)
  • Go 런타임을 1.25.10으로 업그레이드하여 stdlib CVE 다수 수정
  • go-git/go-git를 v5.19.0 → v5.19.1로 두 차례 연속 보안 업데이트
  • golang.org/x/crypto v0.52.0으로 업데이트하여 암호화 관련 취약점 해소
  • in-toto-golang v0.11.0으로 업데이트하여 공급망 검증 도구 보안 패치
  • crossplane-runtime도 v2.2.2로 동반 업데이트
원문

wasmCloud

Orchestration & Management2026년 5월 22일

wasmCloud v2.2.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문
이전 →