RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 2월해제 ×

Open Policy Agent (OPA)

Security2026년 2월 26일

OPA v1.14.0은 변수 할당과 'x in {...}' 표현식에 대한 규칙 인덱싱 개선과 H2C Unix 도메인 소켓 지원, 향상된 테스트 출력, 다양한 성능 최적화를 제공합니다.

  • enhancement향상된 규칙 인덱싱으로 정책 성능 최적화

    변수 할당과 멤버십 표현식에 대한 향상된 규칙 인덱싱은 'x := input.role; x in {"admin", "user"}' 같은 패턴을 사용하는 정책의 성능을 자동으로 개선합니다. 기존 정책을 검토하여 코드 변경 없이도 이 최적화의 혜택을 받을 수 있는 유사한 패턴을 식별하세요.

  • enhancement안전한 로컬 통신을 위해 Unix 도메인 소켓과 H2C 활성화

    컨테이너화된 환경에서 OPA를 실행하거나 안전한 로컬 IPC가 필요한 경우, Unix 도메인 소켓과 함께 새로운 '--h2c' 플래그를 사용하세요. 이는 네트워크 오버헤드를 줄이고 로컬 서비스 간 통신 패턴의 보안을 향상시킵니다.

  • enhancement특수 용도를 위한 커스텀 스토리지 백엔드 API 활용

    새로운 커스텀 스토리지 백엔드 등록 API는 특수 스토리지 시스템과의 통합을 가능하게 합니다. 특히 고성능이나 컴플라이언스 특화 스토리지 요구사항에 대해 현재 스토리지 요구사항이 커스텀 백엔드의 혜택을 받을 수 있는지 평가하세요.

주요 변경 (6)
  • 변수 할당 및 'x in {...}' 표현식에 대한 규칙 인덱싱 강화로 쿼리 성능 향상
  • 'opa run' 명령어에서 Unix 도메인 소켓과 함께 H2C 프로토콜 지원 추가
  • 더 나은 디버깅 경험을 위한 테스트 출력에 줄 번호 표시 기능
  • 확장성을 위한 커스텀 스토리지 백엔드 등록 API
  • 플러그인 트리거 관리에서 경쟁 상태 수정
  • 배열 통합 및 JSON 패치 작업의 성능 개선
원문

cert-manager

Security2026년 2월 24일

cert-manager v1.18.6은 CVE-2025-68121을 해결하기 위한 Go 런타임 업데이트를 포함한 보안 중심 패치 릴리스로, 인증서 관리 운영에는 기능적 변경사항이 없습니다.

  • securityCVE-2025-68121 완화를 위한 v1.18.6 업데이트

    이번 릴리스는 cert-manager 보안에 영향을 줄 수 있는 Go 런타임 취약점(CVE-2025-68121)을 패치합니다. 설정 변경 없이 바로 교체 가능하므로 표준 유지보수 기간 내에 업그레이드를 계획하세요. 비프로덕션 환경에서 먼저 테스트한 후 프로덕션 클러스터에 배포하세요.

  • enhancement프로덕션 워크로드를 위한 안전한 업그레이드 경로

    기능적 변경사항 없이 순수 보안 패치이므로 기존 배포 프로세스를 사용하여 안심하고 업그레이드할 수 있습니다. 완전한 하위 호환성을 유지하므로 추가 테스트 오버헤드 없이 자동화된 배포 파이프라인에 적합합니다.

주요 변경 (4)
  • CVE-2025-68121 보안 취약점 해결을 위한 Go 런타임 업데이트
  • macOS 환경에만 영향을 미치는 CVE-2026-24051은 패치하지 않음
  • 호환성 문제나 새로운 기능 없이 순수 보안 패치
  • 기존 cert-manager 배포와 완전 호환성 유지
원문

OpenFGA

Security2026년 2월 23일

OpenFGA v1.11.6는 성능 향상을 위해 ListObjects 파이프라인을 기본 활성화하고, gRPC 클라이언트 구현을 업그레이드하며, grpc-health-probe의 보안 취약점을 해결합니다.

  • securitygrpc-health-probe 사용 배포 환경 업데이트

    OpenFGA 배포에서 헬스 체크를 위해 grpc-health-probe를 사용하고 있다면, 이 업데이트가 CVE-2025-68121을 해결합니다. 컨테이너 이미지가 최신 버전을 가져오는지 확인하고 독립형 grpc-health-probe 바이너리를 업데이트하세요.

  • enhancementListObjects 파이프라인 성능 영향 테스트

    새로운 기본 ListObjects 파이프라인 알고리즘이 쿼리 성능을 향상시킬 수 있지만 동작이 변경될 수 있습니다. 업그레이드 후 ListObjects API 호출을 모니터링하고, 문제 발생 시 listObjects-pipeline-enabled=false로 비활성화할 준비를 하세요.

주요 변경 (3)
  • ListObjects 파이프라인 알고리즘이 기본으로 활성화됨 (listObjects-pipeline-enabled=false로 비활성화 가능)
  • grpc-gateway 클라이언트에서 deprecated된 grpc.DialContext에서 grpc.NewClient로 마이그레이션
  • 보안 업데이트: CVE-2025-68121 해결을 위해 grpc-health-probe를 v0.4.45로 업데이트
원문

Keycloak

Security2026년 2월 20일

Keycloak 26.5.4는 SAML 취약점과 권한 부여 우회 문제를 포함한 5개의 CVE를 해결하는 중요한 보안 패치 릴리스입니다. 성능 개선과 클러스터 안정성 수정 사항을 포함합니다.

  • security다중 CVE로 인한 즉시 업그레이드 필요

    이 릴리스는 권한 부여 우회와 DoS 취약점을 포함한 5개의 CVE를 수정합니다. SAML 구성과 Docker 레지스트리 프로토콜 사용을 검토하세요. 특히 SAML 브로커링이나 Docker 레지스트리 통합을 사용하는 경우 다음 유지보수 기간에 즉시 업그레이드를 예약하세요.

  • security구성에서 클라이언트 시크릿 노출 확인

    CVE 수정으로 인증되지 않은 엔드포인트에서의 클라이언트 시크릿 공개 문제가 해결되었습니다. 업그레이드 후 클라이언트 구성을 감사하고 잠재적으로 노출된 시크릿을 교체하세요. 무단 구성 엔드포인트 접근에 대한 액세스 로그를 검토하세요.

  • enhancement업그레이드 후 클러스터 성능 최적화

    새로운 세션 ID 키 선호도와 개선된 캐싱으로 클러스터 배포에서 성능이 향상됩니다. 업그레이드 후 로그인 페이지 응답 시간과 클러스터 안정성을 모니터링하세요. 데이터베이스 쿼리 감소와 더 나은 로드 분산을 확인할 수 있습니다.

주요 변경 (5)
  • SAML 응답 지연, 권한 부여 헤더 파싱 우회, DoS 취약점을 포함한 5개의 중요한 CVE 수정
  • 인증되지 않은 구성 엔드포인트에서의 클라이언트 시크릿 정보 공개 해결
  • 향상된 로드 밸런싱을 위한 세션 ID 키 선호도 메커니즘 개선
  • jdbc-ping을 사용하는 3개 이상 노드 구성에서 클러스터 재결합 문제 해결
  • 로그인 페이지 로드 시 데이터베이스 쿼리 캐싱 성능 개선
원문

Kyverno

Security2026년 2월 19일

v1.17.1은 CVE 패치, 컨트롤러 패닉/크래시, 레이스 컨디션, 이미지 검증 오류 등 운영 환경에서 조용히 문제를 일으킬 수 있는 버그들을 집중적으로 수정한 패치 릴리스입니다.

  • securityCVE-2025-68121 즉시 패치

    이번 릴리스에서 CVE-2025-68121이 수정됩니다. 릴리스 노트에 상세 내용이 공개되지 않았지만, 어드미션 컨트롤러에서 발생한 CVE는 그 범위와 무관하게 즉각 대응이 필요합니다. v1.17.0을 사용 중이라면 다음 유지보수 창을 기다리지 말고 지금 바로 업그레이드하세요.

  • breaking정책 exclusion에 빈 목록을 사용 중이라면 반드시 점검

    정책 exclusion 블록에 빈 목록을 넣으면 아무것도 제외하지 않는 대신 모든 리소스를 제외하던 버그가 수정됩니다. ClusterPolicy나 Policy에 exclusion 블록이 있다면 지금 바로 검토하세요. 만약 이 잘못된 동작에 의존하고 있었다면, 업그레이드 후 기존에 스킵되던 리소스들이 갑자기 평가 대상이 될 수 있습니다.

  • enhancementTSA 및 프라이빗 레지스트리 기반 이미지 검증 신뢰성 개선

    두 가지 ivpol 수정이 함께 적용됩니다. TSACertChain을 제공할 때 서명 타임스탬프 검증이 정상적으로 활성화되고, 백그라운드 리포트 스캔 시 Kyverno 네임스페이스의 프라이빗 레지스트리 시크릿이 올바르게 사용됩니다. 백그라운드 스캔에서 검증 실패가 반복되거나 TSA 기반 서명 정책이 제대로 동작하지 않았다면, 업그레이드 후 리포트 스캔을 다시 실행해 결과를 확인하세요.

주요 변경 (5)
  • CVE-2025-68121 패치 — v1.17.0 사용 중이라면 즉시 업그레이드 필요
  • generate 응답에 result가 없을 때 메트릭 래퍼에서 발생하던 패닉 수정 — 컨트롤러 크래시로 이어질 수 있었던 문제
  • configuration.IsExcluded()와 ReportsBreaker의 레이스 컨디션 제거 — 동시 요청 처리 시 정확성에 영향을 줬던 버그
  • 이미지 검증(ivpol) 수정: 리포트 스캐너에서 프라이빗 레지스트리 인증 정상화, 다중 서명 어노테이션 검증 버그 해결, TSA 인증서 체인 제공 시 서명 타임스탬프 검증 활성화
  • 정책 exclusion에서 빈 목록이 모든 리소스를 제외하던 잠재적으로 위험한 동작 수정
원문
월별 보기