RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 5월해제 ×

Confidential Containers

Security2026년 5월 29일

Confidential Containers v0.21.0은 guest-components 보안 권고 GHSA-84rc-2q4r-45pc를 패치하고, 0.20부터 예고된 네 가지 기능을 0.22에서 제거하기 위해 공식화합니다. Kata 3.31.0과 Trustee 0.20.0을 포함하며, Trustee의 KBS 리소스 관리와 증명 기능을 여러 기능으로 강화했습니다.

  • securityguest-components 보안 패치(GHSA-84rc-2q4r-45pc)

    guest-components 0.20.0은 GHSA-84rc-2q4r-45pc를 패치합니다. 영향받는 배포판이 있으면 업그레이드하세요.

  • breakingCAA docker provider 제거 예정(0.22)

    CAA docker provider는 0.20부터 지원 중단 예정이었으며, 0.22에서 제거됩니다. 0.22 업그레이드 전에 다른 CAA 설정으로 마이그레이션하세요.

  • breakingFedora 기반 mkosi CAA podvm 이미지 제거 예정(0.22)

    Fedora 기반 mkosi 빌드 CAA podvm 이미지는 0.20부터 지원 중단 예정이었으며, 0.22에서 제거됩니다. 다른 podvm 이미지로 전환하세요.

  • breakingpacker CAA podvm 이미지 제거 예정(0.22)

    packer 빌드 CAA podvm 이미지는 0.17부터 지원 중단 예정이었으며, 0.22에서 제거됩니다. 다른 podvm 이미지로 전환하세요.

  • breakingCAA csi-wrapper 제거 예정(0.22)

    CAA csi-wrapper 컴포넌트는 지원 중단되었으며, 0.22에서 제거될 예정입니다. 대체 솔루션으로 마이그레이션하세요.

주요 변경 (5)
  • 보안: GHSA-84rc-2q4r-45pc 패치(guest-components 0.20.0)
  • 네 가지 지원 중단 기능 0.22 제거 예정: CAA docker provider, Fedora mkosi CAA podvm, packer CAA podvm, CAA csi-wrapper
  • Kata Containers 3.31.0, Trustee 0.20.0(KBS v0.4.0), Rust 1.90.0으로 업데이트
  • Trustee 기능 강화: KBS 리소스 삭제 지원, TLS/TDX/SE 개선, 외부 gRPC 플러그인, 중앙화 스토리지, 다중 디바이스 증명 지원
  • RVPS CoRIM 기초 지원 추가, Attestation Agent TEE 감지 정확성 개선, Azure 정책 수정, TPM 검증자 AK TCB 클레임 보고
원문

Kubescape

Security2026년 5월 29일

Kubescape v4.0.9는 스캔 정확도 버그(부분 리소스 수집, 커버리지 리포팅, Prometheus 출력)를 고치고 스캔 리포트의 정보 노출을 보강하며, patch 명령의 기본 푸시 동작을 변경한 대규모 유지보수 릴리스입니다.

  • security시크릿 노출 관련 수정과 신규 익명화 플래그 점검

    스캔 결과의 정보 노출을 막는 수정이 여러 건 포함됐습니다. removeContainersData에서 EnvFrom과 Env[].ValueFrom을 제거하고(커밋 acc3280, 0c68cca), /v1/results의 IDOR 취약점을 보강했으며(커밋 0fe6a0f), 리소스 이름·네임스페이스·라벨·어노테이션·컨테이너 메타데이터를 가리는 --hide 익명화 파이프라인이 새로 추가됐습니다. 스캔 리포트를 팀 밖으로 공유하거나 CI 아티팩트로 내보낸다면 --hide 플래그를 검토하고 컨테이너 환경변수 참조가 노출되지 않는지 확인하세요.

  • breakingpatch 명령의 기본 푸시 동작 제거

    Kubescape의 fix 명령이 이제 기본적으로 패치된 이미지를 푸시하지 않습니다(커밋 b10cbb1). CI 파이프라인이 기존의 기본 푸시 동작에 의존하고 있었다면 --push 플래그를 명시적으로 추가해야 합니다. 그렇지 않으면 업그레이드 후 패치 파이프라인이 아무 경고 없이 이미지 푸시를 멈춥니다.

  • enhancement신규 커버리지 게이트와 diff 명령을 CI에 도입

    CI 파이프라인에서 스캔 커버리지와 컨트롤 결과를 게이트할 수 있는 플래그가 추가됐습니다. --fail-coverage-below로 최소 커버리지 임계값을 지정할 수 있고(커밋 4ae7b87), 커버리지 누락 및 미평가 컨트롤도 명시적으로 리포트됩니다(커밋 5876d2b). 두 스캔 리포트를 비교하는 kubescape diff 명령도 새로 생겼습니다(커밋 00682ee). 이전에는 리소스 수집이 일부 실패해도 조용히 통과했던 CI 게이트에 --fail-coverage-below를 추가하고, kubescape diff로 스캔 간 보안 상태 변화를 추적하세요.

주요 변경 (6)
  • GVR(리소스 타입) 일부 수집 실패를 조용히 무시하지 않고 표면화하며, ScanCoverage가 실패·미평가 컨트롤을 반영합니다
  • CI 커버리지 게이트용 --fail-coverage-below 플래그와 리포트 비교용 kubescape diff 명령이 새로 추가됐습니다
  • 리소스 이름, 네임스페이스, 라벨, 어노테이션, 컨테이너 메타데이터를 가리는 --hide 플래그와 익명화 파이프라인이 새로 생겼습니다
  • fix 명령이 이제 이미지 푸시에 명시적 opt-in을 요구합니다 (이전에는 기본으로 푸시했습니다)
  • Prometheus 출력 관련 수정 다수: 누락된 HELP/TYPE 헤더 추가, score/metrics 출력 writer 경로 수정, 중복 헤더 제거
  • K8s 리소스 수집을 병렬화해 성능을 개선했고 TimedCache의 TOCTOU 레이스 컨디션을 고쳤습니다
원문

Cloud Custodian

Security2026년 5월 28일

0.9.51.0은 AWS AI/ML 관련 신규 리소스 추가, iam-access-key 스키마 breaking change, GCP 레이블 관리 대상 리소스 대폭 확대를 담은 기능 위주 릴리스입니다.

  • breaking업그레이드 전 iam-access-key 정책에서 json-diff 필터 제거 필수

    `aws.iam-access-key` 리소스에서 `json-diff` 필터가 완전히 제거됐습니다. 이 필터를 쓰는 정책은 업그레이드 후 런타임 오류가 납니다. 업그레이드 전에 `iam-access-key` 관련 정책 파일을 검색해 `json-diff` 필터 사용 여부를 확인하고 제거하거나 대체 필터로 바꾸세요.

  • enhancementCross-account IAM 정책 검사에 org path 지원 활용

    AWS cross-account 정책 평가에서 `aws:PrincipalOrgPaths`와 화이트리스트 계정을 지원하기 시작했습니다. 조직 경로 기반 principal 체크를 위해 별도 우회 방법을 쓰고 있었다면, 이 기능으로 정책을 단순화할 수 있습니다. cross-account 거버넌스 정책을 운영 중이라면 검토해 보세요.

  • enhancementGCP 레이블 컴플라이언스 정책을 새로 지원하는 리소스 타입으로 확장

    이번 릴리스에서 GCP 레이블 관리 대상 리소스가 대폭 늘었습니다. Cloud Run 서비스/잡, Pub/Sub 토픽/구독, Redis, Secrets Manager 시크릿, 스냅샷, DNS 관리 영역, 인터커넥트, 로드밸런서 주소 및 포워딩 룰, Cloud Functions 등 약 15개 리소스 타입에 `set-labels`와 `mark-for-op` 액션이 추가됐습니다. GCP 레이블 컴플라이언스 정책을 운영 중이라면 지금까지 커버하지 못했던 리소스를 정책에 추가하세요.

주요 변경 (5)
  • Breaking change: `aws.iam-access-key`에서 `json-diff` 필터 제거 — 사용 중인 정책은 업그레이드 시 오류 발생
  • 신규 AWS 리소스: `bedrock-foundation-model`, `bedrock-guardrail`, `devops-agent-space` 추가; Bedrock 추론 프로파일에 `metrics` 필터 추가
  • AWS EKS에 `addon` 및 `metrics`(컨테이너 인사이트) 필터 추가; RDS에 `recommendations` 필터 추가; `rds-param-group`, `rds-cluster-param-group` 모두 `unused` 필터 추가
  • EC2와 Lambda에 `iam-role`, `iam-role-tag-mirror` 필터 추가 — 기존 리소스/역할 속성 불일치 버그 수정
  • GCP에서 Firestore, NCC spoke, Redis 클러스터, Vertex AI Model Garden 등 신규 리소스 추가; ~15개 리소스 타입에 레이블 액션 일괄 추가
원문

SPIRE

Security2026년 5월 28일

한국어 준비 중SPIRE v1.15.1 fixes a node attestation forgery vulnerability in the azure_imds plugin; anyone using Azure IMDS attestation should patch now.

원문

SPIRE

Security2026년 5월 28일

v1.14.7은 azure_imds 노드 어테스터의 인증서 검증 결함을 수정합니다. 공격자가 임의 Azure VM으로 위장해 노드 어테스테이션을 통과할 수 있었던 취약점으로, Azure IMDS를 사용 중이면 즉시 업그레이드해야 합니다.

  • securityazure_imds 노드 어테스터 사용 중이면 즉시 업그레이드

    azure_imds 노드 어테스터에서 PKCS7 인증서 검증 로직에 결함이 있었습니다. 인증서 백의 첫 번째 인증서를 Azure 루트에 anchoring하면서도, 실제 서명 검증은 SignerInfo에서 별도로 가져온 서명자 인증서로 수행했습니다. 공격자가 정상적인 Azure 인증서를 인증서 백에 넣고 별개의 인증서로 서명된 문서를 함께 제출하면, 임의 VM으로 위장한 노드 어테스테이션이 통과될 수 있었습니다. Azure IMDS 노드 어테스터를 쓰고 있다면 즉시 업그레이드해야 합니다.

  • enhancement의존성 패키지 일괄 업데이트 포함

    golang.org/x/net, golang.org/x/crypto, go-jose/v4, Go 툴체인(1.26.3)이 모두 업데이트됩니다. SPIRE 자체를 업그레이드하면 함께 적용되므로 별도 조치는 필요 없습니다.

주요 변경 (4)
  • azure_imds 서버 노드 어테스터의 PKCS7 인증서 검증 결함 수정 — 서명 검증과 체인 검증이 분리되어 노드 위장 가능했던 문제
  • Go 툴체인 1.26.3으로 업데이트
  • golang.org/x/net v0.55.0, golang.org/x/crypto v0.52.0으로 업그레이드
  • go-jose/v4 v4.1.4로 업데이트
원문

OpenFGA

Security2026년 5월 28일

한국어 준비 중OpenFGA v1.16.1 is a bug-fix and security patch release, mainly hardening the experimental weighted_graph_check algorithm and updating grpc-health-probe for Go std lib CVEs.{}}}}} ,

원문

Open Policy Agent (OPA)

Security2026년 5월 28일

OPA v1.17.0은 부정 처리의 의미론적 버그를 수정하고 결정 로그 레이블 보고를 개선합니다. 대부분 향상 사항이지만 하나의 의존성 제거는 특정 환경에서 수동 GOMAXPROCS 구성이 필요할 수 있습니다.

  • breakingautomaxprocs 및 x/net 의존성 제거됨; 필요시 GOMAXPROCS 수동 구성

    OPA v1.17.0은 automaxprocs와 x/net 의존성을 제거하여 런타임 크기를 줄이고 이 라이브러리를 관리하는 애플리케이션과의 충돌을 제거합니다. automaxprocs 동작(CPU 자동 감지 및 GOMAXPROCS 튜닝)을 명시적으로 의존하지 않으면 조치가 필요 없습니다. 그 동작에 의존한다면 환경이나 배포에서 GOMAXPROCS를 수동으로 구성해야 할 수 있습니다. 대부분의 사용자는 영향을 받지 않습니다.

  • enhancement복합식 부정 의미론 수정을 위해 future.keywords.not 임포트하기

    OPA v1.17.0은 복합식 부정(`not f(g(input.x))`)에서 중간값이 정의되지 않으면 규칙이 조용히 실패하던 오래된 버그를 고칩니다. `future.keywords.not` 임포트를 추가하면 정의되지 않은 중간값이 더 이상 규칙 실패를 일으키지 않고 부정이 올바르게 성공합니다. 입력이나 함수 결과가 정의되지 않을 수 있는 복잡한 식의 부정에 의존하는 정책이 있다면 `future.keywords.not`을 임포트하세요. 정책 평가 동작이 바뀌지만 올바른 방향입니다.

  • enhancement결정 로그 파싱을 새로운 rule_labels 배열 형식에 맞게 업데이트하기

    결정 로그에 새로운 최상위 `rule_labels` 배열이 추가되어 성공적으로 평가된 모든 규칙의 레이블을 하나의 항목에 모읍니다(규칙 > 문서 > 패키지 > 서브패키지 순서로 우선순위 결정). 이전에는 레이블을 기여한 각 범위마다 로그 항목이 하나씩 있었습니다. 결정 로그를 규칙 레이블로 파싱하거나 쿼리한다면 개별 범위 레벨 항목 대신 `rule_labels`를 통합된 레이블 맵의 배열로 읽도록 로그 파싱 로직을 업데이트하세요. 이 변경으로 레이블 집계가 단순해지며 런타임과 Go SDK에서 기본으로 처리됩니다.

주요 변경 (5)
  • 정의되지 않은 중간값을 포함한 복합식 부정 시 직관적이지 않은 실패를 수정하는 `future.keywords.not` 임포트 추가.
  • 결정 로그에 성공적으로 평가된 모든 규칙의 통합된 레이블을 담은 `rule_labels` 배열 추가.
  • 번들 매니페스트 및 IR 계획 JSON 스키마가 검증과 도구 통합을 위해 공개됨.
  • 런타임 크기 감소를 위해 automaxprocs와 x/net 의존성 제거.
  • `json.verify_schema` 및 `json.match_schema` 내장 함수에서 패턴 검증 활성화.
원문

Falco

Security2026년 5월 26일

Falco 0.44.0은 오래 전부터 deprecated된 gRPC 출력, gVisor 엔진, 레거시 BPF 프로브를 최종 제거합니다. 이 중 하나라도 사용 중인 배포 환경은 업그레이드 전 마이그레이션이 필수입니다.

  • securityfalco-webui 로컬 전용으로 제한 — 외부 접근 도구 확인 필요

    falco-webui Docker 서비스가 이제 로컬호스트 접근만 허용하도록 변경됩니다. 네트워크를 통해 webui에 접근하는 대시보드나 도구가 있다면 업그레이드 후 동작이 달라집니다. 보안 측면에서는 바람직한 변경이지만, 외부에서 webui를 호출하는 자동화 스크립트나 모니터링 도구가 있는지 미리 확인하세요.

  • breaking세 가지 기능 제거 — 업그레이드 전 설정 점검 필수

    이번 릴리스에서 gRPC 출력/서버, gVisor 엔진, 레거시 BPF 프로브가 한꺼번에 제거됩니다. gRPC 기반 출력을 쓰고 있다면 HTTP JSON 출력이나 사이드카 방식으로 전환한 뒤 업그레이드해야 합니다. gVisor를 쓰는 팀은 지원되는 엔진으로 바꿔야 하고, 레거시 BPF를 쓰는 팀은 modern eBPF 프로브로 이동해야 합니다. 0.44.0을 프로덕션에 적용하기 전에 현재 falco.yaml과 배포 구성을 반드시 점검하세요.

  • enhancement룰 문법 확장 — 커스텀 룰 파일 유효성 사전 확인 권장

    룰 엔진에 oneof/allof/anyof 문자열 비교 수식자가 추가됐고, 리스트 트랜스포머 예외도 지원됩니다. 커스텀 룰을 관리하는 팀이라면 기존에 중복 조건으로 우회했던 부분을 이 기능으로 간소화할 수 있습니다. 또한 이번 버전부터 룰 파일에 알 수 없는 키가 있으면 오류가 발생합니다. 기존 룰 파일에 오타나 비표준 필드가 있다면 업그레이드 전에 미리 검증해두세요.

주요 변경 (7)
  • gRPC 출력/서버 제거 — 업그레이드 전 출력 방식 마이그레이션 필요
  • gVisor 엔진 제거 — 해당 엔진 사용 중이면 지원 엔진으로 전환 필요
  • 레거시 BPF 프로브 제거 — modern eBPF 프로브로 전환 필요
  • 룰 엔진에 oneof/allof/anyof 문자열 비교 수식자 추가
  • 룰 파일 내 unknown key 검증 — 비표준 필드가 있으면 오류 발생
  • falco-webui Docker 서비스가 로컬호스트 전용으로 제한
  • 캡처 파일에 capture_events, capture_filesize 종료 조건 추가
원문

OpenFGA

Security2026년 5월 20일

v1.16.0은 키 로테이션 후 OIDC 토큰 거부 버그를 수정하고, 실험적 weighted_graph_check의 두 가지 정합성 버그를 패치하며, Go 표준 라이브러리 취약점 대응을 위해 툴체인을 업데이트했습니다.

  • securityOIDC 인증 사용 중이거나 Go stdlib CVE 영향권이라면 즉시 업그레이드

    두 가지 보안 사항이 있습니다. 첫째, 발급자 키를 로테이션한 후 유효한 토큰이 401로 거부되는 현상이 있었다면 JWKS 갱신 버그가 원인입니다. 이번 패치로 미등록 kid 수신 시 JWKS를 즉시 갱신합니다. 둘째, Go 1.24.3이 패치하는 표준 라이브러리 취약점의 영향을 Go 릴리스 노트에서 직접 확인하고, v1.16.0으로 빠르게 업그레이드하세요.

  • breakingweighted_graph_check 사용 중이라면 업그레이드 후 결과 검증 필수

    이전 버전의 weighted_graph_check는 캐시 키 충돌과 고루틴 취소 시 false 결과 캐싱으로 인해 실제로는 허용되어야 할 요청을 거부할 수 있었습니다. 실험적 기능이지만 실제 트래픽에 적용 중이라면, 업그레이드 후 알려진 권한 시나리오로 결과를 검증해 이전 오동작의 영향을 확인하세요.

  • enhancementPingTimeout 설정으로 데이터스토어 연결 문제를 빠르게 감지

    새로 추가된 PingTimeout과 PingRetryMaxElapsedTime으로 시작 시 및 헬스체크 중 데이터스토어 연결 대기 시간을 명시적으로 제어할 수 있습니다. SLO에 맞게 타이트하게 설정해두면, 데이터스토어가 저하된 상태에서 서버가 그냥 올라오는 상황을 예방할 수 있습니다.

주요 변경 (5)
  • OIDC 인증: 미등록 kid 감지 시 JWKS 자동 갱신(분당 1회 제한)으로 키 로테이션 후 토큰 거부 문제 해결
  • Go 툴체인을 1.24.3으로 업데이트하여 표준 라이브러리 보안 취약점 대응
  • 실험적 weighted_graph_check의 union 해석 시 캐시 키 충돌 버그 수정
  • union 단락(short-circuit) 또는 재귀 해석으로 취소된 고루틴이 false 결과를 캐싱하던 버그 수정
  • 데이터스토어 ping 타임아웃 설정 추가: PingTimeout, PingRetryMaxElapsedTime
원문

SPIRE

Security2026년 5월 19일

SPIRE v1.15.0은 HashiCorp Vault 키 관리자 플러그인, rootless Podman 지원, PROXY 프로토콜 속도 제한을 추가하고 sigstore 증명을 정식 기능으로 승격했습니다. CLI JSON 출력 변경 사항은 업그레이드 전 반드시 확인해야 합니다.

  • breaking업그레이드 전 CLI JSON 파싱 코드 전수 점검

    CLI가 JSON 출력 시 객체를 슬라이스로 감싸던 방식이 제거됐습니다. spire-server 또는 spire-agent CLI의 JSON 출력을 파싱하는 스크립트, 파이프라인, 자동화 도구는 배열 대신 단일 객체를 받게 되어 동작이 깨질 겁니다. 프로덕션 배포 전에 비운영 환경에서 반드시 검증하세요.

  • breaking'bootstrapped' 레이블 변경으로 메트릭 쿼리 점검 필요

    메트릭 레이블 오타('bootstraped' → 'bootstrapped')가 수정됐습니다. 기존 레이블명을 참조하는 Prometheus 쿼리, Grafana 대시보드, 알림 규칙이 있다면 업그레이드 후 조용히 매칭이 끊깁니다. v1.15.0 배포 전에 관련 항목을 모두 찾아 수정하세요.

  • enhancementVault 운영 중이라면 Vault Key Manager 플러그인으로 통합 검토

    조직에서 HashiCorp Vault를 이미 운영 중이라면, 별도의 AWS KMS나 Azure Key Vault 없이 키 저장소를 Vault로 통합할 수 있습니다. 온프레미스나 멀티클라우드 환경에서 특히 유용합니다. 다만 기존 키는 자동으로 마이그레이션되지 않으니 키 이관 계획을 별도로 수립한 뒤 전환하세요.

  • enhancementsigstore 증명 프로덕션 적용 시점 도래

    k8s 및 docker 어테스터의 sigstore 기반 증명이 정식 기능으로 승격됐습니다. 실험적 플래그 때문에 도입을 미뤄왔다면 이번 릴리스가 적기입니다. 스테이징 환경에서 셀렉터 동작을 먼저 검증한 뒤 프로덕션에 적용하세요.

주요 변경 (6)
  • HashiCorp Vault Key Manager 플러그인 추가 — AWS KMS, Azure Key Vault 외 새로운 키 저장 옵션 확보
  • CLI JSON 출력 호환성 변경: 객체가 더 이상 슬라이스로 감싸지지 않아 기존 파싱 도구가 깨질 수 있음
  • k8s 및 docker 어테스터의 sigstore 지원이 실험적 단계를 벗어나 정식 기능으로 승격
  • Docker 워크로드 어테스터가 rootless Podman을 지원 — 비루트 컨테이너 런타임 환경 커버리지 확대
  • GCP IIT 노드 어테스터가 서비스 계정 이메일 조회 시 더 이상 'use_instance_metadata: true' 불필요
  • 메트릭 레이블 오타 수정: 'bootstraped' → 'bootstrapped' — 대시보드 및 알림 규칙 업데이트 필요
원문

Keycloak

Security2026년 5월 19일

Keycloak 26.6.2는 세션 고정 공격, XSS, 접근 제어 우회, 리다이렉트 URI 검증 우회, 암호화 취약점 등 16개 CVE를 수정한 보안 집중 패치입니다. 즉시 업그레이드해야 합니다.

  • security즉시 업그레이드 — 계정 탈취 및 개인정보 노출 CVE 다수 포함

    이번 릴리스는 표준 OIDC 플로우와 관리 API에 직접 영향을 주는 취약점들을 수정합니다. 세션 고정으로 인한 계정 탈취(CVE-2026-7507), 리다이렉트 URI 우회(CVE-2026-7504), 위조된 클라이언트 데이터를 통한 토큰 노출(CVE-2026-7571), 계정 리소스 조회를 통한 개인정보 열거(CVE-2026-37981) 등이 포함됩니다. 이론적 위협이 아니라 실제 운영 환경에서 악용 가능한 수준입니다. 변경 관리 프로세스가 있더라도 긴급 패치로 처리해야 합니다.

  • securityFreeMarker RCE 취약점 — 업그레이드 전 커스텀 로그인 테마 점검 필수

    #47915 이슈로 추적된 취약점은 FreeMarker 템플릿에서 임의의 Java 객체를 인스턴스화하고 OS 명령을 실행할 수 있는 문제였습니다. 사용자 입력이 FTL 파일에 반영되는 커스텀 로그인 테마를 운영 중이라면 지금 바로 감사하세요. 수정 후에는 FTL 내 JS 블록에 새로운 이스케이프 처리가 적용되므로, 특히 frontchannel-logout.ftl을 포함한 커스텀 테마가 업그레이드 후에도 정상 동작하는지 반드시 테스트해야 합니다.

  • securityWebAuthn AAGUID 정책 우회 — 기존 등록 자격증명 재검토 필요

    CVE-2026-6856으로 인해 WebAuthn 등록 시 Packed Self-Attestation을 통해 AAGUID 허용 목록 정책을 우회할 수 있었습니다. 규제 환경에서 특정 FIDO2 보안 키만 허용하도록 AAGUID 제한을 설정한 경우, 정책에 위반되는 자격증명이 이미 등록되어 있을 가능성이 있습니다. 업그레이드 후 최근 등록된 WebAuthn 자격증명을 검토하고, 하드웨어 증명이 컴플라이언스 요구사항이라면 재등록을 요구하는 방안을 검토하세요.

주요 변경 (5)
  • 계정 탈취로 이어지는 OIDC 세션 고정(CVE-2026-7507), 리다이렉트 URI 우회(CVE-2026-7504), 액세스 토큰 노출(CVE-2026-7571), 조직 템플릿 Stored XSS(CVE-2026-37980) 등 16개 CVE 패치
  • Packed Self-Attestation을 통한 WebAuthn AAGUID 정책 우회 수정 — 이전까지는 하드웨어 인증기 정책 집행이 불완전했음
  • OIDC 인트로스펙션 엔드포인트에 audience 제한 적용 — 경량 액세스 토큰의 클레임 누출 차단
  • FreeMarker 템플릿에서 Java 객체 인스턴스화 및 OS 명령 실행 가능했던 RCE급 취약점 수정
  • 26.7 스키마 변경 시에도 JDBC_PING이 깨지지 않도록 개선하여 롤링 업그레이드 안정성 향상
원문

Kyverno

Security2026년 5월 18일

Kyverno v1.18.1은 v1.18.0에서 발생한 generate 정책 및 mutate-existing 정책의 회귀 버그 두 건을 수정한 패치 릴리스입니다.

  • breaking클러스터 범위 리소스 generate 정책 사용 중이라면 즉시 업그레이드 필요

    v1.18.0에서 ClusterRole, Namespace, CRD 등 클러스터 범위 리소스를 대상으로 한 GeneratingPolicy가 조용히 동작하지 않았습니다. v1.18.1로 업그레이드한 뒤, v1.18.0 운영 기간 동안 생성되었어야 할 리소스가 실제로 존재하는지 확인하고, 누락된 리소스는 수동 생성이나 정책 재트리거로 보정하세요.

  • breakingv1.18.0에서 mutate-existing 정책이 잘못 적용되었을 가능성 있음

    UpdateRequest에 AdmissionRequest 컨텍스트가 전달되지 않아, 요청 정보(사용자 정보, object, oldObject)를 조건이나 패치에 활용하는 규칙이 의도와 다르게 동작했습니다. v1.18.1로 업그레이드한 후 v1.18.0 운영 중 변경된 리소스 상태를 감사하고, 영향받은 리소스를 올바른 상태로 되돌렸는지 검증하세요.

  • enhancementgenerate 또는 mutate-existing 정책 사용자라면 v1.18.0은 건너뛰세요

    두 수정 모두 main 브랜치에서 체리픽된 것으로, 해당 기능을 쓴다면 v1.18.0은 사실상 결함 버전입니다. v1.17.x에서 업그레이드를 검토 중이라면 v1.18.0 대신 v1.18.1부터 테스트를 시작하세요.

주요 변경 (3)
  • GeneratingPolicy에서 클러스터 범위 리소스 생성이 동작하지 않던 버그 수정
  • mutate-existing 정책의 UpdateRequest에 AdmissionRequest가 전달되지 않던 버그 수정
  • 신규 기능 및 API 변경 없음 — 버그 수정만 포함
원문

The Update Framework (TUF)

Security2026년 5월 18일

v7.0.0은 Windows 위임 경로 매칭 보안 취약점(GHSA-qp9x-wp8f-qgjj)을 수정하고, ngclient의 Updater() 생성자 시그니처를 변경한 메이저 릴리스입니다.

  • securityWindows 환경이라면 즉시 v7.0.0으로 업그레이드하세요

    GHSA-qp9x-wp8f-qgjj는 Windows에서 위임 경로 매칭이 의도와 다르게 동작해, 신뢰해서는 안 될 타겟이 검증을 통과할 수 있는 취약점입니다. Windows 클라이언트가 하나라도 있다면 즉시 패치해야 합니다. Linux/macOS는 직접적인 영향은 없지만, 어차피 업그레이드 필요성은 동일합니다.

  • breakingUpdater() 호출 코드 전수 점검 필요

    'bootstrap'이 선택적 인자에서 명시적 키워드 인자로 바뀌었습니다. 기존에 bootstrap을 생략하고 Updater()를 호출하던 코드는 즉시 TypeError가 발생합니다. 코드베이스 전체에서 Updater() 호출 부분을 찾아 bootstrap=None을 추가하는 것으로 간단히 해결됩니다. 호출 지점마다 한 줄 수정이지만, 빠뜨리면 런타임 오류로 직결됩니다.

  • enhancementsecuresystemslib.hash 의존성 제거 예고에 미리 대비하세요

    이번 릴리스는 securesystemslib.hash 제거의 시작점입니다. 커스텀 TUF 확장이나 내부 코드에서 securesystemslib.hash를 직접 import하거나 사용하고 있다면, 차기 릴리스에서 완전히 제거되기 전에 마이그레이션 계획을 세워두는 것이 좋습니다.

주요 변경 (5)
  • Windows에서 위임 경로 매칭이 잘못 동작하던 보안 취약점(GHSA-qp9x-wp8f-qgjj) 수정
  • Updater() 생성자에서 'bootstrap'이 이제 명시적 키워드 인자로 필수화됨
  • 기존 동작을 유지하려면 bootstrap=None을 명시적으로 전달해야 함
  • 향후 securesystemslib.hash 의존성 제거를 위한 사전 준비 작업 포함
  • 문서 오류 다수 수정
원문
Open Policy Agent (OPA)v1.16.2원문2026년 5월 12일

Kubescape

Security2026년 5월 8일

Kubescape v4.0.8은 VAP(Validating Admission Policy) 관련 버그 여러 건을 수정하고, deploy-library 명령에 --timeout 플래그를 추가한 패치 릴리스입니다.

  • breakingVAP 레이블 셀렉터 파싱 버그 — 기존 정책 재검증 필요

    기존 코드는 레이블 셀렉터를 '='로 단순 분리했고, DoubleEquals(==) 셀렉터도 잘못 허용했습니다. 복잡한 레이블 셀렉터를 사용하는 VAP 정책을 Kubescape로 생성한 적이 있다면, v4.0.8로 업그레이드 후 반드시 재생성하고 재검증하세요. 이전에 생성된 출력물이 올바르다고 가정하면 안 됩니다.

  • enhancement느린 클러스터에서는 --timeout 플래그로 배포 시간 조정

    deploy-library 명령의 새 --timeout 플래그로 VAP 라이브러리 배포 대기 시간을 직접 지정할 수 있습니다. API 서버 응답이 느린 클러스터나 CI 파이프라인처럼 시간 제한이 엄격한 환경에서는 기본값에 의존하지 말고 명시적으로 설정하세요. 파이프라인에 적용하기 전에 스테이징에서 적정값을 먼저 확인하세요.

  • enhancement클라우드 API 연동 환경에서는 업그레이드 후 스캔 결과 전송 확인

    클라우드 API 초기화 시 커넥터 URL이 설정 객체에 반영되지 않던 버그가 수정됐습니다. Kubescape의 클라우드 연동을 사용하는데 스캔 결과 전송이 불안정했다면, 업그레이드 후 스캔을 한 번 실행해 결과가 백엔드에 정상 도달하는지 확인하세요.

주요 변경 (5)
  • VAP deploy-library 명령에 배포 타임아웃 제어용 --timeout 플래그 추가
  • 레이블 셀렉터 파싱을 문자열 단순 분리 방식에서 쿠버네티스 공식 레이블 파서로 교체 — 복잡한 셀렉터의 오작동 방지
  • K8s 이름 및 네임스페이스 검증에 DNS 레이블 검증 헬퍼 적용
  • writeOutput에서 부모 디렉토리 자동 생성 처리 — 파일 쓰기 실패 문제 수정
  • 정상 종료 시 불필요한 인터럽트 시그널 로그 메시지 제거
원문

Kubescape

Security2026년 5월 8일

Kubescape v4.0.7은 입력 검증 강화, HTTP 핸들러 동시성 안전성 개선, ControlInput CRD 추가, 사이드카 없는 서비스 디스커버리 등 버그 수정과 사용성 개선에 집중한 릴리스입니다.

  • breaking임계값 플래그 조기 검증 — CI 파이프라인 확인 필수

    severity-threshold, compliance-threshold, fail-threshold 플래그가 이제 스캔 시작 전에 검증됩니다. 잘못된 값을 전달하는 스크립트나 CI 잡은 스캔을 완료하지 못하고 즉시 오류와 함께 종료됩니다. 업그레이드 전에 스캔 호출 명령어를 검토해 모든 임계값 플래그에 유효한 값이 지정되어 있는지 확인하세요.

  • enhancement서비스 디스커버리용 사이드카 제거 가능

    서비스 디스커버리가 쿠버네티스 API를 직접 호출하도록 바뀌었습니다. 기존에 Kubescape 서비스 디스커버리를 위해 사이드카를 운영하고 있었다면, 업그레이드 전에 배포 구성을 점검하고 불필요한 사이드카를 제거하세요. 중복 사이드카가 남아 있으면 예상치 못한 동작이 발생할 수 있습니다.

  • enhancementControlInput CRD로 클러스터 내 스캔 정책 중앙화

    새 ControlInput CRD를 사용하면 외부 파일 없이 클러스터 안에서 직접 컨트롤 입력을 관리할 수 있습니다. 라이브 클러스터 스캔에서만 활성화되므로 파일 기반 스캔 워크플로에는 영향이 없습니다. 업그레이드 후 CRD를 적용해 스캔 정책을 클러스터 내에서 통합 관리하는 것을 권장합니다.

주요 변경 (5)
  • 새로운 ControlInput CRD로 클러스터 내 컨트롤 설정 가능 — 라이브 클러스터 스캔 전용, 파일 기반 스캔에는 비활성화
  • 서비스 디스커버리가 사이드카 없이 쿠버네티스 API에서 직접 서비스 정보를 가져오도록 변경
  • HTTP 핸들러의 TLS 키를 환경 변수로 설정 가능하며, TLS 설정이 불완전하면 즉시 오류 반환
  • severity/compliance/fail 임계값 플래그가 스캔 실행 전에 조기 검증됨 — 모든 관련 서브커맨드 적용
  • YAML 파싱 방식을 바이트 분할에서 라인 스캐너로 교체, 버퍼 한도 상향, 파싱 오류가 무시되지 않고 노출됨
원문

OpenFGA

Security2026년 5월 6일

v1.15.1은 Check 데드락, 세마포어 누수, 실험적 가중치 그래프 캐시 충돌 등 운영 안정성에 직결되는 버그를 수정한 패치 릴리스입니다.

  • security`weighted_graph_check` 캐시 충돌은 권한 오판을 유발할 수 있음

    실험적 `weighted_graph_check` 기능을 사용 중이라면, 캐시 키 충돌로 인해 직접 타입·와일드카드·TTU 경로·인터섹션이 포함된 유니온 관계에서 잘못된 Check 결과가 반환될 수 있습니다. 권한 오판은 보안 문제로 직결됩니다. 즉시 업그레이드하고, 당장 업그레이드가 불가능하다면 실험적 기능 플래그를 비활성화하세요.

  • breaking데드락·세마포어 누수 버그로 즉시 업그레이드 필요

    두 가지 버그 모두 운영 환경을 조용히 망가뜨릴 수 있습니다. Check 데드락은 오류 발생 시 메시지 스트림이 닫히지 않아 요청 처리가 점점 고갈되고, bounded tuple reader의 세마포어 누수는 타임아웃이 잦은 환경에서 리소스 고갈로 이어집니다. 설정 변경 없이 업그레이드만으로 해결됩니다. Check 응답 지연이나 컨텍스트 취소 후 리소스 압박을 겪었다면 이 버그들이 원인일 가능성이 높습니다.

  • enhancementListObjects 오류 전파 수정 — 쿼리 결과 재검증 권장

    단락(short-circuit) 처리 시 무시돼야 할 오류가 ListObjects 응답에 잘못 노출되는 버그가 수정됐습니다. 의도치 않은 ListObjects 오류를 경험했다면 이번 수정이 원인을 해결합니다. 업그레이드 후 테스트 스위트에서 ListObjects 동작을 한 번 재확인해 두는 게 좋습니다.

주요 변경 (5)
  • 커맨드 오류 처리 중 발생 가능한 패닉 수정
  • 오류 시 메시지 스트림이 무기한 열린 채로 유지되는 Check 데드락 수정
  • 컨텍스트 취소 시 bounded tuple reader의 세마포어 토큰 누수 수정
  • 실험적 `weighted_graph_check`에서 유니온 다중 분기에 대한 캐시 키 충돌 수정
  • ListObjects에서 경로 단락(short-circuit) 시 오류가 잘못 전파되는 버그 수정
원문

in-toto

Security2026년 5월 4일

in-toto v3.1.0은 sslib 해시 함수를 내재화하고 ruff로 코드 스타일을 전환했습니다. 유지보수 중심 릴리스지만 sslib 의존성 변경은 실무 환경에 영향을 줄 수 있습니다.

  • breakingsslib를 별도로 사용 중이라면 지금 마이그레이션 계획을 세우세요

    in-toto가 sslib의 해시 함수를 직접 내재화한 이유는 sslib가 지원 중단 수순을 밟고 있기 때문입니다. 프로젝트 의존성 트리에서 sslib를 직접 또는 간접적으로 끌어오는 경로가 있다면 지금 확인하고 대체 방안을 마련해야 합니다. in-toto 업그레이드만으로 sslib 문제가 해결된다고 보면 안 됩니다.

  • enhancement`in-toto-run` 반환 코드 전달 동작 변경 — CI 파이프라인을 점검하세요

    기존에는 `in-toto-run`이 래핑된 명령의 종료 코드를 무시해서 CI에서 실패가 묻히는 경우가 있었습니다. 이제 종료 코드가 정상적으로 전달되므로, `in-toto-run` 이후 종료 코드를 검사하는 스크립트나 CI 스텝이 있다면 동작이 바뀌었는지 반드시 확인하세요. 이전에는 통과하던 단계가 실패로 잡힐 수 있습니다.

  • enhancement기여자·패키저라면 개발 환경을 ruff로 맞추세요

    코드베이스 전체가 ruff 기준으로 정리됐습니다. fork를 유지하거나 PR을 올릴 계획이라면 기존 flake8/pylint 설정이 불필요한 충돌을 만들 수 있으니, 로컬 개발 환경을 ruff로 전환한 뒤 작업하는 게 좋습니다.

주요 변경 (5)
  • sslib 해시 함수를 in-toto 내부로 이식 — sslib 지원 중단에 따른 외부 의존성 제거
  • 코드 스타일 도구를 ruff로 전환, 전체 코드베이스에 적용
  • Debian 패키지 의존성 및 빌드 규칙 최신화
  • CLI: `in-toto-run`이 래핑된 명령의 반환 코드를 이제 그대로 전달
  • 파이프라인 및 내용 관련 문서 업데이트
원문

Kubescape

Security2026년 5월 4일

v4.0.6은 스캔 결과의 정확성을 크게 개선한 릴리스로, 네임스페이스 필터 오류, OPA 평가 실패 시 묵시적 누락, CVE 예외 처리 대소문자 구분 버그 등 결과에 직접 영향을 주는 문제들을 수정했습니다.

  • securityCVE 예외 목록의 대소문자 일관성 점검 필요

    이전 버전에서는 이미지 스캔 CVE 예외 매칭이 대소문자를 구분했기 때문에, 소문자로 등록된 'ghsa-xxxx' 예외는 적용되지 않았습니다. 업그레이드 후 예외 목록의 CVE/GHSA ID 표기를 검토하고, 실제로 예외 처리되고 있는 항목을 다시 확인하세요.

  • securityHTTP 핸들러 로그에서 요청 바디 기록 제거 — 기존 로그 검토 권고

    이전까지 Kubescape의 HTTP 핸들러가 스캔 요청 전체 바디를 로그에 기록했는데, 여기에 리소스 매니페스트나 민감한 설정 데이터가 포함될 수 있었습니다. 이번 릴리스에서 해당 로깅이 제거됐습니다. 기존에 수집된 로그에 매니페스트 내용이 포함되어 있을 수 있으므로, 로그 보존 정책을 검토하고 필요시 데이터를 폐기하세요.

  • breaking업그레이드 후 스캔 결과 변화 예상 — 기존의 거짓 통과가 실패로 전환됨

    두 가지 버그로 인해 리소스가 스캔 결과에서 조용히 사라지고 있었습니다. OPA 평가 오류가 무시되던 문제와 GVR 수집 부분 실패가 억제되던 문제가 모두 수정됐습니다. 기존 컴플라이언스 점수가 비정상적으로 깔끔했다면, 업그레이드 후 새로 나타나는 실패 항목은 회귀가 아니라 원래부터 존재했던 문제입니다. 결과 기준선을 재정립해야 할 수 있습니다.

주요 변경 (5)
  • OPA 규칙 평가 실패 시 리소스가 조용히 누락되던 문제 수정 — 이제 오류가 명시적으로 표시됨
  • --include-namespaces 사용 시 클러스터 스코프 리소스 결과가 필터링에서 제외되던 버그 수정
  • CVE 예외 매칭이 대소문자 구분 없이 처리되도록 개선 (소문자 CVE ID 예외 누락 방지)
  • kubescape scan에서 Helm 값 오버라이드 전달 가능, Kustomize 디렉터리 내 Helm 렌더링 지원 추가
  • 원시 스캔 요청 바디 로깅 제거 및 동시 요청 시 예외 파일 경합 조건 수정
원문
Open Policy Agent (OPA)v1.16.1원문2026년 5월 1일
월별 보기