RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 7월해제 ×

Kyverno

Security2026년 7월 10일

Kyverno v1.18.2는 생성기 정책의 namespace 경계 강제 HIGH 등급 취약점(GHSA-79gf-7frw-68m9)을 수정한 보안 패치입니다. 보안 의존성 업데이트와 여러 버그 수정을 함께 포함하고 있습니다.

  • security생성기 정책 namespace 경계 강제 취약점 수정 (GHSA-79gf-7frw-68m9)

    생성기 정책에서 namespace 경계 강제가 제대로 작동하지 않아 정책이 다른 네임스페이스의 리소스를 생성할 수 있었습니다. v1.18.2로 업그레이드하세요.

  • security보안 의존성 업데이트

    보안 관련 의존성이 업데이트되었습니다. 최신 패치를 적용하세요.

주요 변경 (7)
  • 보안: 생성기 정책의 namespace 경계 강제 취약점 패치 (GHSA-79gf-7frw-68m9)
  • 보안 의존성 업데이트
  • 백그라운드 리포팅이 410 Gone 응답 처리 개선
  • 필수 검증 정책의 이미지 매칭 실패 처리 개선
  • Kyverno CLI가 단일 --crd-path 파일에서 여러 CRD 지정 지원
  • pss-helm 정책 차트의 볼륨 타입 목록에 image 추가
  • 레포트 라벨 프리픽스 명칭 정정
원문

SPIRE

Security2026년 7월 9일

SPIRE v1.15.2는 docker 의존성을 moby로 전환하여 CVE를 해결하고, 위임된 ID API에서 관리자/다운스트림 항목의 JWT-SVID 노출을 차단한 보안 패치입니다. 다양한 기능 추가와 대규모 배포 성능 최적화도 포함되어 있습니다.

  • securitydocker→moby 의존성 마이그레이션으로 CVE 해결

    docker/docker 의존성을 moby/moby로 전환하여 여러 CVE를 해결했습니다. v1.15.2로 업그레이드하세요.

  • breaking위임된 ID API에서 관리자/다운스트림 항목의 JWT-SVID 노출 차단

    관리자 또는 다운스트림 항목을 사용하는 위임된 ID API 환경에서 JWT-SVID가 더 이상 제공되지 않습니다. 위임된 API를 사용 중이면 업그레이드 후 클라이언트 코드를 검토하세요.

주요 변경 (6)
  • 보안: docker/docker를 moby/moby로 마이그레이션하여 CVE 해결
  • breaking: 위임된 ID API가 관리자/다운스트림 항목에 대한 JWT-SVID 제공 중단
  • 향상: JWT-SVID에 JTI 클레임 포함 옵션, 호출자별 요청 제한(실험), Prometheus 메트릭 엔드포인트 TLS 지원
  • 향상: SPIFFE Broker 엔드포인트/API 신규 도입, x509pop 노드 증명자에서 클라이언트 인증서 IP 검증 추가
  • 성능: 대규모 배포에서 증명된 노드 대량 조회로 데이터베이스 부하 감소, MySQL 항목 조회 쿼리 최적화
  • 그 외 다수 버그 수정 및 기능 개선: Azure IMDS 증명 검증, CA 저널 안정성, 이벤트 캐시, Windows SE_DEBUG_PRIVILEGE, GCP KMS 공개 키 조회
원문

cert-manager

Security2026년 7월 8일

cert-manager 1.21.0은 RBAC와 Helm 기본값을 조이는 세 가지 주요 변경(보안 권한 축소 포함)을 담은 강화 릴리스로, ARI와 Vault AWS IAM 인증 같은 새 기능도 함께 들어왔습니다. Helm values를 커스터마이즈했거나 Challenge/Order를 직접 다루는 도구가 있다면 업그레이드 전에 반드시 변경 사항을 확인해야 합니다.

  • securitycert-manager-edit ClusterRole 권한 축소 보안 수정

    cert-manager-edit 어그리게이트 ClusterRole에서 challenges.acme.cert-manager.io에 대한 create 권한과 orders.acme.cert-manager.io에 대한 create/patch/update 권한이 제거되었습니다(GHSA-8rvj-mm4h-c258). Challenge나 Order 리소스를 직접 생성하는 자동화나 도구가 있다면 별도 RBAC를 부여해야 동작이 유지됩니다.

  • breaking기본 tokenrequest RBAC 제거

    Helm 차트가 더 이상 컨트롤러 ServiceAccount에 대한 serviceaccounts/token: create 권한을 부여하는 기본 Role/RoleBinding을 생성하지 않습니다. serviceAccountRef.name으로 컨트롤러 ServiceAccount를 직접 참조하는 문서화되지 않은 구성을 쓰고 있다면 업그레이드 후 토큰 발급이 실패할 수 있습니다.

  • breakingPrometheus 관련 Helm values 제거

    Helm 값 prometheus.servicemonitor.targetPort, prometheus.servicemonitor.path, prometheus.podmonitor.path가 제거되었습니다. 관련 메트릭 포트도 tcp-prometheus-servicemonitor에서 http-metrics로 이름이 바뀌었습니다. values 오버라이드에 이 키들이 남아 있으면 업그레이드 시 스키마 검증 오류가 발생하므로 values 파일을 미리 정리해야 합니다.

주요 변경 (8)
  • 보안: cert-manager-edit ClusterRole에서 Challenge/Order 생성 권한 제거(GHSA-8rvj-mm4h-c258)
  • 주요 변경: 컨트롤러 ServiceAccount용 기본 tokenrequest RBAC(Role/RoleBinding) 제거
  • 주요 변경: prometheus.servicemonitor/podmonitor 관련 Helm values 제거, 메트릭 포트명이 http-metrics로 변경
  • 신규 기능: ACME Renewal Information(ARI, RFC 9773) 실험 지원, Vault 이슈어의 AWS IAM 인증(IRSA/EKS Pod Identity) 지원
  • 신규 기능: Gateway API용 http01-parentreffallback 및 ignore-tls-listeners 어노테이션, Certificate API의 renewalPolicies 필드 추가
  • 사용 중단: enableGatewayAPI/enableGatewayAPIListenerSet 및 ServerSideApply 피처 게이트가 각각 gatewayAPI.enabled 계열과 SSA 상시 사용으로 대체 예정(당분간 동작은 유지)
  • 버그 수정 다수: renewBeforePercentage 정수 오버플로, 만료된 인증서 재발급 무한 루프, ACME 임시 네트워크 오류 처리, DNS 이슈어 시크릿 사전 검증 등 안정성 개선
  • 기타: 베이스 이미지 Debian 13으로 갱신, 신규 Modern2026 PKCS#12(FIPS 140-3) 프로파일 추가, 더 이상 쓰지 않는 ObjectReference 타입 정리
원문

Open Policy Agent (OPA)

Security2026년 7월 2일

OPA v1.18.2는 `opa fmt` 포맷터의 회귀 버그를 되돌린 패치입니다. v1.18.0 이후 포맷이 완료된 정책 파일에서도 불필요한 변경이 발생했다면, 이 버전으로 업그레이드하면 해결됩니다.

주요 변경 (1)
  • `opa fmt`에서 단일 항목 컬렉션(배열, 객체, 셋)을 항상 여러 줄로 펼치던 회귀 버그(v1.18.0 도입) 수정: 이미 올바르게 포맷된 정책에 불필요한 diff가 생기던 문제 해소
원문
월별 보기