RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Kubescape

Security2026년 6월 30일

Kubescape v4.0.10은 기능 추가와 보안 강화가 함께 담긴 릴리스로, 스캔 완료 웹훅의 SSRF 취약점을 막고 config.json 권한과 입력 검증을 강화했으며 죽은 CRD를 정리했습니다. 여기에 `operator remediate`, 암호화 리포트 복호화 같은 신규 기능과 다수의 버그 수정이 함께 포함되었고, 이번 릴리스에서 공개된 CVE 추적 취약점은 없습니다.

  • security스캔 완료 웹훅 SSRF 방어 강화

    스캔 완료 웹훅 콜백에 SSRF 방어 로직이 추가되었습니다. 이 콜백 기능을 사용 중이라면, 조작된 콜백 URL로 인한 아웃바운드 요청 악용을 막기 위해 업그레이드를 권장합니다.

  • breakingconfig.json 권한을 소유자 전용으로 제한

    config.json 파일 권한이 기존보다 넓은 접근 범위에서 소유자 전용으로 변경되었습니다. 다른 사용자 계정으로 이 파일에 접근하는 자동화나 툴이 있다면 접근 실패가 발생할 수 있으니 확인이 필요합니다.

  • breaking고립된 SecurityException CRD 제거

    설치조차 되지 않던 고립된 SecurityException CRD가 제거되었습니다. 매니페스트나 문서에서 이 CRD를 참조하던 경우에만 해당되며, 원래 동작하지 않았으므로 기능적 영향은 없습니다.

  • enhancement--format과 VAP 컨트롤 검증 강화

    --format 플래그는 스캔 시작 전에 잘못된 값을 걸러내고, VAP 구성 가능 컨트롤은 이제 params를 필수로 요구합니다. 검증 없이 --format을 스크립트에 넘기거나 params 없이 VAP 컨트롤을 실행하던 경우, 이제 조용히 넘어가지 않고 즉시 오류로 실패합니다.

주요 변경 (8)
  • 스캔 완료 웹훅 콜백에 SSRF 방어 로직을 추가해 아웃바운드 알림의 요청 위조 취약점을 막았습니다.
  • config.json 권한을 소유자 전용으로 좁혀, 기존 설치본의 기본 파일 접근 방식이 바뀝니다.
  • 설치조차 안 되던 고립 상태의 SecurityException CRD와 관련 테스트를 제거했습니다.
  • --format 플래그가 스캔 전에 잘못된 값을 거부하고, VAP 구성 가능 컨트롤은 params를 필수로 요구하도록 검증이 강화됐습니다.
  • `operator remediate` CLI 서브커맨드(annotate, dry-run 모드), VAP 엔진용 CEL 환경 빌더/평가기, DEK 래핑을 포함한 암호화 리포트 복호화 기능이 새로 추가됐습니다.
  • GVR 조회 실패를 감지해 감점하는 스캔 커버리지 점수 지표와, OPA 프로세서의 컨트롤별 평가 타임아웃(타임아웃 시 0점 처리, 부분 결과 폐기)이 추가됐습니다.
  • nil ScanData, 조직명 없는 이미지 이름 파싱, 스캔 실행 고루틴 등 여러 패닉을 수정했고 스캔 리스너 서버에 HTTP 타임아웃을 설정했습니다.
  • 리소스 중복 제거, 호스트 센서 infoMap 병합, SARIF 라인 번호 해석, 출력 덮어쓰기 방지, 고립된 RoleBinding 처리 등 10여 개의 소소한 수정과 Go 1.26 전환도 포함됩니다.
원문

OpenFGA

Security2026년 6월 29일

v1.18.1은 CIDR 매칭 동작과 직렬화 결정성을 고치고 실험적 플래그를 BatchCheck까지 확장한 routine 패치입니다. 브레이킹 체인지나 CVE는 없지만, in_cidr 수정으로 IPv4-mapped IPv6 주소의 매칭 동작이 바뀝니다.

  • breakingin_cidr이 IPv4-mapped IPv6 주소를 IPv4 CIDR과 매칭시킴

    무조건 적용됩니다: in_cidr 조건이 IPv4-mapped IPv6 주소(예: ::ffff:192.168.1.1)를 매칭 전에 IPv4 형태로 정규화하므로, 이제 192.168.1.0/24 같은 IPv4 CIDR과 매칭됩니다. 이런 주소가 IPv4 범위에서 제외되길 기대했다면 in_cidr을 사용하는 인가 모델을 점검하세요.

주요 변경 (4)
  • in_cidr 조건이 IPv4-mapped IPv6 주소(RFC 4291 §2.5.5.2)를 IPv4 형태로 정규화해서, ::ffff:192.168.1.1이 192.168.1.0/24와 매칭됨
  • weighted_graph_check, Expand, ListUsers에 진단 로깅 추가: 향후 v2 Check 판정이 v1과 달라질 수 있는 모델을 표시함, 지금 당장 조치는 필요 없음
  • 실험적 weighted_graph_check 플래그가 BatchCheck까지 확장됨: 각 배치 항목을 weighted graph 알고리즘으로 평가하고, 비종단 오류 시 항목별로 표준 알고리즘으로 폴백함
  • serialized_protobuf 컬럼에 대한 인가 모델 직렬화가 결정론적 proto marshaling을 사용하도록 변경되어, map 키 타입 정의를 가진 모델의 저장 바이트 불일치 문제를 고침
원문

Open Policy Agent (OPA)

Security2026년 6월 25일

v1.18.0은 버그픽스 중심 릴리스로, 운영자가 반드시 확인해야 할 변경 사항은 RFC 9110 준수를 위한 User-Agent 헤더 하이픈 추가 하나입니다. 나머지는 런타임 개선, 포매터 및 커버리지 도구 수정, Go 툴체인 버전 갱신입니다.

  • breakingUser-Agent 헤더 형식 변경 (RFC 9110 준수)

    OPA가 HTTP 요청 시 전송하는 User-Agent 헤더가 'Open Policy Agent/<version> (<os>, <arch>)'에서 'Open-Policy-Agent/<version> (<os>, <arch>)'로 바뀌었습니다('Open'과 'Policy' 사이에 하이픈 추가). 이전 문자열을 정확히 일치시키는 서버 측 로그 필터, WAF 규칙, 접근 정책이 있다면 v1.18.0 업그레이드 후 반드시 수정해야 합니다.

주요 변경 (7)
  • User-Agent 헤더가 'Open Policy Agent'에서 'Open-Policy-Agent'(하이픈 추가)로 변경됨 — 이전 문자열 정확 일치 필터나 WAF 규칙은 업그레이드 전 점검 필요
  • 컨테이너 환경 리소스 제한 복원 및 확장: GOMAXPROCS 자동 설정 복구, GOMEMLIMIT 자동 설정 신규 지원
  • opa fmt 교정 버그 다수 수정: 단일 항목 이터러블의 멀티라인 형식 유지, 주석 뒤 with 절 유실 문제 해결
  • opa test --coverage 개선: 리포트에 범위 정보 추가, 인라인 규칙 헤드 추적, 논리곱(conjunction) 표현식 커버리지 지원
  • future.keywords.not을 every 블록 내부에서 사용할 때 발생하던 부분 평가 회귀 버그 수정, every 내부 컴프리헨션의 변수 네임스페이싱 문제도 함께 수정
  • 성능 개선: object.get 메모리 할당 감소, topdown dst.Compare(src) 숏컷 제거, format_int 10진수 경로에서 strconv.ParseInt 호출 생략
  • Go 1.26.3 → 1.26.4 업데이트, 웹사이트 및 노드 의존성 일괄 갱신
원문

cert-manager

Security2026년 6월 25일

v1.19.6은 cert-manager-edit ClusterRole에서 발견된 HIGH 등급 RBAC 권한 상승 취약점(사용자가 ACME Challenge/Order를 직접 생성해 Issuer solver 셀렉터를 우회할 수 있던 문제)을 수정하는 보안 패치이며, CVE 3건을 해결하는 Go 툴체인 업데이트도 포함합니다. 이번 RBAC 수정에는 문서화된 주요 권한 변경이 포함되어 있습니다.

  • securityACME Challenge/Order 직접 생성을 통한 RBAC 권한 상승

    v1.19.6에 적용됩니다. 기본 cert-manager-edit 애그리게이트 ClusterRole은 네임스페이스 사용자가 ACME Challenge와 Order 리소스를 직접 생성할 수 있게 해, Issuer solver 셀렉터를 우회할 수 있었습니다. 이번 패치로 challenges.acme.cert-manager.io의 create 권한과 orders.acme.cert-manager.io의 create/patch/update 권한이 해당 역할에서 제거되었습니다. HIGH 등급 취약점(GHSA-8rvj-mm4h-c258)이므로 v1.19.6으로 업그레이드하세요.

  • securityGo 툴체인 1.25.11로 업데이트, CVE 3건 해결

    v1.19.6에서 무조건 적용됩니다. Go가 1.25.11로 업데이트되어 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507을 해결합니다. 업그레이드 외에 별도 조치는 필요 없습니다.

  • breakingcert-manager-edit ClusterRole의 Challenge/Order 생성 권한 제거

    Certificate → CertificateRequest → Order → Challenge 흐름을 벗어나 Challenge나 Order 리소스를 직접 생성하는 도구나 워크플로우가 있다면, 업그레이드 후 해당 권한을 잃게 되므로 별도로 권한을 부여해야 합니다.

주요 변경 (4)
  • HIGH 등급 RBAC 취약점 수정(GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole이 ACME Challenge/Order 직접 생성을 허용해 Issuer solver 셀렉터를 우회할 수 있었음
  • 주요 변경(breaking): cert-manager-edit이 더 이상 challenges.acme.cert-manager.io의 create, orders.acme.cert-manager.io의 create/patch/update 권한을 부여하지 않음. Challenge/Order를 직접 생성하는 도구는 권한을 별도로 부여해야 함
  • Go를 1.25.11로 업데이트해 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507 해결
  • 앞서 Go 1.25.10 업데이트와 기타 의존성 업데이트 다수 포함
원문

cert-manager

Security2026년 6월 25일

v1.20.3은 cert-manager-edit ClusterRole의 HIGH 심각도 RBAC 과잉 권한(GHSA-8rvj-mm4h-c258)을 수정하고 Go를 v1.26.4로 올려 CVE 3건을 해결한 보안 릴리스입니다. 업그레이드 전에 Challenge·Order 리소스를 직접 생성하는 워크플로가 있는지 반드시 확인하세요.

  • securitycert-manager-edit ClusterRole RBAC 과잉 권한 (GHSA-8rvj-mm4h-c258)

    GHSA-8rvj-mm4h-c258(HIGH): cert-manager-edit 집계 ClusterRole이 네임스페이스 사용자에게 Challenge·Order 리소스 직접 생성 권한을 부여해, Issuer 솔버 셀렉터를 우회할 수 있었습니다. v1.20.3에서 수정되었으므로, 클러스터에 신뢰하지 않는 네임스페이스 사용자가 있다면 즉시 업그레이드하세요.

  • securityGo v1.26.4 업데이트 (CVE 3건)

    Go가 v1.26.4로 업데이트되어 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507 세 건의 CVE가 수정됩니다. 별도 설정 변경 없이 cert-manager를 업그레이드하면 적용됩니다.

  • breakingBreaking: cert-manager-edit에서 Challenge·Order 직접 생성 권한 제거

    cert-manager-edit ClusterRole에서 challenges.acme.cert-manager.io의 create 권한과 orders.acme.cert-manager.io의 create·patch·update 권한이 제거되었습니다. 정상 흐름(Certificate → CertificateRequest → Order → Challenge)을 거치지 않고 Challenge나 Order를 직접 생성하는 자동화 도구·CI 워크플로가 있다면, 업그레이드 전에 반드시 수정하세요.

주요 변경 (4)
  • HIGH 심각도 RBAC 취약점 수정 (GHSA-8rvj-mm4h-c258): cert-manager-edit ClusterRole에서 Challenge·Order 직접 생성을 허용하는 권한을 제거해 Issuer 솔버 셀렉터 우회 경로를 차단했습니다.
  • Breaking 변경: cert-manager-edit 집계 ClusterRole에서 challenges.acme.cert-manager.io의 create, orders.acme.cert-manager.io의 create·patch·update 권한이 삭제되었습니다.
  • Go를 v1.26.4로 업데이트해 CVE-2026-27145, CVE-2026-42504, CVE-2026-42507을 수정했습니다.
  • 버그 수정: Challenge 리소스에 포함되어 있던 issuer owner reference가 제거되어 Challenge 가비지 컬렉션이 정상 작동합니다.
원문

OpenFGA

Security2026년 6월 17일

v1.18.0은 OIDC 인증 우회와 preshared key 타이밍 취약점 두 가지 보안 버그를 수정합니다. MySQL 사용자는 스키마 마이그레이션으로 인해 업그레이드 전 유지보수 시간을 반드시 확보해야 합니다.

  • securityOIDC audience 우회 취약점 — 업그레이드 전 설정 확인 필수

    authn.oidc.audience를 설정하지 않으면 JWT audience 검증이 무음으로 건너뛰어졌고, 신뢰된 issuer가 발급한 모든 토큰이 수락됐습니다. 업그레이드 후에는 issuer와 audience가 모두 없으면 서버가 기동하지 않습니다. 배포 설정에 authn.oidc.audience가 명시돼 있는지 미리 확인하세요.

  • securityPreshared key 타이밍 사이드채널 수정 — 키 교체 고려

    기존 map lookup 기반 preshared key 검증은 응답 시간 차이로 유효한 키 바이트를 추측할 수 있었습니다. 이제 constant-time 비교로 수정됐습니다. 즉각적인 조치는 불필요하지만, 이 키가 신뢰할 수 없는 네트워크 경로에 오랫동안 노출됐다면 키를 교체하는 것이 좋습니다.

  • breakingMySQL 사용자: 서버 기동 시 auto-migration 실행 금지

    마이그레이션 008은 tuple 및 changelog 테이블에 공유 락을 획득합니다. 데이터가 많은 프로덕션 환경에서는 Write 작업이 장시간 차단될 수 있습니다. collation_migrations.md 운영 가이드를 먼저 읽고, 유지보수 시간을 잡아 마이그레이션을 수동으로 실행하세요. auto-migration 옵션은 반드시 끄세요.

주요 변경 (4)
  • MySQL 스키마 마이그레이션 008: 식별자 비교를 대소문자 구분(case-sensitive)으로 변경, tuple·changelog 테이블에 공유 락(shared lock) 획득
  • Preshared key 인증에 constant-time 비교 도입 — 이전 map lookup 방식의 타이밍 사이드채널 차단
  • OIDC 설정 검증 강화: authn.oidc.issuer 또는 authn.oidc.audience 누락 시 서버 기동 거부, 기존의 JWT audience 조용한 우회 방지
  • MySQL 식별자 비교 동작이 Postgres·SQLite와 동일하게 대소문자 구분으로 통일
원문

Falco

Security2026년 6월 11일

Falco 0.44.1은 BPF 반복자 제어 옵션을 추가하고 libs 버전 업을 통해 여러 BPF 관련 버그를 수정합니다. 커널 레벨 추적을 사용하는 배포 환경의 안정성에 중점을 둔 최소한의 릴리스입니다.

  • breakinglibs와 커널 드라이버를 함께 업데이트하세요

    이번 릴리스에서 libs는 0.25.4로, 드라이버는 10.2.0+driver로 업그레이드됩니다. 커널 드라이버 버전을 Falco와 분리해서 관리한다면 같은 유지보수 기간에 둘 다 업데이트해야 합니다. 버전이 맞지 않으면 시스템 호출 캡처 실패나 무음 데이터 손실이 발생할 수 있습니다.

  • enhancementBPF 반복자로 인한 성능 또는 호환성 문제가 있으면 비활성화 옵션 활용

    Falco 0.44.1에서 BPF 반복자를 비활성화하는 설정 옵션이 추가되었습니다. 커널의 BPF 반복자 구현이 불안정하거나 반복자 오버헤드로 인한 높은 CPU 사용량을 관찰하고 있다면 비활성화를 테스트해보세요. 업그레이드 후 Falco 로그와 메트릭을 확인하여 0.44.0에서 겪던 BPF 관련 불안정성이 해결되었는지 검증하세요.

주요 변경 (3)
  • Falco 설정에서 BPF 반복자 비활성화 옵션 추가
  • libs 0.25.4, 드라이버 10.2.0+driver로 업그레이드하여 BPF 반복자 버그 해결
  • x86_64 및 aarch64 플랫폼에 대해 rpm, deb, tgz 형식으로 패키지 제공
원문

OpenFGA

Security2026년 6월 5일

v1.17.1은 이터레이터 캐시의 stale read 버그와 타입 이름에 '|' 문자가 포함될 때 continuation token이 깨지는 문제를 수정한 패치 릴리스입니다.

  • security캐시 stale read로 잘못된 권한 결정이 반환될 수 있었음 — 즉시 패치

    이터레이터 캐시가 쓰기 시각을 기준으로 LastModified를 설정하고 있어, 캐시 항목이 유효 기간을 초과해 살아남아 오래된 데이터를 서빙할 수 있었습니다. 권한 시스템에서 만료된 'allow' 판정이 그대로 반환되는 건 실질적인 보안 위험입니다. 캐싱을 활성화해 운영 중이라면 v1.17.1로 즉시 업그레이드하세요.

  • breaking'|' 포함 타입 이름 사용 중이라면 페이지네이션 즉시 재검증

    FGA 모델에서 '|' 문자가 들어간 타입 이름을 쓴다면, continuation token이 잘못 역직렬화되어 ListObjects 등 페이지네이션 API가 불완전하거나 잘못된 결과를 반환했을 수 있습니다. 오류 메시지 없이 조용히 깨지는 유형이라 놓치기 쉽습니다. v1.17.1로 업그레이드한 뒤 해당 타입 이름을 참조하는 페이지네이션 흐름을 반드시 재테스트하세요.

  • enhancementv2Check 폴백 제거 — 에러 처리 로직 사전 점검 필요

    기존에는 스로틀링이나 유효성 검증 오류 발생 시 v2Check가 v1 동작으로 조용히 폴백해 실제 문제가 숨겨졌습니다. 이제 해당 오류가 직접 반환됩니다. 애플리케이션이 check 오류를 묵시적으로 삼키거나 폴백 동작을 가정하고 있다면, 이전에 보이지 않던 오류가 갑자기 노출될 수 있습니다. 프로덕션 배포 전 부하 상황에서 반드시 테스트하세요.

주요 변경 (5)
  • 이터레이터 캐시 stale read 수정: LastModified 기준을 쿼리 시작 시각으로 고정해 캐시 항목이 의도보다 오래 살아남는 문제 해결
  • 타입 이름에 '|' 포함 시 continuation token 역직렬화 실패 버그 수정 — 페이지네이션 결과가 조용히 깨지던 문제
  • v2Check가 스로틀링·유효성 검증 오류 시 v1 동작으로 폴백하지 않도록 변경, 실행 시맨틱 강화
  • Go 툴체인 1.26.4 및 grpc-health-probe v0.4.52로 업그레이드
  • 캐싱 관련 공식 문서 현행화
원문

Kubescape

Security2026년 5월 29일

Kubescape v4.0.9는 스캔 정확도 버그(부분 리소스 수집, 커버리지 리포팅, Prometheus 출력)를 고치고 스캔 리포트의 정보 노출을 보강하며, patch 명령의 기본 푸시 동작을 변경한 대규모 유지보수 릴리스입니다.

  • security시크릿 노출 관련 수정과 신규 익명화 플래그 점검

    스캔 결과의 정보 노출을 막는 수정이 여러 건 포함됐습니다. removeContainersData에서 EnvFrom과 Env[].ValueFrom을 제거하고(커밋 acc3280, 0c68cca), /v1/results의 IDOR 취약점을 보강했으며(커밋 0fe6a0f), 리소스 이름·네임스페이스·라벨·어노테이션·컨테이너 메타데이터를 가리는 --hide 익명화 파이프라인이 새로 추가됐습니다. 스캔 리포트를 팀 밖으로 공유하거나 CI 아티팩트로 내보낸다면 --hide 플래그를 검토하고 컨테이너 환경변수 참조가 노출되지 않는지 확인하세요.

  • breakingpatch 명령의 기본 푸시 동작 제거

    Kubescape의 fix 명령이 이제 기본적으로 패치된 이미지를 푸시하지 않습니다(커밋 b10cbb1). CI 파이프라인이 기존의 기본 푸시 동작에 의존하고 있었다면 --push 플래그를 명시적으로 추가해야 합니다. 그렇지 않으면 업그레이드 후 패치 파이프라인이 아무 경고 없이 이미지 푸시를 멈춥니다.

  • enhancement신규 커버리지 게이트와 diff 명령을 CI에 도입

    CI 파이프라인에서 스캔 커버리지와 컨트롤 결과를 게이트할 수 있는 플래그가 추가됐습니다. --fail-coverage-below로 최소 커버리지 임계값을 지정할 수 있고(커밋 4ae7b87), 커버리지 누락 및 미평가 컨트롤도 명시적으로 리포트됩니다(커밋 5876d2b). 두 스캔 리포트를 비교하는 kubescape diff 명령도 새로 생겼습니다(커밋 00682ee). 이전에는 리소스 수집이 일부 실패해도 조용히 통과했던 CI 게이트에 --fail-coverage-below를 추가하고, kubescape diff로 스캔 간 보안 상태 변화를 추적하세요.

주요 변경 (6)
  • GVR(리소스 타입) 일부 수집 실패를 조용히 무시하지 않고 표면화하며, ScanCoverage가 실패·미평가 컨트롤을 반영합니다
  • CI 커버리지 게이트용 --fail-coverage-below 플래그와 리포트 비교용 kubescape diff 명령이 새로 추가됐습니다
  • 리소스 이름, 네임스페이스, 라벨, 어노테이션, 컨테이너 메타데이터를 가리는 --hide 플래그와 익명화 파이프라인이 새로 생겼습니다
  • fix 명령이 이제 이미지 푸시에 명시적 opt-in을 요구합니다 (이전에는 기본으로 푸시했습니다)
  • Prometheus 출력 관련 수정 다수: 누락된 HELP/TYPE 헤더 추가, score/metrics 출력 writer 경로 수정, 중복 헤더 제거
  • K8s 리소스 수집을 병렬화해 성능을 개선했고 TimedCache의 TOCTOU 레이스 컨디션을 고쳤습니다
원문

Cloud Custodian

Security2026년 5월 28일

0.9.51.0은 AWS AI/ML 관련 신규 리소스 추가, iam-access-key 스키마 breaking change, GCP 레이블 관리 대상 리소스 대폭 확대를 담은 기능 위주 릴리스입니다.

  • breaking업그레이드 전 iam-access-key 정책에서 json-diff 필터 제거 필수

    `aws.iam-access-key` 리소스에서 `json-diff` 필터가 완전히 제거됐습니다. 이 필터를 쓰는 정책은 업그레이드 후 런타임 오류가 납니다. 업그레이드 전에 `iam-access-key` 관련 정책 파일을 검색해 `json-diff` 필터 사용 여부를 확인하고 제거하거나 대체 필터로 바꾸세요.

  • enhancementCross-account IAM 정책 검사에 org path 지원 활용

    AWS cross-account 정책 평가에서 `aws:PrincipalOrgPaths`와 화이트리스트 계정을 지원하기 시작했습니다. 조직 경로 기반 principal 체크를 위해 별도 우회 방법을 쓰고 있었다면, 이 기능으로 정책을 단순화할 수 있습니다. cross-account 거버넌스 정책을 운영 중이라면 검토해 보세요.

  • enhancementGCP 레이블 컴플라이언스 정책을 새로 지원하는 리소스 타입으로 확장

    이번 릴리스에서 GCP 레이블 관리 대상 리소스가 대폭 늘었습니다. Cloud Run 서비스/잡, Pub/Sub 토픽/구독, Redis, Secrets Manager 시크릿, 스냅샷, DNS 관리 영역, 인터커넥트, 로드밸런서 주소 및 포워딩 룰, Cloud Functions 등 약 15개 리소스 타입에 `set-labels`와 `mark-for-op` 액션이 추가됐습니다. GCP 레이블 컴플라이언스 정책을 운영 중이라면 지금까지 커버하지 못했던 리소스를 정책에 추가하세요.

주요 변경 (5)
  • Breaking change: `aws.iam-access-key`에서 `json-diff` 필터 제거 — 사용 중인 정책은 업그레이드 시 오류 발생
  • 신규 AWS 리소스: `bedrock-foundation-model`, `bedrock-guardrail`, `devops-agent-space` 추가; Bedrock 추론 프로파일에 `metrics` 필터 추가
  • AWS EKS에 `addon` 및 `metrics`(컨테이너 인사이트) 필터 추가; RDS에 `recommendations` 필터 추가; `rds-param-group`, `rds-cluster-param-group` 모두 `unused` 필터 추가
  • EC2와 Lambda에 `iam-role`, `iam-role-tag-mirror` 필터 추가 — 기존 리소스/역할 속성 불일치 버그 수정
  • GCP에서 Firestore, NCC spoke, Redis 클러스터, Vertex AI Model Garden 등 신규 리소스 추가; ~15개 리소스 타입에 레이블 액션 일괄 추가
원문

Open Policy Agent (OPA)

Security2026년 5월 28일

OPA v1.17.0은 부정 처리의 의미론적 버그를 수정하고 결정 로그 레이블 보고를 개선합니다. 대부분 향상 사항이지만 하나의 의존성 제거는 특정 환경에서 수동 GOMAXPROCS 구성이 필요할 수 있습니다.

  • breakingautomaxprocs 및 x/net 의존성 제거됨; 필요시 GOMAXPROCS 수동 구성

    OPA v1.17.0은 automaxprocs와 x/net 의존성을 제거하여 런타임 크기를 줄이고 이 라이브러리를 관리하는 애플리케이션과의 충돌을 제거합니다. automaxprocs 동작(CPU 자동 감지 및 GOMAXPROCS 튜닝)을 명시적으로 의존하지 않으면 조치가 필요 없습니다. 그 동작에 의존한다면 환경이나 배포에서 GOMAXPROCS를 수동으로 구성해야 할 수 있습니다. 대부분의 사용자는 영향을 받지 않습니다.

  • enhancement복합식 부정 의미론 수정을 위해 future.keywords.not 임포트하기

    OPA v1.17.0은 복합식 부정(`not f(g(input.x))`)에서 중간값이 정의되지 않으면 규칙이 조용히 실패하던 오래된 버그를 고칩니다. `future.keywords.not` 임포트를 추가하면 정의되지 않은 중간값이 더 이상 규칙 실패를 일으키지 않고 부정이 올바르게 성공합니다. 입력이나 함수 결과가 정의되지 않을 수 있는 복잡한 식의 부정에 의존하는 정책이 있다면 `future.keywords.not`을 임포트하세요. 정책 평가 동작이 바뀌지만 올바른 방향입니다.

  • enhancement결정 로그 파싱을 새로운 rule_labels 배열 형식에 맞게 업데이트하기

    결정 로그에 새로운 최상위 `rule_labels` 배열이 추가되어 성공적으로 평가된 모든 규칙의 레이블을 하나의 항목에 모읍니다(규칙 > 문서 > 패키지 > 서브패키지 순서로 우선순위 결정). 이전에는 레이블을 기여한 각 범위마다 로그 항목이 하나씩 있었습니다. 결정 로그를 규칙 레이블로 파싱하거나 쿼리한다면 개별 범위 레벨 항목 대신 `rule_labels`를 통합된 레이블 맵의 배열로 읽도록 로그 파싱 로직을 업데이트하세요. 이 변경으로 레이블 집계가 단순해지며 런타임과 Go SDK에서 기본으로 처리됩니다.

주요 변경 (5)
  • 정의되지 않은 중간값을 포함한 복합식 부정 시 직관적이지 않은 실패를 수정하는 `future.keywords.not` 임포트 추가.
  • 결정 로그에 성공적으로 평가된 모든 규칙의 통합된 레이블을 담은 `rule_labels` 배열 추가.
  • 번들 매니페스트 및 IR 계획 JSON 스키마가 검증과 도구 통합을 위해 공개됨.
  • 런타임 크기 감소를 위해 automaxprocs와 x/net 의존성 제거.
  • `json.verify_schema` 및 `json.match_schema` 내장 함수에서 패턴 검증 활성화.
원문

Falco

Security2026년 5월 26일

Falco 0.44.0은 오래 전부터 deprecated된 gRPC 출력, gVisor 엔진, 레거시 BPF 프로브를 최종 제거합니다. 이 중 하나라도 사용 중인 배포 환경은 업그레이드 전 마이그레이션이 필수입니다.

  • securityfalco-webui 로컬 전용으로 제한 — 외부 접근 도구 확인 필요

    falco-webui Docker 서비스가 이제 로컬호스트 접근만 허용하도록 변경됩니다. 네트워크를 통해 webui에 접근하는 대시보드나 도구가 있다면 업그레이드 후 동작이 달라집니다. 보안 측면에서는 바람직한 변경이지만, 외부에서 webui를 호출하는 자동화 스크립트나 모니터링 도구가 있는지 미리 확인하세요.

  • breaking세 가지 기능 제거 — 업그레이드 전 설정 점검 필수

    이번 릴리스에서 gRPC 출력/서버, gVisor 엔진, 레거시 BPF 프로브가 한꺼번에 제거됩니다. gRPC 기반 출력을 쓰고 있다면 HTTP JSON 출력이나 사이드카 방식으로 전환한 뒤 업그레이드해야 합니다. gVisor를 쓰는 팀은 지원되는 엔진으로 바꿔야 하고, 레거시 BPF를 쓰는 팀은 modern eBPF 프로브로 이동해야 합니다. 0.44.0을 프로덕션에 적용하기 전에 현재 falco.yaml과 배포 구성을 반드시 점검하세요.

  • enhancement룰 문법 확장 — 커스텀 룰 파일 유효성 사전 확인 권장

    룰 엔진에 oneof/allof/anyof 문자열 비교 수식자가 추가됐고, 리스트 트랜스포머 예외도 지원됩니다. 커스텀 룰을 관리하는 팀이라면 기존에 중복 조건으로 우회했던 부분을 이 기능으로 간소화할 수 있습니다. 또한 이번 버전부터 룰 파일에 알 수 없는 키가 있으면 오류가 발생합니다. 기존 룰 파일에 오타나 비표준 필드가 있다면 업그레이드 전에 미리 검증해두세요.

주요 변경 (7)
  • gRPC 출력/서버 제거 — 업그레이드 전 출력 방식 마이그레이션 필요
  • gVisor 엔진 제거 — 해당 엔진 사용 중이면 지원 엔진으로 전환 필요
  • 레거시 BPF 프로브 제거 — modern eBPF 프로브로 전환 필요
  • 룰 엔진에 oneof/allof/anyof 문자열 비교 수식자 추가
  • 룰 파일 내 unknown key 검증 — 비표준 필드가 있으면 오류 발생
  • falco-webui Docker 서비스가 로컬호스트 전용으로 제한
  • 캡처 파일에 capture_events, capture_filesize 종료 조건 추가
원문

OpenFGA

Security2026년 5월 20일

v1.16.0은 키 로테이션 후 OIDC 토큰 거부 버그를 수정하고, 실험적 weighted_graph_check의 두 가지 정합성 버그를 패치하며, Go 표준 라이브러리 취약점 대응을 위해 툴체인을 업데이트했습니다.

  • securityOIDC 인증 사용 중이거나 Go stdlib CVE 영향권이라면 즉시 업그레이드

    두 가지 보안 사항이 있습니다. 첫째, 발급자 키를 로테이션한 후 유효한 토큰이 401로 거부되는 현상이 있었다면 JWKS 갱신 버그가 원인입니다. 이번 패치로 미등록 kid 수신 시 JWKS를 즉시 갱신합니다. 둘째, Go 1.24.3이 패치하는 표준 라이브러리 취약점의 영향을 Go 릴리스 노트에서 직접 확인하고, v1.16.0으로 빠르게 업그레이드하세요.

  • breakingweighted_graph_check 사용 중이라면 업그레이드 후 결과 검증 필수

    이전 버전의 weighted_graph_check는 캐시 키 충돌과 고루틴 취소 시 false 결과 캐싱으로 인해 실제로는 허용되어야 할 요청을 거부할 수 있었습니다. 실험적 기능이지만 실제 트래픽에 적용 중이라면, 업그레이드 후 알려진 권한 시나리오로 결과를 검증해 이전 오동작의 영향을 확인하세요.

  • enhancementPingTimeout 설정으로 데이터스토어 연결 문제를 빠르게 감지

    새로 추가된 PingTimeout과 PingRetryMaxElapsedTime으로 시작 시 및 헬스체크 중 데이터스토어 연결 대기 시간을 명시적으로 제어할 수 있습니다. SLO에 맞게 타이트하게 설정해두면, 데이터스토어가 저하된 상태에서 서버가 그냥 올라오는 상황을 예방할 수 있습니다.

주요 변경 (5)
  • OIDC 인증: 미등록 kid 감지 시 JWKS 자동 갱신(분당 1회 제한)으로 키 로테이션 후 토큰 거부 문제 해결
  • Go 툴체인을 1.24.3으로 업데이트하여 표준 라이브러리 보안 취약점 대응
  • 실험적 weighted_graph_check의 union 해석 시 캐시 키 충돌 버그 수정
  • union 단락(short-circuit) 또는 재귀 해석으로 취소된 고루틴이 false 결과를 캐싱하던 버그 수정
  • 데이터스토어 ping 타임아웃 설정 추가: PingTimeout, PingRetryMaxElapsedTime
원문

SPIRE

Security2026년 5월 19일

SPIRE v1.15.0은 HashiCorp Vault 키 관리자 플러그인, rootless Podman 지원, PROXY 프로토콜 속도 제한을 추가하고 sigstore 증명을 정식 기능으로 승격했습니다. CLI JSON 출력 변경 사항은 업그레이드 전 반드시 확인해야 합니다.

  • breaking업그레이드 전 CLI JSON 파싱 코드 전수 점검

    CLI가 JSON 출력 시 객체를 슬라이스로 감싸던 방식이 제거됐습니다. spire-server 또는 spire-agent CLI의 JSON 출력을 파싱하는 스크립트, 파이프라인, 자동화 도구는 배열 대신 단일 객체를 받게 되어 동작이 깨질 겁니다. 프로덕션 배포 전에 비운영 환경에서 반드시 검증하세요.

  • breaking'bootstrapped' 레이블 변경으로 메트릭 쿼리 점검 필요

    메트릭 레이블 오타('bootstraped' → 'bootstrapped')가 수정됐습니다. 기존 레이블명을 참조하는 Prometheus 쿼리, Grafana 대시보드, 알림 규칙이 있다면 업그레이드 후 조용히 매칭이 끊깁니다. v1.15.0 배포 전에 관련 항목을 모두 찾아 수정하세요.

  • enhancementVault 운영 중이라면 Vault Key Manager 플러그인으로 통합 검토

    조직에서 HashiCorp Vault를 이미 운영 중이라면, 별도의 AWS KMS나 Azure Key Vault 없이 키 저장소를 Vault로 통합할 수 있습니다. 온프레미스나 멀티클라우드 환경에서 특히 유용합니다. 다만 기존 키는 자동으로 마이그레이션되지 않으니 키 이관 계획을 별도로 수립한 뒤 전환하세요.

  • enhancementsigstore 증명 프로덕션 적용 시점 도래

    k8s 및 docker 어테스터의 sigstore 기반 증명이 정식 기능으로 승격됐습니다. 실험적 플래그 때문에 도입을 미뤄왔다면 이번 릴리스가 적기입니다. 스테이징 환경에서 셀렉터 동작을 먼저 검증한 뒤 프로덕션에 적용하세요.

주요 변경 (6)
  • HashiCorp Vault Key Manager 플러그인 추가 — AWS KMS, Azure Key Vault 외 새로운 키 저장 옵션 확보
  • CLI JSON 출력 호환성 변경: 객체가 더 이상 슬라이스로 감싸지지 않아 기존 파싱 도구가 깨질 수 있음
  • k8s 및 docker 어테스터의 sigstore 지원이 실험적 단계를 벗어나 정식 기능으로 승격
  • Docker 워크로드 어테스터가 rootless Podman을 지원 — 비루트 컨테이너 런타임 환경 커버리지 확대
  • GCP IIT 노드 어테스터가 서비스 계정 이메일 조회 시 더 이상 'use_instance_metadata: true' 불필요
  • 메트릭 레이블 오타 수정: 'bootstraped' → 'bootstrapped' — 대시보드 및 알림 규칙 업데이트 필요
원문

Kyverno

Security2026년 5월 18일

Kyverno v1.18.1은 v1.18.0에서 발생한 generate 정책 및 mutate-existing 정책의 회귀 버그 두 건을 수정한 패치 릴리스입니다.

  • breaking클러스터 범위 리소스 generate 정책 사용 중이라면 즉시 업그레이드 필요

    v1.18.0에서 ClusterRole, Namespace, CRD 등 클러스터 범위 리소스를 대상으로 한 GeneratingPolicy가 조용히 동작하지 않았습니다. v1.18.1로 업그레이드한 뒤, v1.18.0 운영 기간 동안 생성되었어야 할 리소스가 실제로 존재하는지 확인하고, 누락된 리소스는 수동 생성이나 정책 재트리거로 보정하세요.

  • breakingv1.18.0에서 mutate-existing 정책이 잘못 적용되었을 가능성 있음

    UpdateRequest에 AdmissionRequest 컨텍스트가 전달되지 않아, 요청 정보(사용자 정보, object, oldObject)를 조건이나 패치에 활용하는 규칙이 의도와 다르게 동작했습니다. v1.18.1로 업그레이드한 후 v1.18.0 운영 중 변경된 리소스 상태를 감사하고, 영향받은 리소스를 올바른 상태로 되돌렸는지 검증하세요.

  • enhancementgenerate 또는 mutate-existing 정책 사용자라면 v1.18.0은 건너뛰세요

    두 수정 모두 main 브랜치에서 체리픽된 것으로, 해당 기능을 쓴다면 v1.18.0은 사실상 결함 버전입니다. v1.17.x에서 업그레이드를 검토 중이라면 v1.18.0 대신 v1.18.1부터 테스트를 시작하세요.

주요 변경 (3)
  • GeneratingPolicy에서 클러스터 범위 리소스 생성이 동작하지 않던 버그 수정
  • mutate-existing 정책의 UpdateRequest에 AdmissionRequest가 전달되지 않던 버그 수정
  • 신규 기능 및 API 변경 없음 — 버그 수정만 포함
원문

The Update Framework (TUF)

Security2026년 5월 18일

v7.0.0은 Windows 위임 경로 매칭 보안 취약점(GHSA-qp9x-wp8f-qgjj)을 수정하고, ngclient의 Updater() 생성자 시그니처를 변경한 메이저 릴리스입니다.

  • securityWindows 환경이라면 즉시 v7.0.0으로 업그레이드하세요

    GHSA-qp9x-wp8f-qgjj는 Windows에서 위임 경로 매칭이 의도와 다르게 동작해, 신뢰해서는 안 될 타겟이 검증을 통과할 수 있는 취약점입니다. Windows 클라이언트가 하나라도 있다면 즉시 패치해야 합니다. Linux/macOS는 직접적인 영향은 없지만, 어차피 업그레이드 필요성은 동일합니다.

  • breakingUpdater() 호출 코드 전수 점검 필요

    'bootstrap'이 선택적 인자에서 명시적 키워드 인자로 바뀌었습니다. 기존에 bootstrap을 생략하고 Updater()를 호출하던 코드는 즉시 TypeError가 발생합니다. 코드베이스 전체에서 Updater() 호출 부분을 찾아 bootstrap=None을 추가하는 것으로 간단히 해결됩니다. 호출 지점마다 한 줄 수정이지만, 빠뜨리면 런타임 오류로 직결됩니다.

  • enhancementsecuresystemslib.hash 의존성 제거 예고에 미리 대비하세요

    이번 릴리스는 securesystemslib.hash 제거의 시작점입니다. 커스텀 TUF 확장이나 내부 코드에서 securesystemslib.hash를 직접 import하거나 사용하고 있다면, 차기 릴리스에서 완전히 제거되기 전에 마이그레이션 계획을 세워두는 것이 좋습니다.

주요 변경 (5)
  • Windows에서 위임 경로 매칭이 잘못 동작하던 보안 취약점(GHSA-qp9x-wp8f-qgjj) 수정
  • Updater() 생성자에서 'bootstrap'이 이제 명시적 키워드 인자로 필수화됨
  • 기존 동작을 유지하려면 bootstrap=None을 명시적으로 전달해야 함
  • 향후 securesystemslib.hash 의존성 제거를 위한 사전 준비 작업 포함
  • 문서 오류 다수 수정
원문

Kubescape

Security2026년 5월 8일

Kubescape v4.0.8은 VAP(Validating Admission Policy) 관련 버그 여러 건을 수정하고, deploy-library 명령에 --timeout 플래그를 추가한 패치 릴리스입니다.

  • breakingVAP 레이블 셀렉터 파싱 버그 — 기존 정책 재검증 필요

    기존 코드는 레이블 셀렉터를 '='로 단순 분리했고, DoubleEquals(==) 셀렉터도 잘못 허용했습니다. 복잡한 레이블 셀렉터를 사용하는 VAP 정책을 Kubescape로 생성한 적이 있다면, v4.0.8로 업그레이드 후 반드시 재생성하고 재검증하세요. 이전에 생성된 출력물이 올바르다고 가정하면 안 됩니다.

  • enhancement느린 클러스터에서는 --timeout 플래그로 배포 시간 조정

    deploy-library 명령의 새 --timeout 플래그로 VAP 라이브러리 배포 대기 시간을 직접 지정할 수 있습니다. API 서버 응답이 느린 클러스터나 CI 파이프라인처럼 시간 제한이 엄격한 환경에서는 기본값에 의존하지 말고 명시적으로 설정하세요. 파이프라인에 적용하기 전에 스테이징에서 적정값을 먼저 확인하세요.

  • enhancement클라우드 API 연동 환경에서는 업그레이드 후 스캔 결과 전송 확인

    클라우드 API 초기화 시 커넥터 URL이 설정 객체에 반영되지 않던 버그가 수정됐습니다. Kubescape의 클라우드 연동을 사용하는데 스캔 결과 전송이 불안정했다면, 업그레이드 후 스캔을 한 번 실행해 결과가 백엔드에 정상 도달하는지 확인하세요.

주요 변경 (5)
  • VAP deploy-library 명령에 배포 타임아웃 제어용 --timeout 플래그 추가
  • 레이블 셀렉터 파싱을 문자열 단순 분리 방식에서 쿠버네티스 공식 레이블 파서로 교체 — 복잡한 셀렉터의 오작동 방지
  • K8s 이름 및 네임스페이스 검증에 DNS 레이블 검증 헬퍼 적용
  • writeOutput에서 부모 디렉토리 자동 생성 처리 — 파일 쓰기 실패 문제 수정
  • 정상 종료 시 불필요한 인터럽트 시그널 로그 메시지 제거
원문

Kubescape

Security2026년 5월 8일

Kubescape v4.0.7은 입력 검증 강화, HTTP 핸들러 동시성 안전성 개선, ControlInput CRD 추가, 사이드카 없는 서비스 디스커버리 등 버그 수정과 사용성 개선에 집중한 릴리스입니다.

  • breaking임계값 플래그 조기 검증 — CI 파이프라인 확인 필수

    severity-threshold, compliance-threshold, fail-threshold 플래그가 이제 스캔 시작 전에 검증됩니다. 잘못된 값을 전달하는 스크립트나 CI 잡은 스캔을 완료하지 못하고 즉시 오류와 함께 종료됩니다. 업그레이드 전에 스캔 호출 명령어를 검토해 모든 임계값 플래그에 유효한 값이 지정되어 있는지 확인하세요.

  • enhancement서비스 디스커버리용 사이드카 제거 가능

    서비스 디스커버리가 쿠버네티스 API를 직접 호출하도록 바뀌었습니다. 기존에 Kubescape 서비스 디스커버리를 위해 사이드카를 운영하고 있었다면, 업그레이드 전에 배포 구성을 점검하고 불필요한 사이드카를 제거하세요. 중복 사이드카가 남아 있으면 예상치 못한 동작이 발생할 수 있습니다.

  • enhancementControlInput CRD로 클러스터 내 스캔 정책 중앙화

    새 ControlInput CRD를 사용하면 외부 파일 없이 클러스터 안에서 직접 컨트롤 입력을 관리할 수 있습니다. 라이브 클러스터 스캔에서만 활성화되므로 파일 기반 스캔 워크플로에는 영향이 없습니다. 업그레이드 후 CRD를 적용해 스캔 정책을 클러스터 내에서 통합 관리하는 것을 권장합니다.

주요 변경 (5)
  • 새로운 ControlInput CRD로 클러스터 내 컨트롤 설정 가능 — 라이브 클러스터 스캔 전용, 파일 기반 스캔에는 비활성화
  • 서비스 디스커버리가 사이드카 없이 쿠버네티스 API에서 직접 서비스 정보를 가져오도록 변경
  • HTTP 핸들러의 TLS 키를 환경 변수로 설정 가능하며, TLS 설정이 불완전하면 즉시 오류 반환
  • severity/compliance/fail 임계값 플래그가 스캔 실행 전에 조기 검증됨 — 모든 관련 서브커맨드 적용
  • YAML 파싱 방식을 바이트 분할에서 라인 스캐너로 교체, 버퍼 한도 상향, 파싱 오류가 무시되지 않고 노출됨
원문

OpenFGA

Security2026년 5월 6일

v1.15.1은 Check 데드락, 세마포어 누수, 실험적 가중치 그래프 캐시 충돌 등 운영 안정성에 직결되는 버그를 수정한 패치 릴리스입니다.

  • security`weighted_graph_check` 캐시 충돌은 권한 오판을 유발할 수 있음

    실험적 `weighted_graph_check` 기능을 사용 중이라면, 캐시 키 충돌로 인해 직접 타입·와일드카드·TTU 경로·인터섹션이 포함된 유니온 관계에서 잘못된 Check 결과가 반환될 수 있습니다. 권한 오판은 보안 문제로 직결됩니다. 즉시 업그레이드하고, 당장 업그레이드가 불가능하다면 실험적 기능 플래그를 비활성화하세요.

  • breaking데드락·세마포어 누수 버그로 즉시 업그레이드 필요

    두 가지 버그 모두 운영 환경을 조용히 망가뜨릴 수 있습니다. Check 데드락은 오류 발생 시 메시지 스트림이 닫히지 않아 요청 처리가 점점 고갈되고, bounded tuple reader의 세마포어 누수는 타임아웃이 잦은 환경에서 리소스 고갈로 이어집니다. 설정 변경 없이 업그레이드만으로 해결됩니다. Check 응답 지연이나 컨텍스트 취소 후 리소스 압박을 겪었다면 이 버그들이 원인일 가능성이 높습니다.

  • enhancementListObjects 오류 전파 수정 — 쿼리 결과 재검증 권장

    단락(short-circuit) 처리 시 무시돼야 할 오류가 ListObjects 응답에 잘못 노출되는 버그가 수정됐습니다. 의도치 않은 ListObjects 오류를 경험했다면 이번 수정이 원인을 해결합니다. 업그레이드 후 테스트 스위트에서 ListObjects 동작을 한 번 재확인해 두는 게 좋습니다.

주요 변경 (5)
  • 커맨드 오류 처리 중 발생 가능한 패닉 수정
  • 오류 시 메시지 스트림이 무기한 열린 채로 유지되는 Check 데드락 수정
  • 컨텍스트 취소 시 bounded tuple reader의 세마포어 토큰 누수 수정
  • 실험적 `weighted_graph_check`에서 유니온 다중 분기에 대한 캐시 키 충돌 수정
  • ListObjects에서 경로 단락(short-circuit) 시 오류가 잘못 전파되는 버그 수정
원문

in-toto

Security2026년 5월 4일

in-toto v3.1.0은 sslib 해시 함수를 내재화하고 ruff로 코드 스타일을 전환했습니다. 유지보수 중심 릴리스지만 sslib 의존성 변경은 실무 환경에 영향을 줄 수 있습니다.

  • breakingsslib를 별도로 사용 중이라면 지금 마이그레이션 계획을 세우세요

    in-toto가 sslib의 해시 함수를 직접 내재화한 이유는 sslib가 지원 중단 수순을 밟고 있기 때문입니다. 프로젝트 의존성 트리에서 sslib를 직접 또는 간접적으로 끌어오는 경로가 있다면 지금 확인하고 대체 방안을 마련해야 합니다. in-toto 업그레이드만으로 sslib 문제가 해결된다고 보면 안 됩니다.

  • enhancement`in-toto-run` 반환 코드 전달 동작 변경 — CI 파이프라인을 점검하세요

    기존에는 `in-toto-run`이 래핑된 명령의 종료 코드를 무시해서 CI에서 실패가 묻히는 경우가 있었습니다. 이제 종료 코드가 정상적으로 전달되므로, `in-toto-run` 이후 종료 코드를 검사하는 스크립트나 CI 스텝이 있다면 동작이 바뀌었는지 반드시 확인하세요. 이전에는 통과하던 단계가 실패로 잡힐 수 있습니다.

  • enhancement기여자·패키저라면 개발 환경을 ruff로 맞추세요

    코드베이스 전체가 ruff 기준으로 정리됐습니다. fork를 유지하거나 PR을 올릴 계획이라면 기존 flake8/pylint 설정이 불필요한 충돌을 만들 수 있으니, 로컬 개발 환경을 ruff로 전환한 뒤 작업하는 게 좋습니다.

주요 변경 (5)
  • sslib 해시 함수를 in-toto 내부로 이식 — sslib 지원 중단에 따른 외부 의존성 제거
  • 코드 스타일 도구를 ruff로 전환, 전체 코드베이스에 적용
  • Debian 패키지 의존성 및 빌드 규칙 최신화
  • CLI: `in-toto-run`이 래핑된 명령의 반환 코드를 이제 그대로 전달
  • 파이프라인 및 내용 관련 문서 업데이트
원문

Kubescape

Security2026년 5월 4일

v4.0.6은 스캔 결과의 정확성을 크게 개선한 릴리스로, 네임스페이스 필터 오류, OPA 평가 실패 시 묵시적 누락, CVE 예외 처리 대소문자 구분 버그 등 결과에 직접 영향을 주는 문제들을 수정했습니다.

  • securityCVE 예외 목록의 대소문자 일관성 점검 필요

    이전 버전에서는 이미지 스캔 CVE 예외 매칭이 대소문자를 구분했기 때문에, 소문자로 등록된 'ghsa-xxxx' 예외는 적용되지 않았습니다. 업그레이드 후 예외 목록의 CVE/GHSA ID 표기를 검토하고, 실제로 예외 처리되고 있는 항목을 다시 확인하세요.

  • securityHTTP 핸들러 로그에서 요청 바디 기록 제거 — 기존 로그 검토 권고

    이전까지 Kubescape의 HTTP 핸들러가 스캔 요청 전체 바디를 로그에 기록했는데, 여기에 리소스 매니페스트나 민감한 설정 데이터가 포함될 수 있었습니다. 이번 릴리스에서 해당 로깅이 제거됐습니다. 기존에 수집된 로그에 매니페스트 내용이 포함되어 있을 수 있으므로, 로그 보존 정책을 검토하고 필요시 데이터를 폐기하세요.

  • breaking업그레이드 후 스캔 결과 변화 예상 — 기존의 거짓 통과가 실패로 전환됨

    두 가지 버그로 인해 리소스가 스캔 결과에서 조용히 사라지고 있었습니다. OPA 평가 오류가 무시되던 문제와 GVR 수집 부분 실패가 억제되던 문제가 모두 수정됐습니다. 기존 컴플라이언스 점수가 비정상적으로 깔끔했다면, 업그레이드 후 새로 나타나는 실패 항목은 회귀가 아니라 원래부터 존재했던 문제입니다. 결과 기준선을 재정립해야 할 수 있습니다.

주요 변경 (5)
  • OPA 규칙 평가 실패 시 리소스가 조용히 누락되던 문제 수정 — 이제 오류가 명시적으로 표시됨
  • --include-namespaces 사용 시 클러스터 스코프 리소스 결과가 필터링에서 제외되던 버그 수정
  • CVE 예외 매칭이 대소문자 구분 없이 처리되도록 개선 (소문자 CVE ID 예외 누락 방지)
  • kubescape scan에서 Helm 값 오버라이드 전달 가능, Kustomize 디렉터리 내 Helm 렌더링 지원 추가
  • 원시 스캔 요청 바디 로깅 제거 및 동시 요청 시 예외 파일 경합 조건 수정
원문

Open Policy Agent (OPA)

Security2026년 4월 30일

v1.16.0은 URI 빌트인 함수 추가, Data API 메타데이터 지원, OTLP 메트릭 내보내기와 함께, v1.15.x에서 발생한 로그 유실 버그를 수정한 릴리스입니다.

  • securityunits.parse_bytes 지수 상한 적용 — 타임아웃 우회 차단

    units.parse_bytes에 비정상적으로 큰 지수 값을 넣으면 평가 타임아웃을 유발해 정책 집행을 우회할 수 있었습니다. v1.16.0에서 지수 크기에 상한을 두어 수정됐습니다. 사용자 입력이 units.parse_bytes로 전달되는 정책이 있다면 이번 수정이 직접 해당됩니다. 신뢰할 수 없는 소스에서 바이트 문자열을 파싱하는 정책을 우선 검토하세요.

  • breakingv1.15.x 사용 중이라면 즉시 업그레이드 — 로그가 소리 없이 사라집니다

    v1.15.x의 BufferedLogger 버그로 인해 첫 번째 flush 이후 번들 다운로드 로그, print() 출력, 플러그인 로그가 전부 유실됩니다. 옵저버빌리티 스택에서 조용히 데이터가 손실되는 상황입니다. v1.15.x를 프로덕션에서 운영 중이라면 즉시 v1.16.0으로 업그레이드하고, 그 기간 동안의 로그 파이프라인에 공백이 없는지 확인하세요.

  • enhancementuri.parse / uri.is_valid로 기존 정규식 기반 URL 검증 로직 교체하세요

    지금까지 많은 OPA 정책이 URL 파싱이나 검증에 정규식이나 문자열 조작을 써왔는데, 유지보수가 어렵고 엣지 케이스에 취약합니다. uri.parse는 RFC 3986 기반의 구조화된 컴포넌트(scheme, host, path, query 등)를 반환하고, uri.is_valid는 간결한 boolean 검사를 제공합니다. 리다이렉트 URI, 웹훅 URL, 혹은 URL을 포함하는 입력을 다루는 정책이 있다면 커스텀 파싱 로직을 이 빌트인으로 교체하는 게 낫습니다.

주요 변경 (5)
  • RFC 3986 기반 URI 처리를 위한 uri.parse, uri.is_valid 빌트인 함수 신규 추가
  • Data API에 요청/응답 메타데이터 지원 추가 — 커스텀 필드가 결정 로그의 Custom['request_metadata']에 기록됨
  • Prometheus 메트릭을 OTLP로 내보내기 가능 — 옵저버빌리티 파이프라인 통합에 활용 가능
  • v1.15.x에서 번들 다운로드, print() 호출, 플러그인 로그가 무음으로 유실되던 버그 수정
  • units.parse_bytes의 지수 크기 상한 적용으로 타임아웃 우회 가능성 차단
원문

Kyverno

Security2026년 4월 23일

v1.16.4는 15개 이상의 CVE를 수정한 보안 집중 패치 릴리스로, 네임스페이스 정책에서 HTTP 기본 비활성화 등 동작 변경도 포함됩니다.

  • security즉시 업그레이드 — 공급망 구성 요소 포함 15개 이상 CVE 패치

    sigstore/rekor, go-tuf, docker/cli, Go 표준 라이브러리, Kyverno 자체 코드에 걸쳐 CVE가 수정됐습니다. 이미지 서명 워크플로를 운영 중이라면 rekor와 go-tuf 업데이트가 직접 영향을 줍니다. 다음 정기 유지보수 창에서 업그레이드를 진행하세요. 다음 메이저 사이클까지 미루지 마십시오.

  • breaking네임스페이스 정책에서 HTTP 기본 비활성화 (CVE-2026-4789) — 업그레이드 전 반드시 검증

    평문 HTTP로 외부 데이터를 가져오는 네임스페이스 정책은 이번 업그레이드 후 조용히 동작을 멈춥니다. URL 컨텍스트 소스나 외부 데이터 fetch를 사용하는 ClusterPolicy 또는 Policy 리소스가 있다면, 업그레이드 전에 HTTP(비HTTPS) 엔드포인트 사용 여부를 점검해야 합니다. 해당 엔드포인트를 HTTPS로 전환하거나 HTTPS를 지원하는 데이터 소스로 먼저 마이그레이션하세요.

  • breaking네임스페이스 정책의 ConfigMap 접근 제한 — RBAC 검토 필요

    네임스페이스 정책의 ConfigMap 접근 범위가 축소됐습니다. 정책이 컨텍스트나 설정을 위해 다른 네임스페이스의 ConfigMap을 읽고 있다면, 업그레이드 후 해당 읽기 작업이 실패합니다. 정책 정의에서 크로스 네임스페이스 ConfigMap 참조를 찾아 정책 로직을 수정하거나 접근 권한을 조정한 뒤 배포하세요.

주요 변경 (5)
  • CVE-2026-4789: 네임스페이스 정책에서 HTTP 기본 비활성화 — 단순 의존성 업데이트가 아닌 동작 변경
  • 네임스페이스 정책의 ConfigMap 접근 범위 제한으로 정책 컨트롤러 침해 시 피해 범위 축소
  • 정책 평가 시 요청 인가에 스코프 토큰 사용으로 전환
  • forEach 뮤테이션 패닉 수정 — 특정 mutate 규칙 구성에서 엔진이 크래시되던 버그 해결
  • docker/cli, sigstore/rekor, go-tuf/v2, Go 표준 라이브러리 등 의존성 CVE 다수 해결
원문

Kyverno

Security2026년 4월 23일

v1.17.2는 다수의 CVE 패치와 함께 MutatingPolicy/ValidatingPolicy, 웹훅 재조정 루프, 네임스페이스 정책 처리 버그를 집중 수정한 보안 중심 패치 릴리스입니다.

  • security즉시 업그레이드 필요 — 6개 이상의 CVE 수정

    의존성 라이브러리, Go 표준 라이브러리, 그리고 CVE-2026-4789까지 최소 6개의 CVE가 패치되었습니다. 특히 CVE-2026-4789는 네임스페이스 정책에서 HTTP를 기본 비활성화하는 동작 변경을 수반합니다. HTTP 기반 외부 데이터 소스나 컨텍스트를 사용하는 네임스페이스 정책이 있다면, 업그레이드 전에 해당 설정을 점검하세요. 별도 오류 없이 동작이 중단될 수 있습니다. 스테이징 환경에서 정책 동작을 먼저 검증한 뒤 프로덕션에 적용하는 것을 권장합니다.

  • breaking네임스페이스 정책 동작 변경 — HTTP 비활성화 및 ConfigMap 접근 제한

    네임스페이스 정책에 두 가지 보안 강화가 적용됩니다. HTTP가 기본 비활성화되고, ConfigMap 접근 범위도 축소됩니다. HTTP 엔드포인트에서 컨텍스트를 가져오거나 타 네임스페이스의 ConfigMap을 읽는 정책은 업그레이드 후 오류가 발생하거나 조용히 실패할 수 있습니다. 프로덕션 배포 전에 반드시 네임스페이스 정책 전체를 대상으로 드라이런 또는 감사 스캔을 먼저 실행하세요.

  • enhancement웹훅 재조정 루프 수정 — 대규모 클러스터의 컨트롤러 부하 감소

    웹훅 규칙의 순서가 일관되지 않아 반복적인 재조정 루프가 발생하고, API 서버 부하 증가와 컨트롤러 로그 폭증으로 이어지는 문제가 수정됐습니다. 웹훅 오브젝트 변경이 감사 로그에 끊임없이 찍히거나 kyverno-controller CPU가 비정상적으로 높았다면, 이번 릴리스로 해소될 겁니다. 업그레이드 후 별도 조치는 필요 없지만, 배포 후 컨트롤러 메트릭을 모니터링해 안정화 여부를 확인하세요.

주요 변경 (5)
  • CVE-2026-24051, CVE-2026-15558, CVE-2026-1229, CVE-2026-33186, CVE-2026-34986, CVE-2026-4789 등 다수 CVE 패치 및 Go 표준 라이브러리 CVE 대응
  • CVE-2026-4789 대응으로 네임스페이스 정책에서 HTTP 기본 비활성화 — 기존 설정에 영향 가능
  • 네임스페이스 정책의 ConfigMap 접근 범위 제한 — 보안 강화 목적의 권한 축소
  • 웹훅 및 웹훅 규칙의 순서 일관성 보장으로 무한 재조정 루프 버그 수정
  • forEach 뮤테이션 엔진 패닉 방지, NamespacedGeneratingPolicy UPDATE 시 잘못된 lister 사용 수정, MutatingPolicy/ValidatingPolicy에 사용자 정보 처리 추가
원문

Keycloak

Security2026년 4월 15일

26.6.1은 블라인드 SSRF와 사용자 열거 CVE 두 건을 수정한 보안 패치입니다. 26.6.0 업그레이드 시 커스텀 인증 플로우가 깨지던 치명적 마이그레이션 버그도 함께 수정됐습니다.

  • securitySSRF·사용자 열거 CVE 즉시 패치 필요

    CVE-2026-4366은 HTTP 리다이렉트 처리 과정의 블라인드 SSRF로, Keycloak이 내부 서비스에 접근 가능한 환경이라면 실질적인 위협입니다. CVE-2026-4633은 identity-first 로그인에서 사용자 존재 여부가 노출되어 크리덴셜 스터핑 공격에 악용될 수 있습니다. 즉시 26.6.1로 업그레이드하세요. 업그레이드가 당장 불가하다면 CVE-2026-4633 임시 완화책으로 identity-first 로그인 비활성화를 검토하세요.

  • breaking26.6.0으로 업그레이드했다면 커스텀 인증 플로우 즉시 확인

    26.6.0의 MigrateTo26_6_0 스크립트가 커스텀 브라우저 플로우를 잘못 수정해 릴름 인증을 조용히 망가뜨리는 버그가 있었습니다. 26.6.0 업그레이드 후 로그인 오류나 비정상 플로우 동작을 겪었다면 이 버그가 원인입니다. 26.6.1로 업그레이드하면 마이그레이션 로직은 수정되지만, 이미 손상된 플로우는 수동으로 복구해야 할 수 있습니다. 운영 환경 업그레이드 전 반드시 커스텀 인증 플로우를 점검하세요.

  • breaking26.6.0 JS·Java 어드민 클라이언트 패키지 오류 — 26.6.1로 교체 필요

    26.6.0에서 @keycloak/keycloak-admin-client(JS)와 Java 어드민 클라이언트 모두 패키징 오류로 설치 또는 동기화가 불가능했습니다. 파이프라인이나 애플리케이션에서 26.6.0을 핀닝하고 있다면 현재 동작하지 않을 가능성이 높습니다. 의존성 버전을 26.6.1로 업데이트하세요.

주요 변경 (5)
  • CVE-2026-4366: HTTP 리다이렉트 처리 경로의 블라인드 SSRF 취약점 수정
  • CVE-2026-4633: identity-first 로그인 방식에서 사용자 이름 존재 여부가 노출되던 문제 수정
  • 26.6.0 마이그레이션 스크립트가 커스텀 브라우저 인증 플로우를 손상시키던 버그 수정
  • kc_idp_hint 사용 중 IdP가 access_denied 반환 시 무한 리다이렉트 루프 발생하던 문제 해결
  • DB 저장 데이터 암호화 지원 추가 및 CloudNativePG 1.29 업데이트
원문

cert-manager

Security2026년 4월 11일

webhook.config와 webhook.volumes를 동시에 설정할 때 발생하는 Helm 차트 YAML 생성 버그를 수정하고, 취약점 해소를 위해 Go 1.26.2로 업그레이드한 패치 릴리스입니다.

  • security의존성 취약점 패치 포함 — 다음 유지보수 창에 업그레이드 예약

    Go 런타임과 의존성을 보고된 취약점 해소 목적으로 업데이트했습니다. 릴리스 노트에 구체적인 CVE ID가 명시되진 않았지만, cert-manager는 클러스터 내 인증서 발급을 담당하는 특권적 위치에 있는 컴포넌트입니다. 보안 패치는 미루지 않는 게 좋습니다.

  • breakingwebhook.config와 webhook.volumes를 함께 쓰고 있다면 즉시 업그레이드

    Helm values에 webhook.config와 webhook.volumes를 모두 설정한 환경이라면, 지금까지 잘못된 YAML이 생성됐을 가능성이 높습니다. 웹훅이 의도와 다른 설정으로 배포됐을 수 있으므로, v1.20.2로 업그레이드하고 재배포한 뒤 웹훅 파드의 볼륨 마운트와 설정이 정상인지 반드시 확인하세요.

주요 변경 (3)
  • webhook.config와 webhook.volumes를 함께 설정했을 때 잘못된 YAML이 생성되던 버그 수정
  • Go 런타임을 1.26.2로 업그레이드
  • 보고된 취약점 해소를 위한 Go 의존성 업데이트
원문

Keycloak

Security2026년 4월 8일

Keycloak 26.6.0은 JWT Authorization Grant, Federated Client Auth, Workflows, 무중단 패치 릴리스를 정식 지원으로 격상하면서, UMA·SCIM·Organizations 관련 보안 버그 다수를 수정했습니다.

  • securitySCIM·UMA 보안 취약점 즉시 패치 필요

    SCIM에서 IDOR 방식의 리소스 수정 및 그룹 관리 권한 우회가 가능했던 두 가지 버그가 수정됐습니다. UMA 권한 부여는 만료된 ID 토큰이나 다른 클라이언트용 토큰을 수락하는 문제도 함께 고쳐졌습니다. SCIM이나 UMA를 사용 중이라면 즉시 26.6.0으로 업그레이드하세요. 별도 설정 변경은 불필요하지만, 사용 중인 SCIM 플러그인/익스텐션이 새 유효성 검사와 호환되는지 확인하세요.

  • breaking$ 문자 포함 시크릿은 KCRAW_ 프리픽스로 전환해야 함

    시크릿 매니저 등에서 $ 문자가 포함된 패스워드를 환경변수로 주입할 경우, KC_ 프리픽스는 SmallRye 표현식 평가로 값을 묵시적으로 변조합니다. KC_<KEY> 대신 KCRAW_<KEY>를 사용하면 값이 그대로 유지됩니다. 업그레이드 전에 기존 환경변수를 전수 점검하세요. ${ 또는 $$ 패턴이 포함된 시크릿은 이전 버전에서 이미 깨져 있을 수 있습니다.

  • enhancementOperator 배포에서 무중단 롤링 업데이트 활성화

    무중단 패치 릴리스가 기본 활성화됐습니다. Operator로 Keycloak을 운영 중이라면 업데이트 전략을 명시적으로 Auto로 설정하세요. 아울러 새로 도입된 HTTP Graceful Shutdown 기본값(지연 1초, 타임아웃 1초)을 검토하고, 리버스 프록시의 연결 드레이닝이 더 길게 걸리는 환경(특히 비-Kubernetes 환경이나 장기 연결 사용 구성)에서는 해당 값을 늘려 설정하세요.

주요 변경 (7)
  • JWT Authorization Grant(RFC 7523)와 Federated Client Authentication 정식 지원 — 클라이언트별 시크릿 관리 없이 외부→내부 토큰 교환 가능
  • 무중단 패치 릴리스 기본 활성화 — Operator 사용 시 업데이트 전략을 Auto로 설정해야 효과 적용
  • KCRAW_ 환경변수 프리픽스 도입 — $ 문자 포함 패스워드의 SmallRye 표현식 평가로 인한 묵시적 변조 문제 해결
  • UMA 권한 부여가 만료된 ID 토큰 및 다른 클라이언트 발행 토큰을 거부하도록 수정 (#46716, #46717)
  • SCIM IDOR 버그 수정 — PUT 엔드포인트의 body ID 재정의 공격 및 그룹 관리 권한 우회 패치 (#46658, #47536)
  • OTP와 비밀번호 브루트포스 보호를 기본적으로 분리해 OTP 우회 공격 차단 (#46164)
  • Keycloak 및 KeycloakRealmImport CRD가 v2beta1로 승격
원문

OpenFGA

Security2026년 4월 3일

v1.14.0은 ListObjects의 잠재적 데드락을 수정하고, 교집합 알고리즘 성능을 개선하며, BatchCheck 캐싱을 추가합니다. PostgreSQL 사용자에게 영향을 주는 SQL 직렬화 버그도 함께 수정됩니다.

  • securityPostgreSQL 사용자: SQL 직렬화 수정 적용 필수

    TupleOperation 직렬화 버그와 pgx.ErrNoRows 오류 처리 문제는 PostgreSQL 환경에서 데이터 불일치나 잘못된 오류 처리로 이어질 수 있습니다. Postgres 기반으로 OpenFGA를 운영 중이라면 이 수정 사항만으로도 업그레이드 이유가 충분합니다. 업그레이드 후 튜플 쓰기/읽기 동작을 반드시 검증하세요.

  • breakingCVE-2026-33729 검토 후 즉시 업그레이드

    릴리스 노트에 CVE-2026-33729가 명시적으로 언급됩니다. 마이너 릴리스에 CVE 업데이트가 포함된 경우 즉각 대응이 필요합니다. CVE 세부 내용이 공개되기 전에 v1.14.0으로 업그레이드하고, 배포 환경의 노출 범위를 점검하세요.

  • enhancement고동시성 환경에서 ListObjects 데드락 수정이 핵심

    ListObjects 파이프라인의 데드락은 실제 프로덕션 부하에서만 나타나는 유형의 버그입니다. ListObjects를 대량으로, 특히 동시 호출 환경에서 사용하고 있다면 이 수정이 필수적입니다. 업그레이드 후 실제 동시성 패턴으로 ListObjects 스트레스 테스트를 실행해 안정성을 확인하세요.

  • enhancementBatchCheck 캐싱으로 대규모 권한 검사 레이턴시 절감

    튜플이나 조건이 겹치는 BatchCheck를 반복 호출하는 경우, 새 캐싱 레이어가 레이턴시와 백엔드 부하를 낮춰줄 겁니다. 별도 설정 변경 없이 자동 적용되는 것으로 보이지만, 새로 추가된 튜플 이터레이터 쿼리 통계를 활용해 실제 환경에서 개선 효과를 모니터링하세요.

주요 변경 (5)
  • ListObjects 파이프라인 알고리즘의 잠재적 데드락 수정으로 동시 부하 환경에서의 안정성 향상
  • 교집합(intersection) 알고리즘 개선으로 레이턴시 감소 및 메모리 사용량 절감
  • BatchCheck 결과 캐싱 추가로 중복 권한 검사 요청 감소
  • PostgreSQL 백엔드의 TupleOperation 직렬화 버그 및 pgx.ErrNoRows 오류 처리 수정
  • 튜플 이터레이터 쿼리 통계 추가로 DB 쿼리 동작 관찰 가능성 개선
원문

cert-manager

Security2026년 3월 27일

v1.20.1은 OpenShift 업그레이드 차단 버그, Gateway API의 parentRef 중복 문제, gRPC 의존성 버전 업을 처리한 패치 릴리스입니다.

  • securitygRPC 버전 업은 스캐너 대응 수준 — 실제 위험 없음

    보고된 CVE는 cert-manager의 실제 코드 경로에 영향을 주지 않습니다. 다만 Trivy, Grype 같은 스캐너가 v1.20.0을 플래그하고 있었다면 v1.20.1로 업그레이드하면 해소됩니다. 긴급성은 낮지만, 파이프라인 노이즈를 줄이고 싶다면 업그레이드할 이유는 충분합니다.

  • breakingOpenShift 사용자: v1.20.0 건너뛰고 v1.20.1로 바로 업그레이드

    v1.20.0에서 order 컨트롤러의 ClusterRole에 issuer finalizer 권한이 빠진 채로 릴리스됐습니다. OpenShift는 RBAC 검증이 엄격해 이 문제가 업그레이드 자체를 막았습니다. v1.20.0 적용을 보류 중이었다면 v1.20.1로 직행하세요. 이미 v1.20.0을 적용했다면 업그레이드 후 order 컨트롤러의 ClusterRole에 finalizer 권한이 정상 포함됐는지 확인하세요.

  • enhancementGateway API 사용자: parentRef 중복으로 인한 라우팅 이상 여부 점검

    issuer config와 어노테이션 양쪽에 parentRef를 지정한 설정에서 v1.20.0은 중복된 parentRef 항목을 생성했습니다. 게이트웨이 구현체에 따라 예측 불가한 동작이 발생할 수 있습니다. v1.20.1로 업그레이드한 뒤, 두 방식을 동시에 쓰던 Certificate 리소스들을 점검해 중복이 제거됐는지 확인하세요.

주요 변경 (3)
  • order 컨트롤러에 누락된 issuer finalizer RBAC 추가 — OpenShift 사용자의 v1.20.0 업그레이드 차단 문제 해결
  • issuer config과 어노테이션 양쪽에 parentRef가 지정된 경우 Gateway API에서 중복 항목이 생성되던 버그 수정
  • 스캐너 경보 해소를 위한 google.golang.org/grpc 버전 업 (cert-manager에 실제 영향 없음)
원문

Open Policy Agent (OPA)

Security2026년 3월 26일

OPA v1.15.0은 파일 로테이션을 지원하는 플러그인 로깅 시스템을 추가하고, 커스텀 HTTPAuthPlugin 동작 방식을 변경하며, AWS Web Identity 자격 증명 지원을 확장했습니다.

  • breaking업그레이드 전 커스텀 HTTPAuthPlugin 구현 코드 반드시 점검

    커스텀 HTTPAuthPlugin을 구현한 경우, NewClient()는 이제 Client 인스턴스당 한 번만 호출됩니다. 요청 카운터, 트랜스포트 래핑, 로깅 등 요청별 로직이 NewClient()에 있다면 조용히 오동작하게 됩니다. 업그레이드 전에 플러그인 코드를 검토하고 모든 요청별 로직을 Prepare()로 옮겨야 합니다. OPA 내장 플러그인은 이미 수정되었으므로 커스텀 플러그인을 운영하는 팀만 영향을 받습니다.

  • enhancementfile_logger 플러그인으로 OPA 로그 관리 통합

    새로운 file_logger 플러그인은 구조화된 JSON 로그를 자동 로테이션과 함께 기록하며, server.logger_plugin 하나의 설정 블록으로 런타임 로그와 결정 로그를 모두 처리합니다. 현재 OPA stdout을 tailing하거나 외부 로그 shipper로 파이핑하고 있다면, 파일 로거로 전환해 운영 복잡도를 낮출 수 있습니다. HTTP 번들 엔드포인트 없이도 결정 로그를 안정적으로 수집할 수 있어 저지연 환경에 적합합니다.

  • enhancementEKS 환경에서 IRSA 기반 AWS 자격 증명 네이티브 설정 가능

    EKS에서 IRSA(IAM Roles for Service Accounts)를 사용하는 경우, Web Identity 토큰을 Assume Role 자격 증명 플로우에 직접 쓸 수 있게 됐습니다. 기존에 인스턴스 프로파일 자격 증명이나 수동 토큰 주입으로 우회하던 방식을 정리하고, REST 플러그인 AWS 서명 설정에서 web identity 프로바이더를 사용하도록 업데이트하면 됩니다.

주요 변경 (5)
  • Go의 slog.Handler 기반 로거 플러그인 인터페이스 추가 — 런타임 로그와 결정 로그를 커스텀 목적지로 라우팅 가능하며, lumberjack 기반 파일 로테이션 내장
  • 파괴적 변경: HTTPAuthPlugin.NewClient()가 이제 요청마다 호출되지 않고 한 번만 호출됨 — 요청별 로직은 반드시 Prepare()로 이전 필요
  • AWS Signing에서 Assume Role 플로우에 Web Identity(서비스 어카운트) 자격 증명 지원 추가
  • TLS 클라이언트 인증서 재읽기 주기를 cert_reread_interval_seconds로 설정 가능해졌으며, 콘텐츠 해싱으로 불필요한 파싱 방지
  • 모든 TLS 설정이 서버 수준의 최소 버전 및 암호화 스위트 설정을 상속 — 이전에는 클라이언트별 TLS 설정이 서버 설정과 달라질 수 있었음
원문

OpenFGA

Security2026년 3월 23일

OpenFGA v1.13.0은 AuthZen v1.0 표준 지원, Check v1/v2 캐시 분리, 리졸버 패닉 처리 강화를 주요 변경사항으로 담았습니다.

  • security리졸버 패닉으로 인한 서버 다운 위험 — 즉시 업그레이드 권장

    파이프라인 기본 리졸버에서 처리되지 않은 패닉이 발생하면 OpenFGA 프로세스 전체가 종료될 수 있었습니다. 이번 수정으로 패닉이 에러로 변환되어 서버가 계속 실행됩니다. 복잡한 권한 그래프 평가 중 OpenFGA가 예기치 않게 재시작되는 문제를 겪었다면 바로 이 원인입니다. 가용성에 직접 영향을 주는 수정이므로 빠른 업그레이드를 권장합니다.

  • breakingCheck v1/v2 캐시 분리로 캐시 히트율 변동 가능 — 용량 설정 재검토 필요

    기존에는 Check v1과 v2가 캐시를 공유했는데, 이제 완전히 분리됩니다. 두 API 버전을 동시에 사용하는 환경이라면 전체 캐시 히트율이 낮아지거나 메모리 사용 패턴이 달라질 수 있습니다. 업그레이드 후 캐시 용량 설정을 재확인하고, 모니터링 대시보드에서 캐시 히트율 지표를 주의 깊게 살펴보세요.

  • enhancementAuthZen v1.0으로 크로스 시스템 권한 부여 연동 검토

    AuthZen v1.0은 CNCF 생태계 전반의 권한 부여 API 상호운용 표준으로 자리잡는 중입니다. 여러 정책 엔진을 연동하거나 멀티 시스템 권한 부여 레이어를 구성 중이라면, 이번 릴리스에서 새로운 AuthZen 엔드포인트를 먼저 테스트해 보세요. 지금 도입하면 나중에 구조를 뜯어고치지 않아도 생태계 방향과 자연스럽게 맞춰집니다.

주요 변경 (4)
  • AuthZen v1.0 표준 구현 — CNCF 권한 부여 상호운용성 스펙을 공식 지원
  • Check v1과 v2 API의 캐시가 분리되어 버전 간 캐시 오염 방지
  • 파이프라인 기본 리졸버에서 발생하는 패닉을 잡아 에러로 반환 — 프로세스 크래시 방지
  • List-objects 추적 스팬 개선 — 발신자별 메시지 통계가 단일 스팬으로 집계되어 가시성 향상
원문

OpenFGA

Security2026년 3월 19일

v1.12.1은 OTLP 엔드포인트 URI 파싱 버그를 수정하고, ListObjects 파이프라인 내부를 Go 네이티브 채널로 교체한 유지보수 릴리스입니다.

  • breakinghttps:// 스킴 설정 시 TLS 강제 활성화 — 설정 점검 필요

    OTEL_EXPORTER_OTLP_ENDPOINT에 https:// 스킴을 사용하면 trace.otlp.tls.enabled 값과 무관하게 TLS가 활성화됩니다. 업그레이드 전에 옵저버빌리티 설정을 점검하세요. https:// 엔드포인트를 쓰면서 TLS를 명시적으로 비활성화해뒀던 환경이라면, 이제 TLS가 켜지므로 콜렉터 쪽도 TLS 연결을 받을 수 있는지 확인해야 합니다.

  • enhancementOTLP URI 스킴 문제 해결 — 우회 설정 정리 가능

    기존에는 http://host:4317 형태의 URI를 그대로 넣으면 gRPC 익스포터에 스킴이 그대로 전달돼 오류가 발생했습니다. 스킴을 생략하는 식으로 우회하고 있었다면, 이제 표준 URI 형식을 그대로 써도 됩니다. 배포 설정에서 우회 로직을 제거하고 표준 형식으로 정리하세요.

  • enhancementListObjects 성능 개선 — 별도 조치 없이 업그레이드만으로 효과

    커스텀 Pipe를 Go 네이티브 채널로 대체하면서 ListObjects의 동시 처리 성능이 개선됐습니다. API나 설정 변경은 없습니다. 튜플 검증 로직 리팩터링 효과까지 더해져, ListObjects를 대량으로 호출하는 환경이라면 이번 패치를 적용할 이유가 충분합니다.

주요 변경 (4)
  • ListObjects 파이프라인, 커스텀 Pipe 구현 대신 Go 네이티브 채널로 교체 — 동시성 처리가 더 단순하고 디버깅하기 쉬워짐
  • 튜플 검증 및 조작 함수 리팩터링으로 부하 상황에서 성능 개선
  • grpc-go v1.79.3, grpc-health-probe v0.4.47로 의존성 업그레이드
  • OTEL_EXPORTER_OTLP_ENDPOINT에 http:// / https:// 스킴이 포함된 URI를 정상적으로 처리하도록 수정
원문

Keycloak

Security2026년 3월 19일

Keycloak 26.5.6은 SSRF, 토큰 재사용, IDOR, 권한 상승 등 8개 CVE를 패치하는 긴급 보안 릴리스입니다. 즉시 업그레이드가 필요합니다.

  • security8개 CVE 패치 — 즉시 26.5.6으로 업그레이드

    SSRF, 토큰 재생, 권한 상승, IDOR, 다중 정보 노출 경로를 포함한 8개 CVE가 수정되었습니다. 특히 jwks_uri 경유 SSRF, manage-clients 권한 상승, 인증 세션 오염은 멀티테넌트 또는 외부 노출 환경에서 매우 위험합니다. 별도의 완화 방법은 없으며 업그레이드가 유일한 해결책입니다. 26.x 버전을 운영 중이라면 긴급 패치로 처리하세요.

  • securitymanage-clients 권한 부여 내역 및 동적 클라이언트 등록 설정 점검

    CVE-2026-3121(manage-clients 권한 상승)과 CVE-2026-1180(동적 클라이언트 등록의 jwks_uri SSRF)은 현재 권한 설정과 기능 활성화 여부를 함께 검토해야 합니다. 업그레이드 후 manage-clients를 보유한 사용자·서비스 계정을 감사하세요. OIDC 동적 클라이언트 등록을 사용하지 않는다면 렐름 단위에서 비활성화해 SSRF 공격면을 완전히 제거하세요.

  • breaking업그레이드 후 Operator DB 설정 및 다중 렐름 시작 동작 검증 필요

    26.5.0에서 도입된 Operator의 DB targetServerType=primary 미적용 문제(마스터-레플리카 페일오버 시 연결 검증 실패)와 26.5.4에서 발생한 O(N²) 시작 스캔 회귀가 모두 수정되었습니다. 해당 버그를 경험했다면 업그레이드 후 DB 페일오버 동작과 시작 시간을 반드시 확인하세요. 렐름이 많은 대규모 환경에서는 재시작 속도가 눈에 띄게 빨라질 겁니다.

주요 변경 (6)
  • CVE-2026-1180: OIDC 동적 클라이언트 등록의 jwks_uri를 통한 블라인드 SSRF — 내부 네트워크 탐색 가능
  • CVE-2026-1035: TOCTOU 경쟁 조건을 이용한 리프레시 토큰 재사용 우회 — 토큰 재생 공격 가능
  • CVE-2026-3121: manage-clients 권한을 통한 권한 상승 — 낮은 권한 사용자가 상위 권한 획득 가능
  • CVE-2025-14777: 렐름 클라이언트 생성/삭제 시 IDOR — 무단 클라이언트 조작 가능
  • 버그 수정: AUTH_SESSION_ID 쿠키 재사용으로 재인증 시 세션 오염 발생 — 심각한 데이터 격리 문제 해결
  • 버그 수정: 26.5.4에서 도입된 다수 렐름 환경의 O(N²) 시작 시간 회귀 수정
원문

SPIRE

Security2026년 3월 18일

v1.14.3은 SPIFFE 인증서 체인 검증을 우회할 수 있는 TLS 세션 티켓 취약점을 패치하고, 노드 캐시 재구축 버그와 AWS·페더레이션 관련 안정성 문제를 수정했습니다.

  • securityTLS 세션 티켓 우회 취약점 — 즉시 업그레이드 필요

    SPIRE 서버 TCP 엔드포인트에서 TLS 세션 재개 시 SPIFFE 인증서 체인 검증이 생략될 수 있었습니다. 만료되거나 폐기된 인증서를 가진 클라이언트가 현재 신뢰 번들 검증 없이 재연결할 수 있는 신뢰 경계 위반입니다. v1.14.3으로 즉시 업그레이드하세요. 서버 측에서 자동으로 세션 티켓을 비활성화하므로 별도 설정 변경은 필요 없습니다.

  • security에이전트 로그의 셀렉터 데이터 노출 문제 해결

    셀렉터에는 Kubernetes 파드 레이블, Unix UID, AWS 메타데이터 등 민감한 워크로드 식별 정보가 포함될 수 있습니다. 업그레이드 후에는 에이전트 로그에 더 이상 기록되지 않지만, 기존 로그 파이프라인과 보존 정책을 점검해 과거 로그에 남아 있는 데이터를 확인하세요.

  • breakingPQC 사용자: X25519MLKEM768 마이그레이션 필요

    RequirePQKEM TLS 정책을 활성화한 경우, 알고리즘이 초안 x25519Kyber768Draft00에서 표준 X25519MLKEM768로 변경됩니다. 양쪽 피어 모두 v1.14.3 이상이어야 TLS 핸드셰이크가 성공합니다. 에이전트와 서버를 동시에 업그레이드하는 일정을 조율하세요.

  • enhancement노드 캐시 재구축 버그 — 동적 환경에서 특히 중요

    노드 캐시 재구축이 시작 후 단 1회만 실행되고 이후에는 중단되는 버그가 있었습니다. 워크로드 변경이 잦은 환경에서는 에이전트가 오래된 캐시 데이터를 계속 제공하게 됩니다. v1.14.3에서 자동 수정되며 별도 설정 변경 없이 업그레이드만 하면 됩니다. 동적 환경일수록 에이전트 업그레이드를 서두르세요.

주요 변경 (5)
  • 서버 TCP 엔드포인트의 TLS 세션 티켓 재개(resumption) 비활성화 — 신뢰 번들 검증 우회 가능성 차단
  • 민감 정보 노출 방지를 위해 에이전트 레벨 셀렉터 로깅 제거
  • RequirePQKEM 정책의 알고리즘을 초안 x25519Kyber768Draft00에서 표준화된 X25519MLKEM768로 교체
  • 노드 캐시 주기적 재구축이 최초 1회만 실행되던 버그 수정 — 설정된 인터벌로 정상 반복 실행
  • ReadOnlyEntry.Clone() 버그 수정: Admin 필드 값이 Downstream 필드로 잘못 복사되어 인가 메타데이터가 오염되던 문제 해결
원문

Kubescape

Security2026년 3월 17일

v4.0.3은 소규모 패치 릴리스로, 에어갭 환경을 위한 --grype-db-url 플래그 추가, 호스트 누락 시 에러 미반환 버그 수정, 의존성 업데이트가 주요 변경 사항입니다.

  • securitygo-git v5.16.5 업그레이드 — CVE 여부 확인 후 신속히 적용

    go-git 패치 릴리스에는 git 프로토콜 파싱 관련 취약점 수정이 포함되는 경우가 많습니다. go-git v5.16.5 변경 로그에서 CVE 수정 여부를 직접 확인하고, git 저장소 스캔이나 Kubescape를 라이브러리로 임베딩하여 사용 중이라면 업그레이드를 서두르세요.

  • breaking호스트 누락 시 에러 반환 변경 — 에러 처리 로직 점검 필요

    이전 버전에서는 스캔 대상에 호스트 정보가 없을 때 nil을 반환해 에러가 무시됐습니다. 이 동작에 의존해 exit code 0을 성공으로 처리하던 파이프라인이 있다면, 업그레이드 후 기존에 묻혔던 실패가 표면에 드러날 수 있습니다. 업그레이드 전에 스캔 워크플로우의 에러 처리를 반드시 검토하세요.

  • enhancement에어갭/내부 미러 환경에서 --grype-db-url 활용

    인터넷 직접 접근이 불가한 환경에서 Kubescape를 운영 중이라면, --grype-db-url 플래그로 내부 Grype DB 미러를 지정할 수 있습니다. 기존에 환경 변수 패치나 우회 방법을 쓰고 있었다면 CI 파이프라인이나 오퍼레이터 설정에 이 플래그를 적용하는 편이 깔끔합니다.

주요 변경 (5)
  • kubescape scan 명령에 --grype-db-url 플래그 추가 — Grype 취약점 DB URL 직접 지정 가능
  • 호스트 정보 누락 시 nil 에러를 반환하던 버그 수정 — 스캔 실패가 묵살되던 문제 해결
  • go-git v5.16.5로 업그레이드 (보안/버그 수정 포함 가능성)
  • OpenTelemetry SDK 1.40.0으로 업데이트
  • Grype DB 조회 URL 디버깅을 위한 로그 추가
원문

cert-manager

Security2026년 3월 10일

cert-manager v1.20.0에서 Gateway API ListenerSet 지원, Azure Private DNS 통합, OtherNames 베타 승격과 함께 여러 ACME 및 DNS 관련 버그를 수정했습니다.

  • securityDNS DoS 취약점 수정을 위한 업데이트

    잘못된 DNS 응답으로 컨트롤러 서비스 거부 공격이 가능한 보안 이슈가 수정됐습니다. cert-manager 컨트롤러가 신뢰할 수 없는 DNS 서버나 DNS 트래픽 조작 가능한 네트워크에 노출된 경우 즉시 업데이트하세요.

  • breaking컨테이너 UID/GID 변경으로 보안 컨텍스트 영향

    기본 컨테이너 사용자가 UID 1000에서 65532로, 그룹이 GID 0에서 65532로 변경됐습니다. 이 값들을 하드코딩했거나 루트 그룹 접근에 의존하는 경우 파드 보안 정책, 보안 컨텍스트, 파일 권한을 검토하세요.

  • enhancement내부 인증서 관리용 Azure Private DNS 활성화

    새로운 Azure Private DNS 지원으로 프라이빗 존에서 DNS-01 챌린지가 가능해졌습니다. DNS 레코드를 공개하지 않고 내부 서비스용 인증서를 관리하려면 Azure DNS issuer에 프라이빗 존 설정을 구성하세요.

주요 변경 (5)
  • Gateway API ListenerSet 리소스 지원 (실험적 기능 게이트)
  • DNS-01 챌린지용 Azure Private DNS 존 지원
  • OtherNames 기능 베타로 승격 및 기본 활성화
  • 모든 컨테이너에 네트워크 정책 설정 플래그 추가
  • 커스텀 필드 어노테이션 지원으로 Venafi 프로바이더 기능 강화
원문

Open Policy Agent (OPA)

Security2026년 3월 9일

OPA v1.14.1은 정책 검색 실패를 유발하던 규칙 인덱서 변경사항을 되돌리고 플러그인 매니저 교착상태를 수정한 패치 릴리스입니다.

  • security의존성 보안 업데이트 적용

    Go 1.26.1과 알려진 취약점을 패치한 업데이트된 의존성이 포함되어 있습니다. 특히 운영 환경에서 OPA를 사용한다면 정기 보안 유지보수 일정에 맞춰 이 업그레이드를 진행하세요.

  • breakingv1.14.0 사용 중이면 즉시 업그레이드

    v1.14.0의 규칙 인덱서 변경사항이 일부 설정에서 정책 검색 실패를 야기합니다. 안정적인 정책 평가를 위해 v1.14.1로 배포하세요. 최적화 기능은 v1.15.0에서 적절한 수정과 함께 다시 제공될 예정입니다.

  • enhancement플러그인 매니저 안정성 개선

    교착상태 수정으로 설정 작업 중 발생하던 간헐적 정지 현상이 해결됩니다. 플러그인 설정 과정에서 원인 불명의 OPA 정지를 경험했다면 이 릴리스로 문제가 해결될 것입니다.

주요 변경 (4)
  • v1.14.0에서 정책 검색 실패를 유발했던 규칙 인덱서 최적화 되돌림
  • opa.configure 작업 시 발생하던 플러그인 매니저 간헐적 교착상태 수정
  • Go 1.26.1 업데이트 및 의존성 버전 갱신
  • Golang 표준 라이브러리 및 패키지 취약점 해결
원문

Kyverno

Security2026년 2월 19일

v1.17.1은 CVE 패치, 컨트롤러 패닉/크래시, 레이스 컨디션, 이미지 검증 오류 등 운영 환경에서 조용히 문제를 일으킬 수 있는 버그들을 집중적으로 수정한 패치 릴리스입니다.

  • securityCVE-2025-68121 즉시 패치

    이번 릴리스에서 CVE-2025-68121이 수정됩니다. 릴리스 노트에 상세 내용이 공개되지 않았지만, 어드미션 컨트롤러에서 발생한 CVE는 그 범위와 무관하게 즉각 대응이 필요합니다. v1.17.0을 사용 중이라면 다음 유지보수 창을 기다리지 말고 지금 바로 업그레이드하세요.

  • breaking정책 exclusion에 빈 목록을 사용 중이라면 반드시 점검

    정책 exclusion 블록에 빈 목록을 넣으면 아무것도 제외하지 않는 대신 모든 리소스를 제외하던 버그가 수정됩니다. ClusterPolicy나 Policy에 exclusion 블록이 있다면 지금 바로 검토하세요. 만약 이 잘못된 동작에 의존하고 있었다면, 업그레이드 후 기존에 스킵되던 리소스들이 갑자기 평가 대상이 될 수 있습니다.

  • enhancementTSA 및 프라이빗 레지스트리 기반 이미지 검증 신뢰성 개선

    두 가지 ivpol 수정이 함께 적용됩니다. TSACertChain을 제공할 때 서명 타임스탬프 검증이 정상적으로 활성화되고, 백그라운드 리포트 스캔 시 Kyverno 네임스페이스의 프라이빗 레지스트리 시크릿이 올바르게 사용됩니다. 백그라운드 스캔에서 검증 실패가 반복되거나 TSA 기반 서명 정책이 제대로 동작하지 않았다면, 업그레이드 후 리포트 스캔을 다시 실행해 결과를 확인하세요.

주요 변경 (5)
  • CVE-2025-68121 패치 — v1.17.0 사용 중이라면 즉시 업그레이드 필요
  • generate 응답에 result가 없을 때 메트릭 래퍼에서 발생하던 패닉 수정 — 컨트롤러 크래시로 이어질 수 있었던 문제
  • configuration.IsExcluded()와 ReportsBreaker의 레이스 컨디션 제거 — 동시 요청 처리 시 정확성에 영향을 줬던 버그
  • 이미지 검증(ivpol) 수정: 리포트 스캐너에서 프라이빗 레지스트리 인증 정상화, 다중 서명 어노테이션 검증 버그 해결, TSA 인증서 체인 제공 시 서명 타임스탬프 검증 활성화
  • 정책 exclusion에서 빈 목록이 모든 리소스를 제외하던 잠재적으로 위험한 동작 수정
원문