RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Rook

Storage & Data어제2026년 7월 7일

Rook v1.20.2는 Ceph 오퍼레이터의 버그 수정과 소소한 개선에 집중한 통상적인 패치 릴리스입니다. mgr NetworkPolicy를 ingress 전용으로 강화했고 Ceph는 v20.2.2, ceph-csi-operator는 v1.0.4로 올라갔으며, 별도의 CVE나 API 제거는 없습니다.

  • securitymgr NetworkPolicy를 ingress 전용으로 강화

    mgr용 NetworkPolicy가 ingress 전용으로 제한됩니다. 기존에 mgr로부터 나가는 트래픽을 별도 정책으로 열어둔 경우 영향을 받을 수 있으니, 업그레이드 후 mgr 관련 통신이 정상 동작하는지 확인하세요.

주요 변경 (7)
  • mgr NetworkPolicy를 ingress 전용으로 제한하는 보안 강화
  • Ceph 버전을 v20.2.2로, ceph-csi-operator를 v1.0.4로 업데이트
  • 노드 라벨/어노테이션 변경 시 재조정을 트리거하도록 노드 워처 개선, 초기 캐시 동기화 중에는 스킵하도록 수정
  • 외부 클러스터에서 언마운트 시 VolumeAttachment 리소스가 제대로 삭제되도록 수정
  • 떠 있는 mon의 재스케줄 대기 시간을 단축해 페일오버 응답성 개선
  • Ceph 오퍼랜드 파드용 예시 NetworkPolicy CR 추가 및 Rook 오퍼레이터에서 Ceph 경고를 뮤트하는 API 추가
  • 그 외 소소한 수정 다수: 설정 오버라이드 줄바꿈 처리, OSD 활성화 시 raw activate 폴백 경로에서 불필요한 rbd 디바이스 스캔 제거, 오브젝트 스토어 realm 액세스 키를 URL-safe 문자열로 생성
원문

Vitess

Storage & Data2026년 6월 24일

Vitess v24.0.2는 gRPC 인증 타이밍과 twopcz 값 이스케이프 관련 보안 강화 수정 2건에, 백업/복구, VReplication, vtgate, VTOrc, 커넥션 풀링 전반의 버그 수정을 더한 패치 릴리스입니다. 브레이킹 API나 설정 변경은 명시되지 않았습니다.

  • security보안 강화 수정 2건: gRPC 인증 타이밍, twopcz 반사값 처리

    static gRPC 인증 플러그인의 비밀번호 비교에서 발생하던 타이밍 사이드채널과 twopcz 핸들러의 반사값 이스케이프 누락을 수정했습니다. 두 건 모두 조건 없이 적용되므로, gRPC static auth를 쓰거나 twopcz 엔드포인트를 노출하는 환경이라면 v24.0.2로 업그레이드를 권장합니다.

주요 변경 (7)
  • servenv: static gRPC 인증 플러그인이 이제 상수 시간 비밀번호 비교를 사용해 타이밍 사이드채널을 막았습니다.
  • tabletserver: twopcz 핸들러가 반사되는 폼 값을 이스케이프 처리해 반사형 인젝션 가능성을 제거했습니다.
  • smartconnpool 다건 수정: MaxLifetime 지터, reopen 후 refresh worker 유지, idle reopen 정지, close 데드락, Setting 보존, closed pool에서의 SetCapacity 거부 처리.
  • VTOrc: PrimaryIsReadOnly 복구와 PrimarySemiSyncBlocked 사이의 데드락을 해결했고, errant GTID 해소 시 게이지 값을 초기화합니다.
  • VReplication/vtgate: reshard 수렴 시 vstream StopOnReshard가 멈추는 문제, 교체된 태블릿의 취소된 연결 확인에서 오는 오래된 healthcheck 업데이트, binlog 디코딩 시 DECIMAL JSON 선행 0 처리를 수정했습니다.
  • vtgate: Filter 스트리밍 경로가 ToBoolean()을 사용해 정확한 결과를 내도록 고쳤고, OLAP/스트리밍 모드의 prepared statement에 전용 플랜을 적용합니다.
  • 그 외 소소한 수정 6건 정도: mysqlctl 원격 종료 타임아웃 전파, 백업 중 lastErr 초기화, discovery의 keyspaceState 누수, etcd2topo 락 정리 RPC 범위 제한, vttablet Stream의 스키마 덮어쓰기 문제.
원문

Vitess

Storage & Data2026년 6월 24일

v23.0.5는 버그 수정 중심의 패치 릴리스로, 보안 수준 강화 2건(심각도 medium)이 포함됩니다. 연결 풀링, 쿼리 플래닝, VReplication, VTOrc, 토폴로지, 백업/복구 전반에 걸쳐 수정이 이뤄졌으며 API, 설정, 기본값 변경은 없습니다.

  • security정적 gRPC 인증 플러그인의 타이밍 안전 비밀번호 비교

    정적 gRPC 인증 플러그인이 이제 비밀번호 비교에 일정 시간(constant-time) 알고리즘을 사용합니다. 정적 gRPC 인증을 쓰는 모든 배포에 적용됩니다.

  • securitytwopcz 핸들러의 반사 입력 이스케이프 처리

    twopcz 디버그 핸들러가 폼 입력값을 이스케이프 처리하여 반사형 입력 삽입을 차단합니다. twopcz 핸들러 엔드포인트에 접근 가능한 배포에 적용됩니다.

주요 변경 (7)
  • 보안 수정 2건(심각도 medium): 정적 gRPC 인증 플러그인의 타이밍 안전 비밀번호 비교, twopcz 핸들러의 반사 입력 이스케이프.
  • smartconnpool 연결 생명주기 버그 다수 수정: 만료된 대기자에 반환된 연결이 전달되는 문제, MaxLifetime 지터, reopen 후 refresh 워커 소실, 유휴 reopen 중단, close 데드락, 닫힌 풀에서 SetCapacity 거부 처리.
  • VTOrc의 forgetAliases 캐시 초기화 데이터 레이스, PrimaryIsReadOnly 복구와 PrimarySemiSyncBlocked 간 데드락, errant GTID 해소 후 CurrentErrantGTIDCount 게이지가 초기화되지 않는 버그를 각각 수정.
  • VReplication 바이너리로그에서 DECIMAL JSON 값(예: 0.1)의 선행 0 보존 및 불필요한 선행 0 제거 처리가 이전 수정에서 누락된 케이스까지 완전히 적용.
  • VTGate 플래너가 DML IN/NOT IN 서브쿼리를 ListArg 플레이스홀더로 올바르게 대체하도록 수정; Filter 스트리밍 경로의 ToBoolean() 오류 수정 및 OLAP/스트리밍 모드 prepared statement 전용 플랜 생성 추가.
  • vstream StopOnReshard의 reshard 수렴 시 행 현상 수정, 교체된 태블릿의 취소된 연결 확인에서 발생하는 오래된 헬스체크 업데이트 제거.
  • 그 외: mysqlctl 원격 종료 타임아웃 전파 오류, Discovery keyspaceState 누수, etcd2topo 잠금 획득 정리 RPC 무한 증가, vttablet Stream의 비-키스페이스 필드 스키마 덮어쓰기 버그 수정.
원문

Rook

Storage & Data2026년 5월 27일

Rook v1.19.6은 OSD 디바이스 클래스 처리, Prometheus 메트릭 라벨링, 네트워크 계층 의존성 취약점을 다루는 제한된 범위의 패치 릴리스입니다. 이미 운영 중인 Ceph 클러스터의 운영 안정성 개선에 중점을 두었습니다.

  • securitygolang.org/x/net 취약점 패치

    Rook v1.19.6은 golang.org/x/net을 두 번 업데이트합니다(govulncheck CI 실패 및 GO-2026-5026 해결). 높은 트래픽 환경이나 신뢰할 수 없는 네트워크 입력을 처리하는 Rook을 운영 중이라면, golang.org/x/net 권고사항에서 구체적 취약점을 확인하세요. 1.19.6으로 업그레이드하면 패치된 의존성을 상속받습니다. Rook 인스턴스가 신뢰할 수 없는 소스에 네트워킹 로직을 노출한다면 지연하지 말고 업그레이드하세요.

  • enhancementraw-mode에서 OSD 디바이스 클래스 감지 수정

    OSD 디바이스 클래스 처리가 raw-mode prepare 및 reconcile 작업에서 올바르게 작동합니다(#17407). 빠른 스토리지(NVMe)와 느린 스토리지(HDD)를 분리하기 위해 디바이스 클래스를 사용 중이라면, 업그레이드 후 OSD 토폴로지가 올바른 디바이스 클래스를 반영하는지 확인하세요. `ceph osd crush tree`를 확인하고 OSD 가중치 분배를 검토하여 배치 규칙이 의도대로 작동하는지 확인하세요.

  • enhancementPrometheus 메트릭에 cluster 라벨 추가

    Prometheus 스크레이프 메트릭에 upstream Ceph 규칙의 `cluster` 라벨이 포함됩니다(#17544). 여러 Ceph 클러스터에서 Rook 메트릭을 수집한다면, 이 라벨 추가로 메트릭 카디널리티가 개선되고 충돌이 방지됩니다. 기존 라벨 세트에 의존하는 Prometheus 규칙, 대시보드, 알림을 업데이트하세요. 프로덕션 외 환경에서 먼저 테스트하여 PromQL 쿼리 오류를 잡으세요.

주요 변경 (8)
  • upstream Ceph 변경사항에 맞춰 Prometheus 규칙 업데이트; 모든 스크레이프 메트릭에 cluster 라벨 추가
  • OSD 디바이스 클래스가 raw-mode prepare 및 reconcile에서 인식됨
  • golang.org/x/net 패치로 네트워크 계층 취약점 해결(GO-2026-5026)
  • 래핑된 컨텍스트 deadline 오류 발생 시 자체 서명 인증서 생성 재시도 로직 추가
  • 모니터 상태 확인 반복마다 노드 존재 여부 확인
  • cmd-reporter 파드에 기본 ResourceRequirements 추가
  • dmcrypt 경로에 대한 암호화 라벨 감지 개선
  • rook-ceph-exporter의 DNS 정책 수정
원문

Harbor

Storage & Data2026년 5월 11일

Harbor v2.14.4는 세션 관리 버그, 스캐너 API 오류, DockerHub 토큰 인증 문제를 수정한 패치 릴리스로, Go 1.25.9 업그레이드와 보안 의존성 패치가 포함됩니다.

  • securitygo-jose 및 OTel SDK 보안 패치 포함 — 즉시 업그레이드 권장

    go-jose/go-jose와 go.opentelemetry.io/otel/sdk 패키지가 명시적으로 업데이트됐는데, 이런 경우 대부분 CVE 대응입니다. 외부 트래픽에 노출된 Harbor 인스턴스나 민감한 레지스트리 자격증명을 다루는 환경이라면 우선 적용하세요. v2.14.3에서 v2.14.4는 패치 버전 업그레이드라 호환성 위험이 낮습니다.

  • breaking세션 동작 변경 — 운영 배포 전 SSO 및 장기 세션 테스트 필수

    백그라운드 탭을 열어둔 상태에서 세션이 자동 유지되던 동작이 이번 수정으로 사라집니다. 설정된 세션 타임아웃대로 만료되므로, Harbor config의 세션 만료 시간을 재확인하고 사용자에게 변경된 동작을 사전 공지한 뒤 운영 환경에 적용하세요.

  • enhancementDockerHub 복제가 실패 중이라면 이 패치로 해결됩니다

    DockerHub API 변경 이후 복제 실패가 발생했다면 /v2/auth/token 엔드포인트 수정으로 해결됩니다. 업그레이드 후 DockerHub 복제 규칙을 수동으로 실행해 복제 작업 로그를 확인하세요. 자격증명 없이 배포 인스턴스를 편집할 때 발생하던 버그도 함께 수정됐으니 관련 설정도 재검증하세요.

주요 변경 (5)
  • 백그라운드 폴링이 세션 TTL을 갱신하지 않도록 수정 — 의도치 않은 세션 연장 방지
  • SessionRegenerate의 저장 인자 및 유효기간 처리 오류 수정
  • DockerHub 복제 어댑터가 /v2/auth/token 엔드포인트를 사용하도록 변경 — 허브 이미지 복제 실패 해결
  • 스캐너 API 버그 수정 — Trivy 등 Harbor API 연동 스캐너에 영향
  • Go 1.25.9 업그레이드, photon:5.0 베이스 이미지 적용, go-jose 및 OpenTelemetry SDK 의존성 버전 업
원문

Vitess

Storage & Data2026년 5월 7일

v23.0.4는 VTOrc·VTGate·ERS의 패닉 및 데드락, VReplication과 라우팅 규칙의 무결성 버그를 집중적으로 수정한 패치 릴리스입니다.

  • securityGo 1.25.9 업그레이드 — 커스텀 빌드 환경 확인 필요

    이번 릴리스 사이클에서 Go 런타임이 1.25.8에서 1.25.9로 올라갔습니다. 소스 빌드나 커스텀 이미지를 유지하고 있다면 go1.25.9로 재빌드해서 Go 패치 레벨의 런타임 수정사항을 반영하세요.

  • breakingERS 또는 세미싱크 복제를 사용 중이라면 즉시 업그레이드 필요

    ERS 관련 버그 세 건이 한꺼번에 수정됐습니다. errant GTID 감지 중 nil 포인터 패닉, 취소 로직 오류, 그리고 ERS 실패 후 레플리카 IO 스레드가 재시작되지 않는 문제입니다. 어느 하나라도 발생하면 페일오버 후 클러스터가 비정상 상태로 남을 수 있습니다. VTOrc로 세미싱크를 운영 중이라면 ReplicationStopped + PrimarySemiSyncBlocked 데드락 수정도 동일하게 중요합니다. 복구 자체가 완전히 멈출 수 있거든요. 늦어도 다음 유지보수 창 전에 업그레이드하세요.

  • enhancement멀티 키스페이스 환경에서 라우팅 규칙 동작 재검증 권장

    VTGate가 스키마 트래커 업데이트 후 라우팅 규칙을 재빌드하지 않고, 라우팅 규칙 AST 재작성 시 타깃 키스페이스를 유실하는 버그가 수정됐습니다. 두 버그 모두 쿼리는 성공처럼 보이지만 실제로는 엉뚱한 키스페이스로 라우팅될 수 있습니다. 멀티 키스페이스에서 라우팅 규칙을 쓰고 있다면 업그레이드 후 트래픽 경로를 반드시 검증하세요.

주요 변경 (5)
  • VTOrc: ReplicationStopped + PrimarySemiSyncBlocked 동시 복구 시 발생하던 데드락 수정
  • EmergencyReparentShard(ERS): errant GTID 감지 시 nil 포인터 패닉, reparentReplicas() 취소 로직 오류, ERS 실패 후 레플리카 IO 스레드 미재시작 수정
  • VTGate: 스키마 트래커 업데이트 후 라우팅 규칙이 재빌드되지 않던 버그, AST 재작성 시 타깃 키스페이스가 유실되던 버그 수정 — 둘 다 쿼리가 잘못된 키스페이스로 라우팅될 수 있는 조용한 결함
  • VTGate: 셧다운 이후 버퍼가 재시작되지 않도록 수정, 제어된 재시작 시 커넥션 폭증 방지
  • Go 런타임 go1.25.9로 업그레이드, vitessdriver의 바이너리 결과값 문자열 반환 회귀 수정
원문

Harbor

Storage & Data2026년 5월 6일

Harbor v2.15.1은 CVE 패치, GC 작업의 Redis 자격증명 노출 수정, 세션 TTL 갱신 버그 등 보안 및 동작 오류 수정에 집중한 패치 릴리스입니다.

  • securityGC 작업에서 Redis 자격증명 노출 — 즉시 업그레이드 및 비밀번호 교체 필요

    이전 버전에서는 GC 작업이 Redis URL(인증 정보 포함)을 extra attributes에 평문으로 저장했습니다. 이 데이터는 Harbor API를 통해 조회 가능하며 로그에도 남을 수 있습니다. Redis 인증을 사용 중이라면 기존에 수집된 GC 작업 메타데이터에 자격증명이 포함됐을 수 있으니, v2.15.1로 업그레이드한 뒤 Redis 비밀번호를 교체하세요.

  • security베이스 이미지 CVE 패치 — 다음 스캔 주기 전에 업그레이드 권장

    Photon 베이스 이미지가 CVE 수정을 위해 업데이트됐습니다. v2.15.0을 운영 중인 환경에서는 취약점 스캐너가 기존 이미지를 계속 플래그할 겁니다. 감사 이슈로 번지기 전에 v2.15.1로 업그레이드해 두세요.

  • enhancement세션 만료 동작 변경 — 유휴 사용자 로그아웃 가능성 사전 공지 필요

    UI 백그라운드 폴링이 매번 세션 TTL을 초기화하면서 실질적으로 세션이 만료되지 않는 문제가 있었습니다. 이제 설정된 유휴 시간이 지나면 세션이 정상적으로 만료됩니다. 컴플라이언스 목적으로 세션 타임아웃을 설정한 조직에는 반가운 수정이지만, 사용자들이 갑자기 로그아웃되는 상황을 겪을 수 있으니 사전에 공지하는 것이 좋습니다.

주요 변경 (5)
  • CVE 수정을 위해 Photon 베이스 이미지 업데이트, 최종적으로 goharbor/photon:5.0으로 고정
  • GC 작업의 extra attributes에서 Redis URL(자격증명 포함)이 노출되던 문제 수정
  • UI 백그라운드 폴링이 세션 TTL을 자동 갱신하던 동작 차단 — 유휴 세션이 이제 실제로 만료됨
  • DockerHub 어댑터가 bearer 토큰 획득 시 올바른 /v2/auth/token API를 호출하도록 수정
  • go-jose 및 OpenTelemetry SDK 의존성 업그레이드, Go 런타임 1.23.9로 갱신
원문

Vitess

Storage & Data2026년 4월 30일

Vitess v24는 구조화 JSON 로깅을 기본 채택하고, 샤드 키스페이스에서 윈도우 함수 푸시다운을 지원하며, 백업 MANIFEST 명령 주입 취약점을 차단합니다. 총 460개 PR이 병합됐습니다.

  • security백업 MANIFEST 명령 주입 취약점 기본 차단

    v24 이전에는 백업 스토리지 쓰기 권한을 가진 공격자가 MANIFEST 파일을 수정해 VTTablet 복구 시 임의 셸 명령을 실행할 수 있었습니다. v24부터 --external-decompressor-use-manifest 플래그 없이는 MANIFEST의 압축 해제 명령이 무시됩니다. v23 이하를 운영 중이라면 백업 스토리지 접근 제어를 보안 경계로 간주하고 쓰기 권한 보유자를 즉시 감사하세요.

  • breaking백업 복구 설정에서 MANIFEST 압축 해제 동작 확인 필요

    --external-decompressor 플래그 없이 MANIFEST에 저장된 명령으로 압축 해제에 의존하던 환경이라면, v24에서 복구 시 압축 해제가 묵시적으로 건너뛰어져 복구 자체가 실패할 수 있습니다. 기존 동작을 유지하려면 VTTablet 설정에 --external-decompressor-use-manifest를 추가하세요. 다만 보안 고려가 필요합니다 — 백업 스토리지 쓰기 권한이 있는 공격자가 임의 명령을 실행할 수 있는 경로가 됩니다. --external-decompressor로 명시적으로 전달하는 방식으로 전환하는 것이 더 안전합니다.

  • breakingVTOrc API 엔드포인트와 메트릭 참조 즉시 교체

    /api/replication-analysis는 v24에서 404를 반환합니다. 해당 URL을 호출하는 모니터링 스크립트, Grafana 대시보드, 알림 규칙이 있다면 프로덕션 배포 전에 /api/detection-analysis로 전환하세요 (파라미터와 응답 형식 동일). DiscoverInstanceTimings를 사용하는 대시보드도 DiscoveryInstanceTimings로 교체해야 합니다.

  • enhancementOpenTelemetry 트레이싱 마이그레이션은 지금 하세요

    opentracing-jaeger와 opentracing-datadog는 v24에서 지원 중단 경고가 나오고 v25에서 완전히 제거됩니다. 마이그레이션 자체는 간단합니다. --tracer opentracing-jaeger를 --tracer opentelemetry로, --jaeger-agent-host host:port를 --otel-endpoint host:4317로 바꾸면 됩니다. Jaeger v1.35 이상은 기본적으로 4317 포트에서 OTLP를 수신하고, Datadog는 Agent의 OTLP 수집 엔드포인트를 사용하면 됩니다. 이번 업그레이드 주기에 처리하는 편이 낫습니다.

  • enhancementVTOrc에 --cell 플래그 지금 추가하세요

    v24에서는 선택 사항이지만 v25부터 필수가 됩니다. 멀티셀 환경이라면 지금 추가하는 것이 좋습니다. 기동 시 토폴로지 검증으로 설정 오류를 조기에 잡을 수 있고, 향후 VTOrc의 크로스셀 복구 로직도 이 플래그를 기반으로 동작할 예정입니다. 다운타임 없이 플래그 하나로 v25 강제 변경을 미리 피할 수 있습니다.

주요 변경 (6)
  • 구조화 JSON 로깅이 기본값으로 변경 (사람이 읽기 쉬운 형식은 --log-format=text; glog는 v25에서 제거)
  • PARTITION BY 절이 유니크 vindex와 일치할 때 윈도우 함수를 샤드별로 푸시다운 가능 — 단일 샤드 라우팅 강제 해제
  • 백업 MANIFEST의 외부 압축 해제 명령을 기본적으로 무시 (보안 수정); --external-decompressor-use-manifest 플래그로 명시적 opt-in 필요
  • OpenTracing 백엔드(jaeger, datadog) 지원 중단 예고 — v25 이전에 --tracer opentelemetry로 마이그레이션 필요
  • VTOrc /api/replication-analysis 엔드포인트와 DiscoverInstanceTimings 메트릭 제거 — 대시보드 및 스크립트 즉시 업데이트 필요
  • VTGate의 --grpc-send-session-in-streaming 플래그 제거 — 스트리밍 응답에서 세션이 항상 전송됨
원문

TiKV

Storage & Data2026년 4월 14일

TiKV v8.5.6은 컬럼 수준 권한 관리, 다차원 슬로우 쿼리 규칙, FK 체크 공유 잠금 지원과 함께 crossbeam skiplist 메모리 누수, 비관적 트랜잭션 데이터 불일치 등 주요 버그 13건을 수정했습니다.

  • security컬럼 수준 권한으로 민감 데이터 격리 — 기존 권한 설정을 재검토하세요

    TiDB가 MySQL 호환 컬럼 수준 GRANT/REVOKE를 지원합니다. 지금까지 뷰(View) 기반으로 특정 컬럼(PII, 금융 데이터 등) 접근을 제한했다면 이제 권한 레이어에서 직접 제어할 수 있습니다. 민감 컬럼이 포함된 테이블을 감사하고 최소 권한 원칙에 따라 컬럼 수준 GRANT를 적용하세요. 기존 권한 감사 결과가 컬럼 수준 제어를 반영하지 못했을 수 있으므로 사용자 권한 목록을 전면 재검토할 필요가 있습니다.

  • breaking통계 Version 1 지금 바로 마이그레이션 — 다음 릴리스에서 제거됩니다

    이번 릴리스에서 tidb_analyze_version=1이 공식 deprecated 처리됐고, 향후 버전에서 제거됩니다. 모든 인스턴스에서 SHOW VARIABLES LIKE 'tidb_analyze_version'으로 현황을 확인하세요. v1을 사용 중인 경우 v2로 전환하고 해당 테이블에 ANALYZE를 다시 실행해야 합니다. Version 2는 히스토그램 정확도가 더 높고 앞으로 유일하게 지원되는 방식입니다. 제거 시점에 쫓기기 전에 미리 전환하는 게 낫습니다.

  • enhancementFK 체크 공유 잠금 활성화로 쓰기 집중 워크로드 경합 해소

    소수의 부모 테이블 행을 참조하는 자식 테이블에 고동시 INSERT/UPDATE가 발생한다면 현재 배타적 잠금 경합이 심할 겁니다. tidb_foreign_key_check_in_shared_lock=ON으로 설정하고 스테이징에서 벤치마크해 보세요. 부모 테이블에 공유 잠금을 사용하면 FK 체크가 서로를 블록하지 않습니다. 잠금 의미 구조가 바뀌는 만큼 운영 적용 전 반드시 검증이 필요합니다. 비관적 트랜잭션 환경이라면 prewrite 재시도 불일치 버그(#11187) 수정도 포함됐으므로 TiKV 노드 패치 버전을 확인하세요.

주요 변경 (6)
  • 컬럼 수준 GRANT/REVOKE 지원 — MySQL과의 오랜 권한 호환성 격차 해소
  • tidb_slow_log_rules로 인스턴스/세션/SQL 단위에서 Query_time, Digest, Mem_max, KV_total 등 복합 조건 기반 슬로우 쿼리 로그 세밀 제어 가능
  • tidb_foreign_key_check_in_shared_lock=ON 설정 시 FK 체크에 공유 잠금 사용 — 대용량 자식 테이블 동시 쓰기 경합 완화
  • TiKV에 부하 기반 컴팩션 도입 — MVCC 읽기 오버헤드를 감지해 핫 Region을 자동으로 우선 컴팩션
  • 통계 Version 1(tidb_analyze_version=1) 및 TiDB Lightning 웹 UI 지원 중단(v8.5.7에서 제거 예정)
  • crossbeam skiplist 메모리 누수, 비관적 트랜잭션 prewrite 재시도 시 데이터 불일치, 디스크 가득 찬 노드에서 팔로워 읽기 차단 등 핵심 버그 수정
원문

Rook

Storage & Data2026년 3월 24일

Rook v1.18.10은 OSD 안정성 버그 수정, RBAC 권한 축소, Ceph 익스포터 및 NFS 운영 개선에 집중한 패치 릴리스입니다.

  • security업그레이드 후 Rook RBAC 확인 필요 — nodes/proxy 권한 삭제됨

    오퍼레이터의 nodes/proxy RBAC 권한이 제거됐습니다. Rook 오퍼레이터 ServiceAccount에 해당 권한이 있다고 가정하는 커스텀 모니터링 도구나 파이프라인이 있다면 업그레이드 후 조용히 깨질 수 있습니다. 프로덕션 적용 전에 오퍼레이터 ServiceAccount를 사용하는 도구와 대시보드를 먼저 점검하세요.

  • breaking암호화 OSD 사용 클러스터는 업그레이드 후 키 로테이션 검증 필요

    암호화 OSD의 lockbox 키 로테이션 로직이 변경됐습니다. 비프로덕션 환경에서 먼저 업그레이드한 뒤 키 로테이션이 정상 동작하는지 직접 확인하세요. CephX 키 초기화 시 실패해도 기존 키를 보존하는 동작 변경도 에러 복구 시나리오에 영향을 줄 수 있으므로, 기존에 문서화된 장애 복구 절차도 함께 재검증하는 것이 좋습니다.

  • enhancementCephNFS에서 커스텀 이미지 지정 가능 — 매니페스트 업데이트 고려

    spec.server.image와 spec.server.imagePullPolicy 필드가 새로 생겨서 CephNFS 리소스별로 NFS Ganesha 이미지를 직접 지정할 수 있습니다. 규정 준수 목적으로 이미지를 고정하거나 패치된 이미지를 테스트해야 할 때 유용합니다. 기존에 우회 방법을 쓰고 있었다면 CephNFS 매니페스트를 정리할 좋은 시점입니다.

주요 변경 (5)
  • reconcile 시 고아 상태의 ceph-exporter 디플로이먼트 자동 정리
  • RBAC에서 nodes/proxy 권한 제거 — 오퍼레이터의 클러스터 권한 범위 축소
  • 암호화 OSD의 lockbox 키 로테이션 로직 수정
  • CephX 키 초기화 시 실패해도 기존 키를 덮어쓰지 않도록 변경
  • CephNFS에 spec.server.image 및 spec.server.imagePullPolicy 필드 추가
원문

Harbor

Storage & Data2026년 3월 20일

Harbor v2.15.0은 프록시 캐시 연결 제한, 엔드포인트별 CA 인증서, Cosign v3 지원과 함께 베어러 토큰 보안 취약점 수정 및 Trivy 공급망 사고 대응 업데이트를 포함합니다.

  • security즉시 업그레이드 필요: Trivy 공급망 사고 및 베어러 토큰 우회 취약점

    이번 릴리스에 보안 이슈 두 건이 포함되어 있습니다. Trivy 공급망 사고로 인해 v0.69.3으로 긴급 업데이트됐으므로, 다음 스캔 실행 전에 반드시 적용해야 합니다. 베어러 토큰 수정은 프로젝트 생성 이전에 발급된 토큰을 거부하는 인가 우회 패치입니다. 두 이슈 모두 정기 유지보수를 기다리지 말고 빠르게 업그레이드하는 것을 권장합니다.

  • breakingGCR 복제 어댑터 제거 — 업그레이드 전 기존 복제 규칙 마이그레이션 필수

    Google Container Registry 어댑터가 완전히 제거됐습니다. GCR을 대상으로 하는 복제 규칙이 있다면 업그레이드 후 조용히 실패하게 됩니다. v2.15.0 업그레이드 전에 해당 규칙을 Artifact Registry(GAR) 엔드포인트로 전환하세요. GCR을 바라보는 프록시 캐시 프로젝트도 동일하게 재구성이 필요합니다.

  • enhancement프록시 캐시 업스트림 연결 수 제한으로 레이트 리밋 충돌 방지

    새로운 `max_upstream_conn` 파라미터로 프록시 캐시 프로젝트별 아웃바운드 연결 수를 조절할 수 있습니다. Docker Hub처럼 레이트 리밋이 있는 레지스트리나 자체 호스팅 레지스트리를 풀스루 캐시로 사용 중이라면, 업그레이드 후 UI나 API로 프로젝트별 연결 수를 적절히 설정하세요.

주요 변경 (7)
  • 프록시 캐시 프로젝트에 `max_upstream_conn` 파라미터 추가 — UI에서 업스트림 연결 수를 제한할 수 있음
  • 레지스트리 엔드포인트별 CA 인증서 지원 추가 — 커스텀 PKI를 사용하는 사설 레지스트리 환경에 유용
  • 프로젝트 생성 이전에 발급된 베어러 토큰을 거부하도록 수정 — 인가 우회 취약점 패치
  • Trivy 공급망 사고 이후 v0.69.3으로 긴급 업데이트
  • Cosign v3 Bundle 서명 형식 지원 추가, Harbor 릴리스 아티팩트에 Cosign 키리스 서명 적용
  • GCR 복제 어댑터 제거 — Google Cloud Registry 계정 종료에 따른 조치
  • 초기화 시 감사 로그 DB 저장 비활성화 옵션 추가 — 고부하 환경에서 DB 쓰기 부담 감소
원문

Longhorn

Storage & Data2026년 3월 13일

Longhorn v1.11.1은 인스턴스 매니저 파드의 심각한 메모리 누수와 S3 호환 스토리지 백업 실패 문제를 해결한 중요한 패치 릴리스로, v1.11.0 사용자에게는 긴급 업그레이드가 필요합니다.

  • security백업 복원 기능 손상

    AWS SDK v2 인증 문제로 S3 호환 백업 대상(Storj, GCS)이 실패했습니다. 업그레이드 후 백업 및 복원 워크플로를 테스트하세요. 특히 비 AWS S3 엔드포인트를 사용하는 경우 큰 백업 전송이 성공적으로 완료되는지 확인하세요.

  • breakingv1.11.0 사용자 긴급 업그레이드 필요

    인스턴스 매니저 파드에서 높은 메모리 사용량을 경험하는 v1.11.0 사용자는 즉시 업그레이드해야 합니다. 메모리 누수는 클러스터 불안정성과 파드 축출을 야기할 수 있습니다. 업그레이드 점검 시간을 계획하고 롤아웃 중 메모리 사용량을 모니터링하세요.

  • enhancement토폴로지 인식으로 스케줄링 개선

    새로운 CSI 토폴로지 인식 nodeAffinity 제어로 더 나은 볼륨 배치가 가능합니다. 멀티존 배포와 특정 노드 스케줄링 요구사항에 맞춰 allowedTopologies와 strictTopology 설정을 활용하도록 스토리지 클래스 구성을 검토하세요.

주요 변경 (5)
  • 프록시 연결 누수로 인한 longhorn-instance-manager 파드의 심각한 메모리 누수 문제 해결
  • Storj, GCS 등 S3 호환 스토리지 백업 실패를 야기한 AWS SDK v2 호환성 문제 해결
  • V2 데이터 엔진의 빠른 레플리카 리빌드 및 클론 기능 개선
  • 더 나은 스케줄링을 위한 CSI 토폴로지 인식 PV nodeAffinity 제어 기능 추가
  • 동일 노드의 다중 레플리카로 인한 스토리지 중복 계산 및 스케줄링 실패 문제 해결
원문

Dragonfly

Storage & Data2026년 3월 11일

Dragonfly v2.4.3은 의존성 업데이트와 보안 패치에 집중한 순수 유지보수 릴리스로, 사용자 기능 변경사항은 없습니다.

  • security정기 보안 업데이트 적용

    이번 패치 릴리스에는 보안 수정사항이 포함될 수 있는 의존성 업데이트가 들어있습니다. 다음 유지보수 시간에 Dragonfly 배포를 v2.4.3으로 업데이트하세요. 호환성을 깨뜨리는 변경이나 설정 업데이트 없이 원활한 업그레이드가 가능합니다.

  • enhancementOpenTelemetry 업데이트로 관찰 가능성 향상

    OpenTelemetry 라이브러리가 v0.63.0에서 v0.67.0로 업데이트되면서 더 나은 트레이싱 기능을 제공합니다. Dragonfly와 함께 분산 트레이싱을 사용하고 있다면 업그레이드 후 개선된 트레이스 수집과 오버헤드 감소를 경험할 수 있습니다.

주요 변경 (5)
  • 관찰 가능성 개선을 위해 OpenTelemetry 라이브러리를 v0.63.0에서 v0.67.0로 업데이트
  • GitHub CI/CD 워크플로우용 Docker 액션을 v4.0.0로 업그레이드
  • oauth2 및 sys 패키지를 포함한 Golang 시스템 의존성 업그레이드
  • 최신 API 호환성을 위해 d7y.io/api를 v2.2.24로 업데이트
  • 오래된 이슈 관리를 위한 GitHub Actions 의존성 갱신
원문

Harbor

Storage & Data2026년 3월 10일

Harbor v2.13.5는 더 엄격한 bearer 토큰 검증과 감사 로그에서 민감한 설정 데이터 제거를 통해 보안을 강화했습니다.

  • securityBearer 토큰 보안 강화로 인한 기존 통합 검토 필요

    프로젝트 생성 이전에 발급된 bearer 토큰을 거부하게 되어 기존 통합에서 문제가 발생할 수 있습니다. Harbor를 인증하는 CI/CD 파이프라인과 자동화 스크립트를 점검하여 업그레이드 후 토큰을 재생성하도록 설정하세요.

  • enhancement감사 로그 정리로 보안 태세 개선

    설정 payload가 더 이상 감사 로그에 기록되지 않아 민감한 설정 노출이 줄어들었습니다. 로그 모니터링과 컴플라이언스 프로세스를 검토하여 로그의 설정 데이터에 의존하지 않고도 필요한 보안 이벤트를 계속 포착할 수 있는지 확인하세요.

  • enhancement업데이트된 Trivy로 최신 취약점 정의 제공

    Trivy v0.69.3에는 새로운 취약점 데이터베이스와 탐지 규칙이 포함되어 있습니다. 컨테이너 이미지를 다시 스캔하여 이전 스캔에서 감지되지 않은 새로 발견된 취약점을 식별하세요.

주요 변경 (5)
  • 민감한 데이터 노출 방지를 위해 설정 감사 로그에서 payload 제거
  • 프로젝트 생성 이전에 발급된 bearer 토큰을 거부하여 토큰 보안 강화
  • 최신 취약점 탐지를 위해 Trivy 스캐너를 v0.69.3, 어댑터를 v0.35.1로 업데이트
  • 보안 패치를 위해 Go 런타임 및 베이스 컨테이너 이미지 업그레이드
  • 새로운 Docker 버전과의 호환성을 위해 CI 파이프라인 수정
원문

Harbor

Storage & Data2026년 3월 10일

Harbor v2.14.3은 bearer 토큰 검증 관련 중요한 보안 수정사항과 Trivy 스캐너 0.69.3 버전 업데이트를 제공하여 인증 메커니즘을 강화하고 취약점 탐지 기능을 최신 상태로 유지합니다.

  • securitybearer 토큰 수정을 위해 즉시 업데이트

    Harbor가 프로젝트 생성 전에 발급된 bearer 토큰을 허용하는 보안 결함을 수정했습니다. 토큰 기반 인증을 사용한다면 무단 프로젝트 접근을 막기 위해 v2.14.3을 즉시 배포하세요.

  • enhancement업데이트된 Trivy 스캐닝 활용

    Trivy v0.69.3에는 최신 취약점 데이터베이스와 탐지 기능이 포함되어 있습니다. 업그레이드 후 중요한 이미지들을 재스캔하여 이전 버전에서 놓쳤던 새로운 취약점을 찾아보세요.

  • enhancement감사 로그 구성 검토 필요

    자격 증명 노출을 막기 위해 구성 감사 로그에서 민감한 페이로드 데이터가 제거되었습니다. 이 변경 후에도 로그 모니터링 도구가 필요한 보안 이벤트를 여전히 캡처하는지 확인하세요.

주요 변경 (5)
  • 프로젝트 생성 전에 발급된 bearer 토큰 거부하는 보안 수정
  • Trivy 취약점 스캐너를 v0.69.3, 어댑터를 v0.35.1로 업데이트
  • 구성 감사 로그에서 민감한 페이로드 데이터 제거
  • 보안 강화를 위한 베이스 이미지 새로고침 및 Go 의존성 업데이트
  • GitHub Actions 워크플로를 ubuntu-latest 러너로 마이그레이션
원문

Vitess

Storage & Data2026년 2월 27일

백업 MANIFEST 파일 취약점과 관련된 두 개의 중요한 CVE를 해결한 보안 중심 릴리스로, 임의 명령 실행 및 경로 순회 공격을 방지합니다.

  • securityCVE-2026-27965 및 CVE-2026-27969에 대한 즉시 업그레이드 필요

    두 개의 중요한 CVE로 인해 백업 저장소 쓰기 권한을 가진 공격자가 임의 명령을 실행하고 경로 순회 공격을 수행할 수 있습니다. 즉시 v22.0.4로 업그레이드하고 신뢰할 수 있는 주체만 쓰기 권한을 갖도록 백업 저장소 접근 제어를 검토하세요.

  • security백업 저장소 접근 권한 감사 및 보안 강화

    이러한 취약점은 백업 저장소에 대한 쓰기 권한이 필요하므로, 백업 위치에 대한 쓰기 권한을 가진 주체를 검토하세요. 적절한 접근 제어를 구현하고 가능한 경우 변조를 방지하기 위해 불변 백업 저장소 사용을 고려하세요.

  • breakingMANIFEST 기반 압축 해제기 사용 시 VTTablet 구성 업데이트

    MANIFEST 파일의 외부 압축 해제 명령이 기본적으로 무시됩니다. 복원 프로세스가 이 동작에 의존하는 경우 VTTablet 구성에 --external-decompressor-use-manifest 플래그를 추가하되, 이로 인해 보안 위험이 다시 발생할 수 있음을 이해하세요.

주요 변경 (4)
  • 백업 MANIFEST 파일의 외부 압축 해제 명령이 기본적으로 더 이상 사용되지 않음
  • MANIFEST 파일 수정을 통한 경로 순회 공격 방지
  • MANIFEST 기반 압축 해제기에 대한 명시적 선택을 위한 --external-decompressor-use-manifest 플래그 추가
  • 보안 중심 개선사항이 포함된 37개의 병합된 풀 리퀘스트
원문

Vitess

Storage & Data2026년 2월 27일

Vitess v23.0.3은 백업 복원 취약점과 관련된 두 개의 CVE를 해결하는 중요한 보안 릴리스이며, 외부 압축 해제기 처리에 중단 변경사항이 포함되어 있습니다.

  • security백업 보안을 위한 즉시 업그레이드 필요

    이번 릴리스는 백업 스토리지에 쓰기 권한을 가진 공격자가 임의 명령어를 실행하거나 경로 탐색 공격을 수행할 수 있는 중요한 취약점(CVE-2026-27965, CVE-2026-27969)을 수정합니다. Vitess 백업을 사용하는 경우, 특히 백업 스토리지가 침해될 수 있는 환경에서는 즉시 업그레이드하시기 바랍니다. 백업 스토리지 액세스 제어를 검토하고 최근 백업 작업에서 의심스러운 활동이 있는지 감사하시기 바랍니다.

  • breaking외부 압축 해제기를 위한 VTTablet 구성 업데이트 필요

    백업/복원 프로세스가 MANIFEST 파일에 정의된 외부 압축 해제기에 의존하는 경우, VTTablet 구성에 --external-decompressor-use-manifest 플래그를 추가해야 합니다. 이 플래그 없이는 MANIFEST에서 지정된 압축 해제기에 의존하는 복원이 실패할 수 있습니다. 백업 전략을 검토하고 더 나은 보안을 위해 MANIFEST 파일에 의존하는 대신 압축 해제기 명령어를 명시적으로 구성하시기 바랍니다.

  • enhancement백업 보안 체계 강화

    이번 기회에 백업 보안 관행을 검토하고 강화하시기 바랍니다. 백업 스토리지에 엄격한 액세스 제어를 구현하고, 최소 권한을 가진 전용 서비스 계정을 사용하며, 백업 스토리지 암호화를 고려하시기 바랍니다. 새로운 보안 모델은 더 나은 격리를 제공하지만 백업 메타데이터를 신뢰하는 대신 압축 해제 도구의 명시적 구성이 필요합니다.

주요 변경 (5)
  • 백업 MANIFEST 파일의 외부 압축 해제기 명령어가 복원 시 기본적으로 사용되지 않음
  • MANIFEST 기반 압축 해제기 사용을 명시적으로 선택할 수 있는 --external-decompressor-use-manifest 플래그 추가
  • 백업 복원 중 임의 파일 쓰기를 방지하는 경로 탐색 공격 보호 기능 구현
  • 백업 보안 취약점과 관련된 CVE-2026-27965 및 CVE-2026-27969 수정
  • 보안 개선에 중점을 둔 22개의 병합된 풀 리퀘스트
원문