릴리즈
CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.
OpenFeature core/v0.15.3이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗OpenFeature flagd/v0.15.3이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗v1.50.0은 인증, 프론트엔드 API, 카탈로그 전반에 걸친 다수의 브레이킹 체인지와 함께 AWS RDS IAM 인증, Auth0 federated logout, 카탈로그 데드락 수정, 보안 패치를 포함한 대규모 릴리스입니다.
securityrollup 경로 순회 취약점 패치 — CLI 및 빌드 도구 업데이트 필요
rollup v4.59 미만 버전에는 고위험도 경로 순회 취약점(GHSA-mw96-cpmx-2vgc)이 있습니다. @backstage/cli, repo-tools, 여러 CLI 모듈이 이미 업데이트됐습니다. 업그레이드 헬퍼를 실행하고 lockfile을 갱신하세요. 워크스페이스 어딘가에 rollup 버전을 직접 고정했다면 v4.59+로 올려야 합니다. glob 의존성도 v7/v8/v11의 취약점을 해소하기 위해 v13으로 업그레이드됐습니다.
breaking업그레이드 전 토큰 디코딩 코드 점검 필수 — ent 클레임 기본 제거
auth.omitIdentityTokenOwnershipClaim의 기본값이 true로 바뀌어 Backstage 사용자 토큰에 ent 소유권 클레임이 더 이상 포함되지 않습니다. 토큰을 직접 디코딩해 ent를 읽는 코드가 있다면 아무 값도 반환되지 않아 조용히 버그가 생깁니다. 코드베이스에서 raw 토큰 디코딩을 찾아 userInfo 코어 서비스로 교체하세요. 시간이 필요하다면 config에 auth.omitIdentityTokenOwnershipClaim: false를 일시적으로 추가할 수 있지만, 이 설정은 향후 릴리스에서 완전히 제거될 예정이므로 마이그레이션 계획을 세워야 합니다.
breakingfrontend-plugin-api 업그레이드 전 createSchemaFromZod를 configSchema로 교체
@backstage/[email protected]에서 deprecated된 createSchemaFromZod 헬퍼가 삭제됐습니다. 이를 사용하는 extension이나 blueprint는 런타임에서 즉시 실패합니다. backstage.io/docs/frontend-system/architecture/migrations#150의 마이그레이션 문서를 참고해 configSchema 옵션으로 전환하세요. zod v3 스키마는 직접 지원되지 않으므로 import { z } from 'zod/v4' 방식을 사용하거나 zod v4로 업그레이드해야 합니다.
주요 변경 (7)
- BREAKING: auth.omitIdentityTokenOwnershipClaim 기본값이 true로 변경 — 토큰에 ent 클레임이 더 이상 포함되지 않아 대규모 조직의 HTTP 헤더 크기 문제 해소
- BREAKING: frontend-plugin-api에서 deprecated된 createSchemaFromZod 헬퍼 제거 — configSchema 옵션(zod v4)으로 마이그레이션 필요
- BREAKING: @backstage/ui에서 React 17 지원 종료 — 최소 버전은 React 18
- 카탈로그 백엔드 데드락 수정: 다중 레플리카 환경에서 SELECT ... FOR UPDATE SKIP LOCKED가 트랜잭션 없이 호출되어 발생하던 PostgreSQL 40P01 오류 해결
- 보안 패치: rollup v4.59+(GHSA-mw96-cpmx-2vgc 경로 순회 취약점) 및 glob v13으로 업그레이드
- backend-defaults에서 PostgreSQL AWS RDS IAM 인증 지원 — 정적 비밀번호 대신 단기 토큰 사용 가능
- Auth0 프로바이더가 federated logout을 수행하도록 개선 — federatedLogout: true 설정 시 상위 IdP 세션도 함께 종료
containerd v2.2.3은 spdystream의 CVE-2026-35469를 패치하고, 병렬 언팩 시 whiteout 누락 버그, tar 추출 경쟁 조건, Go 1.24 심링크 회귀 등 여러 버그를 수정했습니다.
securityCVE-2026-35469 패치: 즉시 v2.2.3으로 업그레이드
CVE-2026-35469는 containerd가 스트리밍 연결에 사용하는 moby/spdystream에서 발견된 취약점입니다. 이번 릴리스에 spdystream v0.5.1이 포함되어 수정됐습니다. 2.2.x 버전을 운영 중이라면 다음 정기 점검을 기다리지 말고 지금 바로 업그레이드하세요.
breaking병렬 언팩 whiteout 버그 — 영향받은 이미지는 재풀링 필요
병렬 언팩이 활성화된 환경에서 레이어 간 파일 삭제를 표시하는 whiteout 파일이 무시되는 버그가 있었습니다. overlayfs와 병렬 언팩을 함께 사용했다면 레이어 삭제 시맨틱이 제대로 적용되지 않았을 수 있습니다. 업그레이드 후 병렬 언팩으로 받은 이미지는 재풀링해서 레이어 상태를 확인하는 것이 좋습니다.
enhancementGo 1.24 + NixOS 계열 환경의 컨테이너 기동 실패: 이번 릴리스로 해결됩니다
Go 1.24로 빌드된 바이너리에서 rootfs 내 사용자/그룹 조회 시 절대 심링크 처리에 회귀가 생겼습니다. /etc/passwd나 /etc/group이 심링크인 NixOS 계열 시스템에서 주로 나타나는 문제입니다. Go 1.24 빌드로 전환한 뒤 사용자 조회 실패나 컨테이너 기동 오류를 겪었다면 v2.2.3 업그레이드로 해결됩니다.
주요 변경 (5)
- spdystream v0.5.1 업그레이드로 CVE-2026-35469 보안 패치 적용
- 병렬 언팩 시 whiteout이 무시되던 버그 수정 — 이미지 레이어 정합성에 직결되는 문제
- tar 추출 경로의 TOCTOU 경쟁 조건 강화
- runc v1.3.5로 업데이트
- /etc/passwd, /etc/group 절대 심링크 해석 수정 — Go 1.24 빌드 및 NixOS 계열 시스템에서의 회귀 해소
containerd 2.0.8은 CVE-2026-35469 보안 패치, CRI 에러 메시지의 인증 정보 노출 수정, containerd 재시작 후 CNI DEL이 실행되지 않던 버그 수정을 포함합니다.
securityCVE-2026-35469 대응: 즉시 2.0.8로 업그레이드
CVE-2026-35469는 moby/spdystream 의존성에 존재하는 취약점입니다. 2.0.x를 운영 중인 클러스터라면 다음 유지보수 주기를 기다리지 말고 2.0.8로 올리세요. 해당 advisory의 심각도를 확인한 뒤 업그레이드 우선순위를 판단하기 바랍니다.
security과거 파드 이벤트 로그에서 인증 정보 노출 여부 점검
이번 수정 이전에는 레지스트리 인증 정보 등 URL에 포함된 민감 데이터가 CRI gRPC 에러 메시지와 파드 이벤트에 평문으로 기록될 수 있었습니다. Datadog, Splunk, ELK 등 외부 로깅 백엔드로 파드 이벤트를 수집 중이라면, 최근 로그에서 노출된 쿼리 파라미터가 없는지 점검하세요. 2.0.8부터는 containerd 내부에서 마스킹 처리됩니다.
breaking업그레이드 후 CNI 네트워크 정리가 정상 동작하는지 확인
이번에 수정된 CNI DEL 버그로 인해, containerd 재시작 이후 파드를 삭제할 때 CNI 플러그인 정리가 실행되지 않아 노드에 네트워크 상태가 남아 있을 수 있습니다. 2.0.8로 업그레이드한 뒤에는 containerd 재시작을 경험한 노드에서 파드 삭제 시 CNI DEL이 제대로 호출되는지 검증하세요. 이전에 고아 네트워크 인터페이스나 IP 할당 충돌이 발생했다면 이 버그가 원인이었을 가능성이 높습니다.
주요 변경 (5)
- CVE-2026-35469: spdystream v0.4.0 → v0.5.1 업데이트로 취약점 해소
- CRI 에러 sanitization: gRPC 에러 반환 전 쿼리 파라미터 포함 민감 정보를 자동 마스킹 처리
- CNI DEL 버그 수정: containerd 재시작 후 파드 삭제 시 CNI DEL이 실행되지 않던 문제 해결
- opencontainers/selinux v1.11.1 → v1.13.1 업데이트
- Go 툴체인 1.25.9 / 1.26.2로 업데이트
containerd 2.1.7은 spdystream의 CVE-2026-35469를 패치하고, gRPC 자격 증명 누출 방지 및 tar 추출 TOCTOU 경쟁 조건 수정 등 보안 강화 변경을 포함합니다.
securityCVE-2026-35469 패치를 위해 즉시 2.1.7로 업그레이드
moby/spdystream의 CVE-2026-35469가 이번 릴리스에서 수정됐습니다. spdystream은 CRI 스트리밍 경로에서 사용되므로 exec/attach/port-forward를 쓰는 Kubernetes 워크로드가 잠재적으로 영향을 받습니다. 모든 노드의 containerd를 2.1.7로 업그레이드하세요. 설정 변경 없이 바이너리 교체 후 데몬 재시작만 하면 됩니다.
securitypod 이벤트를 통한 자격 증명 누출 경로 차단
이번 수정 전까지 레지스트리 자격 증명이 포함된 원시 오류가 pod 이벤트에 노출될 수 있었습니다. 네임스페이스 범위 사용자에게 pod 이벤트 접근을 허용하는 클러스터라면 자격 증명이 로그나 이벤트 스트림에 노출됐을 가능성이 있습니다. 영향받은 클러스터에서 사용된 레지스트리 pull secret을 교체한 뒤 2.1.7로 업그레이드하세요.
enhancementCNI DEL 버그 수정으로 재시작 후 네트워크 자원 누수 방지
기존에는 containerd 재시작 후 정리되는 샌드박스에 CNI DEL이 호출되지 않아 IP 등 네트워크 자원이 누수됐습니다. 노드 재시작 후 스테일 IP나 CNI 상태 이상을 겪은 적 있다면 이 버그가 원인일 가능성이 높습니다. 2.1.7로 업그레이드하고, 기존 누수 상태를 정리하려면 containerd 재시작 전 노드를 드레인하는 편이 안전합니다.
주요 변경 (5)
- spdystream v0.5.1 업그레이드로 CVE-2026-35469 패치
- gRPC 오류 sanitization으로 pod 이벤트 내 자격 증명 노출 차단
- tar 추출 시 TOCTOU 경쟁 조건 수정
- containerd 재시작 후 CNI DEL이 정상 실행되도록 수정
- runc v1.3.5로 업데이트, 사용자 네임스페이스에서 읽기 전용 바인드 마운트 플래그 보존
v1.7.31은 spdystream의 CVE-2026-35469를 패치하고, 재시작 후 CNI DEL이 실행되지 않던 버그와 gRPC 에러를 통한 자격증명 노출 문제를 수정합니다.
securityCVE-2026-35469 패치: 즉시 v1.7.31로 업그레이드
CVE-2026-35469는 SPDY 멀티플렉싱에 쓰이는 moby/spdystream 라이브러리의 취약점입니다. 수정본은 이번 릴리스에 포함된 spdystream v0.5.1에 담겨 있습니다. 1.7.x 이전 버전을 운영 중이라면 즉시 업그레이드하세요. 특히 CRI 스트리밍 서버가 노출되어 있거나 kubectl exec/attach/port-forward 트래픽이 containerd를 통해 흐르는 클러스터라면 더욱 시급합니다.
security파드 이벤트 로그에서 자격증명 노출 여부 점검
원시 에러 메시지에 레지스트리 자격증명이 포함된 채로 gRPC를 통해 반환되고 파드 이벤트에 노출되는 버그가 있었습니다. 업그레이드 후, 수정 전 기간의 파드 이벤트 로그(kubectl get events 또는 로그 수집 시스템)를 검토해 인증 토큰, 비밀번호, 이미지 풀 시크릿이 포함된 항목이 있는지 확인하세요. 노출된 자격증명이 발견되면 즉시 교체해야 합니다.
breaking업그레이드 후 CNI 네트워크 정리 동작 검증 필요
CNI DEL 버그 수정으로, 기존에 containerd 재시작 후 스테일 네트워크 상태를 남기던 컨테이너가 이제 제대로 정리됩니다. 올바른 동작이지만, CNI DEL이 생략된다고 가정하는 자동화 스크립트나 워크플로가 있다면 미리 테스트하세요. 비정상 재시작 이력이 있는 노드는 업그레이드 후 첫 파드 삭제 시 정리 작업이 실행될 수 있습니다.
주요 변경 (5)
- CVE-2026-35469 대응: spdystream v0.2.0 → v0.5.1 업그레이드
- containerd 재시작 후 CNI DEL이 실행되지 않던 버그 수정 — 네트워크 정리가 조용히 건너뛰어지던 문제 해결
- gRPC 에러 메시지 정제로 레지스트리 자격증명이 파드 이벤트에 노출되던 문제 수정
- runc 바이너리를 v1.3.5로 업데이트
- tar 추출 과정의 TOCTOU 경쟁 조건 버그 수정
v2.12.7은 ACL 우회 보안 버그, 리프노드 패닉, JetStream 컨슈머 stuck 상태, 그리고 2.12.6에서 유입된 MQTT JWT 회귀 버그를 수정한 버그픽스 릴리스입니다.
securitydeny ACL이나 큐 그룹을 사용 중이라면 즉시 업그레이드 필요
이번 릴리스에서 두 가지 ACL 시행 버그가 수정됐습니다. 와일드카드가 중첩된 deny ACL이 제대로 적용되지 않았고, 큐 구독이 비큐 deny 규칙을 통째로 우회할 수 있었습니다. deny 기반 ACL, 특히 와일드카드나 큐/비큐 혼합 구독을 보안 모델에 활용 중이라면 필수 업그레이드입니다. 업그레이드 후 deny 규칙이 의도대로 동작하는지 반드시 검증하세요.
breaking2.12.6에서 MQTT + auth callout을 쓰고 있다면 즉시 업그레이드
2.12.6에서 MQTT 클라이언트의 JWT가 auth callout 서비스로 전달되지 않는 회귀 버그가 있었습니다. 인증 로직이 조용히 무시되거나 실패했을 가능성이 있습니다. 2.12.7로 업그레이드 후 MQTT 클라이언트 인증이 전 구간에서 정상 동작하는지 확인하세요.
enhancementJetStream 스토리지 한도, 이제 재시작 없이 상향 조정 가능
max_mem_store와 max_file_store를 config reload만으로 늘릴 수 있게 됐습니다. 단, 줄이는 것은 여전히 reload로 지원되지 않습니다. 피크 트래픽 구간에 다운타임 없이 용량을 확장할 수 있어 운영 유연성이 높아졌습니다. 평소 여유 있게 스토리지를 설계하되, 필요 시 즉각 확장하는 방식으로 활용하세요.
주요 변경 (5)
- ACL 보안 수정: 와일드카드 deny 패턴 중첩 시 미적용 버그, 큐 구독이 비큐 deny 규칙을 우회하던 문제 해결
- MQTT 회귀 버그 수정: 2.12.6부터 MQTT 클라이언트의 JWT가 auth callout에 전달되지 않던 문제 해결
- JetStream 컨슈머 수정: 삭제된 메시지가 pending 상태에 남아 max_ack_pending이 stuck되는 문제 해결
- 리프노드 안정성: 계정 resolve 실패 시 패닉 및 pre-CONNECT 가드 관련 패닉 다수 수정
- JetStream 성능: subject purge가 관련 filestore 블록만 스캔하도록 개선, 쓰기 직후 캐시 과도 축출 문제 수정
v2.11.16은 보안 패치 릴리스로, 큐 구독의 ACL 우회, 리프노드 인바운드 메시지 권한 누락, 와일드카드 deny 패턴 미적용 등 여러 인가 취약점을 수정했습니다. ACL에 의존하는 환경이라면 즉시 업그레이드해야 합니다.
security큐 구독을 통한 ACL 우회 — 즉시 패치 필요
비큐 구독에 적용된 deny 규칙을 큐 구독자가 우회할 수 있었습니다. 멀티테넌트 환경이나 subject 단위 접근 제어를 쓰고 있다면 기존 deny 규칙이 제대로 적용되지 않았을 가능성이 있습니다. v2.11.16으로 업그레이드하고, ACL 설정 전체를 재검토하세요.
security리프노드 ACL 검사 누락 — 리프 설정 점검 필수
리프노드 인바운드 메시지가 ACL 권한 검사를 통과하지 않고 처리되는 경로가 존재했습니다. 계정별 또는 사용자별 권한을 리프노드에 적용 중이라면, 무단 데이터 접근이 발생했을 가능성을 배제할 수 없습니다. 업그레이드 후 리프노드 자격증명과 권한 설정을 재확인하세요.
breakingno_auth_user 범위 변경 — 리프노드 연결에 영향 가능
no_auth_user가 이제 클라이언트 연결에만 적용됩니다. 리프노드 등 비클라이언트 연결에서 no_auth_user를 암묵적으로 사용하던 구성이 있다면, 업그레이드 후 해당 연결에 명시적인 자격증명이 필요해집니다. 프로덕션 리프노드에 배포하기 전에 스테이징 환경에서 반드시 검증하세요.
주요 변경 (5)
- 큐 구독이 비큐(non-queue) ACL deny 규칙을 우회하던 문제 수정
- ACL deny 블록의 중첩 와일드카드 패턴이 올바르게 적용되지 않던 문제 수정
- no_auth_user 옵션이 클라이언트 연결로만 범위 제한됨
- 리프노드 인바운드 메시지 전체 경로에서 ACL 권한 검사가 누락되던 문제 수정 및 pre-CONNECT 패닉 버그 수정
- WebSocket 전용 no_auth_user 설정 시 fast-path에서 올바르게 적용되도록 수정
TiKV v8.5.6은 컬럼 수준 권한 관리, 다차원 슬로우 쿼리 규칙, FK 체크 공유 잠금 지원과 함께 crossbeam skiplist 메모리 누수, 비관적 트랜잭션 데이터 불일치 등 주요 버그 13건을 수정했습니다.
security컬럼 수준 권한으로 민감 데이터 격리 — 기존 권한 설정을 재검토하세요
TiDB가 MySQL 호환 컬럼 수준 GRANT/REVOKE를 지원합니다. 지금까지 뷰(View) 기반으로 특정 컬럼(PII, 금융 데이터 등) 접근을 제한했다면 이제 권한 레이어에서 직접 제어할 수 있습니다. 민감 컬럼이 포함된 테이블을 감사하고 최소 권한 원칙에 따라 컬럼 수준 GRANT를 적용하세요. 기존 권한 감사 결과가 컬럼 수준 제어를 반영하지 못했을 수 있으므로 사용자 권한 목록을 전면 재검토할 필요가 있습니다.
breaking통계 Version 1 지금 바로 마이그레이션 — 다음 릴리스에서 제거됩니다
이번 릴리스에서 tidb_analyze_version=1이 공식 deprecated 처리됐고, 향후 버전에서 제거됩니다. 모든 인스턴스에서 SHOW VARIABLES LIKE 'tidb_analyze_version'으로 현황을 확인하세요. v1을 사용 중인 경우 v2로 전환하고 해당 테이블에 ANALYZE를 다시 실행해야 합니다. Version 2는 히스토그램 정확도가 더 높고 앞으로 유일하게 지원되는 방식입니다. 제거 시점에 쫓기기 전에 미리 전환하는 게 낫습니다.
enhancementFK 체크 공유 잠금 활성화로 쓰기 집중 워크로드 경합 해소
소수의 부모 테이블 행을 참조하는 자식 테이블에 고동시 INSERT/UPDATE가 발생한다면 현재 배타적 잠금 경합이 심할 겁니다. tidb_foreign_key_check_in_shared_lock=ON으로 설정하고 스테이징에서 벤치마크해 보세요. 부모 테이블에 공유 잠금을 사용하면 FK 체크가 서로를 블록하지 않습니다. 잠금 의미 구조가 바뀌는 만큼 운영 적용 전 반드시 검증이 필요합니다. 비관적 트랜잭션 환경이라면 prewrite 재시도 불일치 버그(#11187) 수정도 포함됐으므로 TiKV 노드 패치 버전을 확인하세요.
주요 변경 (6)
- 컬럼 수준 GRANT/REVOKE 지원 — MySQL과의 오랜 권한 호환성 격차 해소
- tidb_slow_log_rules로 인스턴스/세션/SQL 단위에서 Query_time, Digest, Mem_max, KV_total 등 복합 조건 기반 슬로우 쿼리 로그 세밀 제어 가능
- tidb_foreign_key_check_in_shared_lock=ON 설정 시 FK 체크에 공유 잠금 사용 — 대용량 자식 테이블 동시 쓰기 경합 완화
- TiKV에 부하 기반 컴팩션 도입 — MVCC 읽기 오버헤드를 감지해 핫 Region을 자동으로 우선 컴팩션
- 통계 Version 1(tidb_analyze_version=1) 및 TiDB Lightning 웹 UI 지원 중단(v8.5.7에서 제거 예정)
- crossbeam skiplist 메모리 누수, 비관적 트랜잭션 prewrite 재시도 시 데이터 불일치, 디스크 가득 찬 노드에서 팔로워 읽기 차단 등 핵심 버그 수정
v2.0.3은 NATS 구독자 초기화 경쟁 조건 버그 수정, Kubernetes EndpointSlice 지원 추가, 컨테이너 비루트 소유권 설정, Helm 차트 확장 구성을 포함합니다.
security즉시 업그레이드: 컨테이너가 기본적으로 비루트로 실행됩니다
이전 릴리스는 루트 소유권으로 실행되어 컨테이너 보안 관점에서 문제가 있었습니다. 이번 릴리스부터 비루트 소유권이 기본값으로 변경됐습니다. 볼륨 마운트나 루트 권한에 의존하는 init 컨테이너가 있다면 프로덕션 적용 전 반드시 테스트하고, 필요하면 파드 스펙의 fsGroup 또는 runAsUser 설정을 조정하세요.
breakingHelm 차트 이미지 태그 기본값 변경 — values 파일을 점검하세요
기본 이미지 태그가 더 이상 하드코딩된 값을 사용하지 않고 chart.yaml의 appVersion을 따릅니다. values 파일에서 태그를 명시적으로 오버라이드하고 있다면 대부분 그대로 동작하겠지만, 기존 기본값 방식으로 이미지 버전을 고정했던 경우라면 차트 업그레이드 후 배포된 이미지 버전을 반드시 확인하세요.
enhancementKubernetes 1.21 이상이라면 EndpointSlice를 활성화하세요
EndpointSlice는 기존 Endpoints API를 대체하는 방식으로, 백엔드 수가 많을 때 확장성이 훨씬 뛰어납니다. kube-apiserver 부하를 줄이고 기존 Endpoints API의 스케일 한계를 피하려면 Helm values에서 EndpointSlice 옵션을 활성화하세요. Kubernetes 1.21 이상 환경이라면 지금 바로 적용할 수 있습니다.
주요 변경 (6)
- NATS 구독자 초기화 시 발생하는 경쟁 조건(race condition) 수정
- Kubernetes EndpointSlice 지원 추가 — 백엔드 수가 많은 서비스 환경에서 필수
- 컨테이너 소유권을 비루트(non-root)로 변경해 기본 보안 강화
- Helm 차트에 TLS 설정, 커스텀 어노테이션, 레이블 옵션 추가
- Helm 차트 기본 이미지 태그가 하드코딩된 값 대신 chart.yaml의 appVersion을 따르도록 변경
- WASIp3 지원이 피처 플래그 뒤에 추가됨 — 실험적 기능으로 프로덕션 사용 불가
OpenCost v1.120.0은 OVH 클라우드 프로바이더 지원, AWS CUR 2.0 호환성을 추가하고, AWS·DigitalOcean·S3 통합 전반의 리소스 누수 및 버그를 수정했습니다.
breaking업그레이드 후 PV 비용 수치 검증 필요
이전 버전에서 Ki/Mi/Gi/Ti 단위의 PV 용량을 잘못 파싱해 영구 볼륨 비용 할당이 틀렸을 가능성이 있습니다. 업그레이드 후 PV 비용 데이터를 반드시 확인하세요. 이상한 PV 비용 수치를 보고 있었다면 이번 수정으로 해결될 겁니다.
enhancementAWS CUR 2.0으로 전환 — 지금이 적기
AWS가 CUR 1.0 지원 종료를 예고한 상황에서, 이번 릴리스로 CUR 2.0 지원이 추가됐습니다. 아직 CUR 1.0 내보내기를 사용 중이라면 AWS 빌링 내보내기 설정을 CUR 2.0으로 전환하고 OpenCost가 새 형식을 바라보도록 구성을 업데이트하세요. AWS가 강제 전환하기 전에 미리 진행하는 게 좋습니다.
enhancementSpot 미사용 팀은 Spot Data Feed 토글 비활성화로 로그 정리
AWS Spot 인스턴스를 쓰지 않는 환경에서도 Spot 데이터 피드 관련 경고 로그가 계속 발생하는 문제가 있었습니다. 이제 설정 토글로 명시적으로 비활성화할 수 있으니, Spot을 사용하지 않는다면 해당 옵션을 꺼두는 게 좋습니다. 오해를 유발하는 로그도 함께 정리됩니다.
주요 변경 (7)
- OVH 클라우드 프로바이더 통합 신규 추가
- AWS CUR 2.0(Cost and Usage Report) 지원 추가
- Prometheus 스크레이프 대상 파싱 시 메모리 누수 수정
- 인제스터 종료 시 플러그인 프로세스가 좀비로 남는 문제 수정
- Ki, Mi, Gi, Ti 단위를 잘못 파싱하던 PV 용량 계산 버그 수정
- 얼로케이션 데이터에 계정 필드 추가, CSV 내보내기에 클러스터 이름 컬럼 추가
- AWS Spot Data Feed 비활성화 설정 토글 추가
Prometheus v3.11.2은 웹 UI의 저장형 XSS 취약점(CVE-2026-40179)을 패치하고 Consul SD 버그 2건을 수정합니다. UI가 외부에 노출된 환경이라면 즉시 업그레이드하세요.
securityPrometheus UI가 노출된 환경이라면 CVE-2026-40179 즉시 패치
스크레이프 대상이 메트릭 이름이나 레이블 값을 조작하면 UI에 악성 스크립트를 심을 수 있는 저장형 XSS입니다. 운영팀 외 사용자가 Prometheus UI에 접근할 수 있는 환경(내부 대시보드, 페더레이션 구성 등)이라면 즉각 v3.11.2로 업그레이드하세요. 당장 업그레이드가 어렵다면 네트워크 정책이나 인증 프록시로 UI 접근을 제한하는 것이 먼저입니다.
breaking업그레이드 후 Consul SD 스크레이프 대상 변경 여부 반드시 확인
Consul Health API에 filter 파라미터가 잘못 적용되던 버그가 수정됐습니다. 의도치 않게 해당 동작에 의존하고 있었다면 업그레이드 후 발견되는 서비스 목록이 달라질 수 있습니다. 프로덕션 배포 전에 Consul SD 설정을 검토하고, 스크레이프 대상이 예상과 일치하는지 검증하세요.
enhancementConsul SD의 `health_filter`로 비정상 서비스 제거 간소화
새로 추가된 `health_filter` 필드를 사용하면 SD 레이어에서 직접 Consul Health API 응답을 필터링할 수 있습니다. 지금까지 릴레이블링 규칙으로 비정상 인스턴스를 걸러내고 있었다면, `health_filter: healthy`로 설정해 그 규칙들을 정리하세요. 불필요한 타깃 변동(churn)도 줄어듭니다.
주요 변경 (3)
- 보안: UI 툴팁·메트릭 탐색기에서 메트릭 이름·레이블 값 미이스케이프로 인한 저장형 XSS — CVE-2026-40179
- Consul SD: Health API 필터링을 위한 `health_filter` 필드 신규 추가
- Consul SD: filter 파라미터가 Health API에 잘못 적용되던 버그 수정
v0.150.0은 소규모 버그 수정 릴리스입니다. print-config --unredacted 출력 누락, 내부 OTLP 익스포터 헤더 노출, debug 익스포터 인덱스 범위 초과 등 세 가지 버그를 고쳤습니다.
securitymarshaled config에서 내부 OTLP 익스포터 헤더 redact 처리
내부 텔레메트리 OTLP 익스포터의 헤더가 config를 marshal할 때 평문으로 노출됐습니다. 헤더에 인증 토큰이 담길 수 있으므로 설정 스냅샷을 로그나 저장소에 기록하는 팀은 기존 저장본을 점검하세요. 업그레이드 후에는 marshal 시 자동으로 redact됩니다.
enhancementprint-config --unredacted 모드의 기본값 누락 버그 수정
print-config 명령의 --unredacted 모드가 기본값 옵션을 모두 누락했던 버그가 수정됐습니다. confmap.WithUnredacted MarshalOption 도입으로 컴포넌트 기본값이 이제 정상 출력됩니다. 설정 감사나 디버깅에 print-config를 쓴다면 업그레이드 후 재실행해 출력이 완전한지 확인하세요.
주요 변경 (5)
- 전 컴포넌트 semconv 패키지 1.38.0 → 1.40.0 업데이트
- debug 익스포터의 프로파일 딕셔너리 인덱스 범위 초과 접근 수정
- pdata/pprofile: 읽기 전용 입력에 대해 방어적 복사 적용
- print-config --unredacted가 기본값 필드를 정상 출력하도록 수정
- config marshal 시 내부 텔레메트리 OTLP 익스포터 헤더 자동 redact
webhook.config와 webhook.volumes를 동시에 설정할 때 발생하는 Helm 차트 YAML 생성 버그를 수정하고, 취약점 해소를 위해 Go 1.26.2로 업그레이드한 패치 릴리스입니다.
security의존성 취약점 패치 포함 — 다음 유지보수 창에 업그레이드 예약
Go 런타임과 의존성을 보고된 취약점 해소 목적으로 업데이트했습니다. 릴리스 노트에 구체적인 CVE ID가 명시되진 않았지만, cert-manager는 클러스터 내 인증서 발급을 담당하는 특권적 위치에 있는 컴포넌트입니다. 보안 패치는 미루지 않는 게 좋습니다.
breakingwebhook.config와 webhook.volumes를 함께 쓰고 있다면 즉시 업그레이드
Helm values에 webhook.config와 webhook.volumes를 모두 설정한 환경이라면, 지금까지 잘못된 YAML이 생성됐을 가능성이 높습니다. 웹훅이 의도와 다른 설정으로 배포됐을 수 있으므로, v1.20.2로 업그레이드하고 재배포한 뒤 웹훅 파드의 볼륨 마운트와 설정이 정상인지 반드시 확인하세요.
주요 변경 (3)
- webhook.config와 webhook.volumes를 함께 설정했을 때 잘못된 YAML이 생성되던 버그 수정
- Go 런타임을 1.26.2로 업그레이드
- 보고된 취약점 해소를 위한 Go 의존성 업데이트
Envoy v1.37.2는 리스너 제거 시 크래시, 동적 모듈 필터의 불완전한 바디 전달, 내부 리다이렉트 버퍼 오버플로우로 인한 요청 행 문제를 수정한 패치 릴리스입니다.
breaking프로세스 레벨 액세스 로그 레이트 리미터 사용 중이라면 즉시 업그레이드
프로세스 레벨 액세스 로그 레이트 리미터를 설정한 상태에서 xDS를 통한 리스너 변경이나 제거가 발생하면 프로세스가 크래시합니다. 이는 드문 엣지 케이스가 아닙니다. 리스너 제거는 일상적인 설정 업데이트에서도 발생합니다. 다음 설정 배포 전에 v1.37.2로 업그레이드하세요.
breaking동적 모듈 필터 파이프라인의 바디 잘림 현상 확인 필요
동적 모듈 필터를 ext_proc, gRPC 트랜스코딩, JWT 바디 검사 등 버퍼링을 수행하는 필터와 함께 실행 중이라면, 에러 없이 잘린 페이로드가 업스트림이나 클라이언트로 전달됐을 가능성이 있습니다. 업그레이드 후 스테이징에서 바디 크기 불일치 로그를 점검하고 동작을 검증하세요.
breaking대용량 요청 바디 + 내부 리다이렉트 조합은 요청 행(hang) 위험
내부 리다이렉트를 사용하는 라우트에서 큰 POST/PUT 바디로 리다이렉트가 트리거되면 요청이 에러 없이 멈춥니다. 업스트림 타임아웃만이 유일한 안전망인 셈입니다. 즉시 업그레이드하고, 단기 대응책으로 해당 라우트의 요청 버퍼 한도를 임시로 줄이는 것도 고려할 만합니다.
주요 변경 (5)
- 프로세스 레벨 액세스 로그 레이트 리미터 사용 시 리스너 제거로 발생하던 크래시 수정
- 인접 필터가 버퍼링을 수행할 때 동적 모듈 필터가 요청/응답 바디를 잘라 전달하던 버그 수정
- 내부 리다이렉트 중 요청 버퍼 오버플로우 시 요청이 무한 대기하던 문제 수정
- Docker 릴리스 이미지 업데이트 및 수정
- Stats 서브시스템 업데이트
v1.36.6은 동적 모듈 필터의 불완전한 바디 전달 문제와 내부 리다이렉트 시 버퍼 초과로 인한 요청 hang 문제를 수정한 패치 릴리스입니다.
breaking동적 모듈 필터 + 버퍼링 필터 조합 사용 중이라면 즉시 업그레이드
필터 체인에 동적 모듈 필터와 버퍼링 필터(ext_proc, grpc-web, 커스텀 버퍼링 필터 등)가 함께 있다면, 동적 모듈이 잘린 바디를 받고 있었던 겁니다. 성능 문제가 아닌 데이터 정합성 버그입니다. v1.36.6으로 업그레이드한 뒤, 동적 모듈이 전체 페이로드를 올바르게 처리하는지 반드시 검증하세요.
breaking내부 리다이렉트 사용 환경에서 hang 위험 — 즉시 패치 필요
요청 바디가 버퍼 한도를 초과할 수 있는 환경에서 내부 리다이렉트를 쓴다면, 완료되지 않는 요청이 커넥션을 붙잡는 상황이 발생할 수 있습니다. 트래픽이 몰리는 환경에서 특히 위험합니다. 즉시 업그레이드하고, 그 전까지는 버퍼 한도를 높이거나 내부 리다이렉트를 일시 비활성화하는 것을 검토하세요.
주요 변경 (3)
- 인접 필터가 버퍼링을 수행할 때 동적 모듈 필터가 요청/응답 바디를 불완전하게 전달하던 버그 수정
- 요청 버퍼 초과 시 내부 리다이렉트 로직이 요청을 무기한 hang시키던 문제 해결
- Docker 릴리스 이미지 업데이트 및 수정
v1.14.1은 AuthZEN 디스커버리의 호스트 헤더 포이즈닝 취약점을 패치하고 취약한 Docker 의존성을 제거했습니다. ListObjects 성능도 소폭 개선됐습니다.
securityAuthZEN 호스트 헤더 포이즈닝 취약점, 즉시 패치 필요
AuthZEN의 well-known 디스커버리 엔드포인트가 요청의 Host 헤더로 URL을 구성하고 있었습니다. 공격자가 이를 악용하면 클라이언트를 악성 엔드포인트로 유도할 수 있었습니다. AuthZEN 디스커버리 메타데이터를 외부에 노출하고 있다면 v1.14.1로 즉시 업그레이드하세요. 별도 설정 변경은 불필요하지만, 서버 설정의 authzen.baseURL이 올바르게 지정되어 있는지 확인하는 것이 좋습니다.
security테스트 바이너리를 컨테이너 이미지에 포함하고 있다면 점검 필요
github.com/docker/docker 패키지는 알려진 CVE가 있으며 테스트 코드에서만 사용됐습니다. 프로덕션 빌드 자체는 영향이 없지만, 파이프라인에서 테스트 바이너리나 vendor 디렉터리를 컨테이너 이미지에 포함하는 경우 업그레이드 후 취약한 패키지가 제거됐는지 확인하세요.
enhancementKubernetes 환경에서 셧다운 타임아웃 명시적으로 설정하세요
새로 추가된 셧다운 타임아웃 옵션으로 OpenFGA가 종료 전 진행 중인 요청을 얼마나 기다릴지 제어할 수 있습니다. 설정이 없으면 파드 재시작 시 요청 오류가 발생할 수 있습니다. Kubernetes의 terminationGracePeriodSeconds보다 약간 짧게 설정해 두면 안전한 트래픽 전환이 가능합니다.
주요 변경 (5)
- 보안 수정: AuthZEN 디스커버리 메타데이터가 요청의 Host 헤더 대신 설정된 baseURL을 사용하도록 변경
- 취약한 github.com/docker/docker 테스트 의존성 제거 후 Moby 클라이언트 & API로 교체
- 서버 셧다운 타임아웃 설정 옵션 추가 — Kubernetes 환경의 graceful drain에 유용
- ListObjects 힙 할당 감소로 실질적인 레이턴시 개선
- 캐시 키 생성 시 fmt 제거 및 제어 문자 정규화 범위를 튜플, 조건, 컨텍스트까지 확장
Dapr 1.17.4는 워크플로우 정확성, Pulsar OOM 위험, Placement 지연으로 인한 Actor 동결, Go 표준 라이브러리 보안 취약점 등 7개 버그를 수정했습니다.
securityGo 표준 라이브러리 CVE 패치 — 즉시 업그레이드 권장
Go 1.25.9는 archive/tar, crypto/tls, crypto/x509, html/template, 컴파일러에서 발견된 취약점을 수정합니다. Dapr의 모든 바이너리와 Docker 이미지가 패치된 툴체인으로 재빌드됐습니다. 설정 변경 없이 버전만 1.17.4로 올리면 됩니다.
breakingPulsar processMode 동작 변경 — 컴포넌트 설정 검토 필수
기존에 Pulsar 컴포넌트 YAML에 processMode를 설정했다면 그 값은 사실상 무시되고 있었습니다. 업그레이드 후에는 설정값이 실제로 적용됩니다. processMode: sync로 순서 보장을 기대했지만 실제로는 async 모드로 돌고 있었다면, 업그레이드 후 동작이 달라집니다. async 모드는 이제 maxConcurrentHandlers(기본값 100)로 동시성이 제한됩니다. 운영 배포 전 Pulsar 컴포넌트 메타데이터를 반드시 점검하고 처리량 동작을 테스트하세요.
enhancementPlacement 지연으로 인한 Actor·워크플로우 동결 위험 해소
Placement 전파 동결 버그는 롤링 업데이트 중 연쇄적인 헬스 체크 실패를 유발할 수 있었고, Kubernetes가 Pod를 비정상으로 판단해 재시작하면서 상황이 더 악화되는 패턴이었습니다. 1.17.4부터는 느린 피어 감지 시 치명적 종료 대신 재연결을 시도합니다. 롤링 업데이트 중 Actor 행(hang)이나 zombie daprd 프로세스를 경험한 적 있다면 이 버그가 원인이었을 가능성이 큽니다. 별도 설정 변경 없이 업그레이드만으로 적용됩니다.
주요 변경 (5)
- Pulsar pub/sub가 컴포넌트 YAML의 processMode를 올바르게 읽고 async 모드에서 동시성 한도를 적용 — 기존에는 고부하 시 Pod OOM 가능성 있었음
- 원격 앱이 오프라인 상태일 때 크로스 앱 워크플로우가 PENDING으로 무한 대기하던 문제 수정 — 디스패치별 2초 타임아웃과 사전 저장 로직 적용
- ContinueAsNew 고이벤트량 환경에서 이벤트 유실·중복 처리 수정 — 상태 스냅샷/복원과 inbox 교체로 두 가지 근본 원인 해결
- 느린 사이드카 하나가 전체 네임스페이스의 Actor·워크플로우 작업을 동결시키던 문제 수정 — Placement 타임아웃 시 재연결 로직으로 전환
- 멀티노드 클러스터에서 스케줄러 Pod 재시작 후 잡 트리거가 무관한 클러스터 이벤트 전까지 멈추던 문제 수정 — 커넥터별 독립 재시도 방식으로 변경
차트 추출 시 발생하는 경로 순회 취약점을 수정한 보안 패치입니다. 외부 출처 차트를 사용하는 환경은 즉시 업그레이드하세요.
security차트 추출 경로 순회 취약점 — 즉시 업그레이드 필요
Chart.yaml의 차트 이름에 '..' 같은 점-세그먼트를 사용하면 Helm이 의도된 추출 디렉토리 밖으로 파일을 쓸 수 있는 전형적인 경로 순회 공격입니다. 퍼블릭 저장소, 서드파티 레지스트리, 또는 완전히 신뢰할 수 없는 출처의 차트를 파이프라인에서 사용하고 있다면 즉시 v3.20.2로 업그레이드하세요. 내부에서만 작성한 차트를 에어갭 환경에서 운영하는 팀은 위험도가 낮지만, 다음 유지보수 윈도우에 업그레이드하는 것이 바람직합니다.
주요 변경 (3)
- GHSA-hr2v-4r36-88hr 수정: Chart.yaml의 점-세그먼트(dot-segment) 이름을 이용해 차트 추출 경로를 의도치 않은 디렉토리로 우회할 수 있는 취약점 패치
- 기능 변경 없음 — 순수 보안 수정 릴리스
- 다음 패치 릴리스(4.1.5 / 3.20.3)는 2026년 4월 8일 예정
프록시 v2.348.0 업데이트와 Go/Rust/JS 의존성 정리가 전부인 유지보수 릴리스입니다. 기능 변경이나 버그 수정은 없습니다.
security웹 대시보드 lodash 업데이트 — 긴급도는 낮지만 SBOM 확인 권장
lodash가 4.17.23에서 4.18.1로 올라갔습니다. Linkerd 대시보드는 보통 내부망에서 접근하므로 외부 노출 위험은 낮습니다. 다만 팀에서 프론트엔드 의존성 CVE를 관리하고 있다면 SBOM 도구에서 열린 권고 사항이 해소됐는지 확인하세요.
enhancement프록시 v2.348.0 — 런타임 변경 여부는 프록시 릴리스 노트 별도 확인
실질적인 런타임 변경이 있을 수 있는 컴포넌트는 프록시뿐입니다. 릴리스 노트에 프록시 수준의 세부 내용은 나오지 않으므로, 특정 수정 사항이나 동작 변경을 추적 중이라면 linkerd2-proxy v2.348.0 릴리스 노트를 따로 확인한 뒤 프로덕션 배포를 결정하세요.
enhancement프록시 업데이트가 필요한 경우가 아니면 업그레이드 서두를 필요 없음
순수 유지보수 릴리스입니다. edge 빌드를 꾸준히 추적 중이라면 업그레이드 자체는 부담이 없습니다. edge-26.4.1에서 올라와야 할 기능적 이유는 없는 만큼, 프록시 변경 사항이 직접적으로 필요한 팀만 업그레이드를 검토하면 충분합니다.
주요 변경 (5)
- 프록시 v2.348.0으로 업데이트
- tokio 런타임 1.50.0 → 1.51.1 (한 사이클에 두 단계 업그레이드)
- gRPC-Go 1.80.0으로 업데이트
- 웹 대시보드 lodash 4.18.1로 업데이트
- destination 컨트롤러 API 테스트 추가로 회귀 감지 커버리지 강화
OpenFeature core/v0.15.2이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗OpenFeature flagd-proxy/v0.9.4이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗OpenFeature flagd/v0.15.2이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗Falco 0.43.1은 libs를 0.23.2로, 컨테이너 플러그인을 0.6.4로 올린 최소 패치 릴리스입니다. 기능 변경이나 버그 수정은 없습니다.
enhancement컨테이너 플러그인 0.6.4 변경 사항 확인 후 업그레이드 결정
이번 릴리스의 실질적 이유는 컨테이너 플러그인 0.6.4와 libs 0.23.2 동반 반영입니다. Falco 룰에서 컨테이너 메타데이터 보강 기능을 활용 중이라면 컨테이너 플러그인 0.6.4 릴리스 노트를 먼저 확인하세요. 그렇지 않다면 0.43.0에서의 업그레이드는 위험 부담이 낮고, 긴급하게 적용할 필요는 없습니다.
주요 변경 (4)
- libs 버전을 0.23.2로 업데이트
- 컨테이너 플러그인을 0.6.4로 업데이트
- 드라이버는 9.1.0+driver 유지
- 머지된 PR 1건, 내부 변경 없음
Helm v4.1.4는 보안 전용 패치로, 차트 경로 탈출, 플러그인 서명 우회, 플러그인 버전 경로 탈출 등 세 가지 취약점을 수정했습니다.
security즉시 업그레이드 — 세 CVE 모두 외부 입력으로 악용 가능
차트 추출 경로 우회와 플러그인 버전 경로 탈출은 파일시스템의 임의 위치에 파일을 쓸 수 있게 합니다. 서명 우회 취약점은 배포 채널을 제어할 수 있는 공격자가 서명되지 않은 플러그인을 설치하도록 허용합니다. 외부 또는 반신뢰 소스에서 차트나 플러그인을 가져오는 CI/CD 파이프라인이 있다면, 이번 패치 이전 버전에서는 노출 상태입니다. 유지보수 윈도우를 기다리지 말고 v4.1.4(또는 4월 8일 출시 예정인 v3.20.3)로 즉시 업그레이드하세요.
security업그레이드 전 설치된 플러그인 출처를 반드시 점검
GHSA-q5jf-9vfq-h4h7 취약점으로 인해, 플러그인 검증이 활성화된 상태에서도 .prov 파일이 없으면 서명되지 않은 플러그인이 설치될 수 있었습니다. 업그레이드 전에 'helm plugin list'로 설치된 플러그인을 확인하고 출처를 수동 검증하세요. 업그레이드 후에는 공식 소스에서 플러그인을 재설치해 서명 검증이 올바르게 동작하는지 확인하는 게 좋습니다.
enhancementCI 파이프라인에서 Helm 버전을 v4.1.4로 명시적 고정
'latest' 또는 마이너 버전 태그로 Helm을 참조하고 있다면 v4.1.4로 정확히 고정하세요. 이번 릴리스에서 Helm 팀이 CodeQL 액션을 커밋 SHA로 고정한 것처럼, 파이프라인의 모든 툴체인 의존성에 동일한 원칙을 적용하는 것이 좋습니다.
주요 변경 (4)
- GHSA-hr2v-4r36-88hr: Chart.yaml의 dot-segment 이름을 악용해 지정된 디렉터리 외부로 파일 추출 경로를 우회 가능
- GHSA-q5jf-9vfq-h4h7: .prov 파일 누락 시 플러그인 서명 검증이 통과되어 서명되지 않은 플러그인 설치 허용
- GHSA-vmx8-mqv2-9gmg: 플러그인 메타데이터 version 필드의 경로 탈출로 Helm 플러그인 디렉터리 외부에 임의 파일 쓰기 가능
- 기능 변경이나 동작 추가 없음 — 순수 보안 수정만 포함
Keycloak 26.6.0은 JWT Authorization Grant, Federated Client Auth, Workflows, 무중단 패치 릴리스를 정식 지원으로 격상하면서, UMA·SCIM·Organizations 관련 보안 버그 다수를 수정했습니다.
securitySCIM·UMA 보안 취약점 즉시 패치 필요
SCIM에서 IDOR 방식의 리소스 수정 및 그룹 관리 권한 우회가 가능했던 두 가지 버그가 수정됐습니다. UMA 권한 부여는 만료된 ID 토큰이나 다른 클라이언트용 토큰을 수락하는 문제도 함께 고쳐졌습니다. SCIM이나 UMA를 사용 중이라면 즉시 26.6.0으로 업그레이드하세요. 별도 설정 변경은 불필요하지만, 사용 중인 SCIM 플러그인/익스텐션이 새 유효성 검사와 호환되는지 확인하세요.
breaking$ 문자 포함 시크릿은 KCRAW_ 프리픽스로 전환해야 함
시크릿 매니저 등에서 $ 문자가 포함된 패스워드를 환경변수로 주입할 경우, KC_ 프리픽스는 SmallRye 표현식 평가로 값을 묵시적으로 변조합니다. KC_<KEY> 대신 KCRAW_<KEY>를 사용하면 값이 그대로 유지됩니다. 업그레이드 전에 기존 환경변수를 전수 점검하세요. ${ 또는 $$ 패턴이 포함된 시크릿은 이전 버전에서 이미 깨져 있을 수 있습니다.
enhancementOperator 배포에서 무중단 롤링 업데이트 활성화
무중단 패치 릴리스가 기본 활성화됐습니다. Operator로 Keycloak을 운영 중이라면 업데이트 전략을 명시적으로 Auto로 설정하세요. 아울러 새로 도입된 HTTP Graceful Shutdown 기본값(지연 1초, 타임아웃 1초)을 검토하고, 리버스 프록시의 연결 드레이닝이 더 길게 걸리는 환경(특히 비-Kubernetes 환경이나 장기 연결 사용 구성)에서는 해당 값을 늘려 설정하세요.
주요 변경 (7)
- JWT Authorization Grant(RFC 7523)와 Federated Client Authentication 정식 지원 — 클라이언트별 시크릿 관리 없이 외부→내부 토큰 교환 가능
- 무중단 패치 릴리스 기본 활성화 — Operator 사용 시 업데이트 전략을 Auto로 설정해야 효과 적용
- KCRAW_ 환경변수 프리픽스 도입 — $ 문자 포함 패스워드의 SmallRye 표현식 평가로 인한 묵시적 변조 문제 해결
- UMA 권한 부여가 만료된 ID 토큰 및 다른 클라이언트 발행 토큰을 거부하도록 수정 (#46716, #46717)
- SCIM IDOR 버그 수정 — PUT 엔드포인트의 body ID 재정의 공격 및 그룹 관리 권한 우회 패치 (#46658, #47536)
- OTP와 비밀번호 브루트포스 보호를 기본적으로 분리해 OTP 우회 공격 차단 (#46164)
- Keycloak 및 KeycloakRealmImport CRD가 v2beta1로 승격
OpenFeature core/v0.15.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗OpenFeature flagd-proxy/v0.9.3이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗OpenFeature flagd/v0.15.1이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.
원문 ↗Flux v2.8.5는 Kustomization을 멈추게 하던 캐시 경쟁 조건 버그와 Azure Blob 접두사 미적용 문제를 수정하고, GCR Receiver 검증 필드를 추가한 패치 릴리스입니다.
breakingKustomization이 멈춰 있다면 이 패치로 해결되겠습니다
조정 타임아웃이나 취소 이후 Kustomization이 stuck 상태로 남아 수동으로 flux reconcile을 실행하거나 파드를 재시작해야 했다면, kustomize-controller v1.8.3의 경쟁 조건 수정이 바로 이 문제를 해결합니다. v2.8.5로 업그레이드한 뒤 조정 루프를 모니터링하세요. 별도 설정 변경은 없으며, 기존에 멈춰 있던 Kustomization이 자동으로 복구되는지 확인하면 됩니다.
breaking업그레이드 후 Azure Blob prefix 필터링 동작을 반드시 검증하세요
Azure Blob Storage 기반 Bucket 소스에 prefix를 설정했다면, 기존에는 해당 옵션이 실제로 적용되지 않아 의도보다 더 많은 오브젝트를 동기화하고 있었습니다. v2.8.5 업그레이드 후 prefix 필터가 실제로 작동하므로, 예상한 블롭 범위만 동기화되는지 확인하고 기존에 무시되던 경로가 배포에 영향을 주지 않는지 검증해야 합니다.
enhancementGCR 웹훅 보안을 email/audience 필드로 강화하세요
GCR Receiver에 선택적 'email'과 'audience' 필드가 추가됐습니다. GCR 이미지 푸시 웹훅으로 Flux 조정을 트리거하고 있다면, Receiver 스펙에 이 필드를 추가해 서비스 계정 ID와 토큰 대상을 검증하도록 설정하세요. 위조된 웹훅 요청의 위험을 낮출 수 있습니다. 선택 사항이므로 기존 설정은 그대로 동작하지만, 보안 요구사항이 높은 환경에서는 적용을 권장합니다.
주요 변경 (5)
- kustomize-controller 경쟁 조건 수정: 취소된 조정 작업이 남긴 스테일 캐시로 Kustomization이 멈추던 문제 해결
- Azure Blob Storage 소스 수정: prefix 옵션이 스토리지 클라이언트에 전달되지 않던 버그 수정 (기존에는 조용히 무시됨)
- source-controller에서 비밀번호 없는 암호화 SSH 키 사용 시 오류 메시지 개선
- notification-controller GCR Receiver에 'email' 및 'audience' 선택 필드 추가로 웹훅 검증 강화
- notification-controller에 Azure Event Hub 관리 ID 인증 예시 매니페스트 추가