RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Kubeflow

AI & ML2025년 7월 18일

Kubeflow Platform 1.10.2는 CI/보안 테스트 개선과 의존성 업데이트 위주의 유지보수 릴리스이며, 가장 눈여겨볼 변경은 Istio CNI가 기본값으로 전환되고 Istio 1.26.1로 마이그레이션되면서 관련 설정이 병합된 부분입니다. 기존 Istio 매니페스트를 운용 중이라면 영향을 받을 수 있습니다.

  • breakingIstio CNI 기본 전환 및 Istio 1.26.1 마이그레이션

    Istio CNI가 기본값으로 전환되고 Istio가 1.26.1로 마이그레이션되면서 기존 Istio 및 Istio CNI 설정이 하나로 통합되었습니다. 기존에 커스텀 Istio 매니페스트를 운용 중이라면 병합된 설정 구조에 맞춰 검토가 필요합니다.

  • breaking정적 PSS 파일 제거, 스크립트 기반 라벨 적용으로 전환

    정적 PSS(Pod Security Standards) 파일이 제거되고, 대신 enable PSS 스크립트가 보안 라벨을 네임스페이스에 직접 적용하는 방식으로 바뀌었습니다. 정적 PSS 파일을 참조하던 배포 파이프라인이 있다면 스크립트 기반 적용 방식으로 전환해야 합니다.

주요 변경 (7)
  • Istio CNI를 기본값으로 전환하고 Istio 1.26.1로 마이그레이션, Istio와 Istio CNI 설정을 하나로 병합 (기존 매니페스트 영향 가능)
  • 정적 PSS 파일 제거, enable PSS 스크립트가 보안 라벨을 직접 적용하는 방식으로 변경
  • model-registry 매니페스트 v0.2.19, spark-operator 매니페스트 2.2.0으로 업데이트
  • V1 파이프라인 워크플로에 SeaweedFS 기반 네임스페이스 격리 추가 및 관련 CI 보안 테스트 도입
  • KServe 경로 기반 라우팅 구현, Model Registry용 Helm Charts 지원 추가
  • seaweedfs PSS 경고, spark-operator 스크립트 sed 패턴, 파이프라인 적용 명령, Dex README 설정 오류 등 다수 버그 수정
  • busybox 이미지를 ghcr로 이전하고 OpenSSF Best Practices 배지 추가 등 문서/인프라 정비
원문

Kubeflow

AI & ML2025년 5월 14일

한국어 준비 중Kubeflow v1.10.1 is a patch release focused on component manifest synchronization (KServe, model-registry, spark-operator, Pipelines, Training Operator) and CI/test hardening, with two operator-visible changes: Spark Operator is now enabled by default and Istio sidecar injection moved from annotations to labels. No security fixes are included.

  • breakingSpark Operator is now enabled by default

    Spark Operator now ships enabled by default rather than disabled, so clusters upgrading to v1.10.1 will get Spark Operator running unless it is explicitly turned off first. Review your kustomization overlays if you don't want it active.

  • breakingIstio sidecar injection now configured via labels, not annotations

    Istio sidecar injection configuration moved from annotations to labels. Manifests or overlays that toggle injection via annotations need updating to use labels instead, or sidecar injection may silently stop applying as expected.

주요 변경 (6)
  • Spark Operator is enabled by default, an operator-visible default change from previous releases
  • Istio sidecar injection switched from annotations to labels
  • Fixed a service account token error ("Jwt issuer is not configured")
  • Manifest syncs across the stack: KServe v0.15.0 (web app v0.14.0), model-registry v0.2.17, spark-operator 2.1.1, Pipelines 2.5.0, Training Operator v1.9.2
  • Several smaller bugfixes: Knative Serving 404 via example.com patch, KServe cert-manager readiness checks, PSS warnings for cluster-local-gateway and knative-serving plus stricter PSS baseline enforcement in CI
  • Profiles now integrate with SeaweedFS, plus CI/CD workflow improvements and PodDisruptionBudget documentation
원문

Notary Project

Security2025년 4월 27일

Notation v1.3.2는 golang-jwt의 CVE-2025-30204를 수정한 보안 패치로, 1.3 브랜치에 백포트된 릴리스입니다.

  • securityCVE-2025-30204 대응: v1.3.2로 즉시 업그레이드

    CVE-2025-30204는 golang-jwt의 JWT 검증 우회 취약점입니다. Notation 1.3.x 버전을 사용 중이라면 지금 바로 v1.3.2로 올려야 합니다. 이번 패치 릴리스의 존재 이유가 바로 이 취약점 하나입니다. v1.4 이상을 사용 중이더라도, 해당 버전에 이미 수정이 포함되어 있는지 반드시 확인하세요.

  • enhancement1.3 버전을 유지해야 하는 팀에게 안전한 업그레이드 경로

    아직 최신 메이저 버전으로 전환하지 못한 팀이라면 v1.3.2는 부담 없이 적용할 수 있습니다. 변경 범위가 JWT 의존성 업데이트와 소소한 정리에 국한되어 있어 동작 변화 없이 기존 1.3.x 환경에 그대로 교체할 수 있습니다.

주요 변경 (3)
  • golang-jwt 의존성 업데이트로 CVE-2025-30204 패치
  • main 브랜치에서 release-1.3 브랜치로 백포트 적용
  • 보안 수정과 함께 소소한 코드 및 문서 정리
원문
← 최신