RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

The Update Framework (TUF)

Security2026년 5월 18일

v7.0.0은 Windows 위임 경로 매칭 보안 취약점(GHSA-qp9x-wp8f-qgjj)을 수정하고, ngclient의 Updater() 생성자 시그니처를 변경한 메이저 릴리스입니다.

  • securityWindows 환경이라면 즉시 v7.0.0으로 업그레이드하세요

    GHSA-qp9x-wp8f-qgjj는 Windows에서 위임 경로 매칭이 의도와 다르게 동작해, 신뢰해서는 안 될 타겟이 검증을 통과할 수 있는 취약점입니다. Windows 클라이언트가 하나라도 있다면 즉시 패치해야 합니다. Linux/macOS는 직접적인 영향은 없지만, 어차피 업그레이드 필요성은 동일합니다.

  • breakingUpdater() 호출 코드 전수 점검 필요

    'bootstrap'이 선택적 인자에서 명시적 키워드 인자로 바뀌었습니다. 기존에 bootstrap을 생략하고 Updater()를 호출하던 코드는 즉시 TypeError가 발생합니다. 코드베이스 전체에서 Updater() 호출 부분을 찾아 bootstrap=None을 추가하는 것으로 간단히 해결됩니다. 호출 지점마다 한 줄 수정이지만, 빠뜨리면 런타임 오류로 직결됩니다.

  • enhancementsecuresystemslib.hash 의존성 제거 예고에 미리 대비하세요

    이번 릴리스는 securesystemslib.hash 제거의 시작점입니다. 커스텀 TUF 확장이나 내부 코드에서 securesystemslib.hash를 직접 import하거나 사용하고 있다면, 차기 릴리스에서 완전히 제거되기 전에 마이그레이션 계획을 세워두는 것이 좋습니다.

주요 변경 (5)
  • Windows에서 위임 경로 매칭이 잘못 동작하던 보안 취약점(GHSA-qp9x-wp8f-qgjj) 수정
  • Updater() 생성자에서 'bootstrap'이 이제 명시적 키워드 인자로 필수화됨
  • 기존 동작을 유지하려면 bootstrap=None을 명시적으로 전달해야 함
  • 향후 securesystemslib.hash 의존성 제거를 위한 사전 준비 작업 포함
  • 문서 오류 다수 수정
원문

Buildpacks

CI/CD & App Delivery2026년 5월 16일

pack v0.40.6은 'builder inspect'의 신뢰 감지 버그를 수정하고 heroku/builder:26을 기본 신뢰 빌더 목록에 추가한 소규모 패치 릴리스입니다.

  • breaking신뢰 감지 버그 우회 코드 제거 필요

    'builder inspect'가 신뢰된 빌더를 untrusted로 잘못 표시하던 문제 때문에 CI 스크립트에 '--trust-builder' 플래그나 별도 우회 로직을 추가했다면, v0.40.6으로 업그레이드 후 해당 코드를 제거하세요. 불필요한 신뢰 override는 보안 관점에서도 정리하는 게 맞습니다.

  • enhancementheroku/builder:26 신뢰 설정 별도 구성 불필요

    Heroku 스택 26을 사용하는 팀은 더 이상 빌더를 수동으로 신뢰 처리할 필요가 없습니다. v0.40.6으로 업그레이드하고 설정 파일이나 파이프라인에 남아 있는 heroku/builder:26 관련 명시적 신뢰 설정을 정리하세요.

주요 변경 (3)
  • 'builder inspect'에서 신뢰된 빌더를 untrusted로 잘못 표시하던 버그 수정
  • heroku/builder:26을 기본 신뢰 빌더 목록에 추가
  • 이 릴리스로 생성된 빌더에 lifecycle v0.21.0 기본 탑재
원문

Dapr

Orchestration & Management2026년 5월 15일

Dapr v1.17.7은 워크플로우 안정성, 메시징 정확성, 컨트롤 플레인 복원력을 겨냥한 집중적인 버그 수정 릴리스입니다. 워크플로우, Kafka, RabbitMQ를 운영 중이라면 즉시 업그레이드를 권장합니다.

  • security1.18에서 다운그레이드했거나 Ed25519/RSA 키를 사용 중이라면 Sentry를 즉시 업그레이드하세요

    dapr/kit의 타입 스위치 버그로 인해 Ed25519 및 RSA 발급자 키가 있을 때 Sentry가 'unsupported key type'으로 시작에 실패하고 크래시 루프에 빠집니다. Sentry가 크래시 루프 상태이면 mTLS 인증서 발급과 갱신이 모두 중단됩니다. 만료되지 않은 인증서를 가진 사이드카는 계속 동작하지만, 파드 재시작이나 인증서 만료 시 조용히 인증이 실패합니다. 트러스트 번들을 마이그레이션할 필요 없이 1.17.7로 업그레이드하는 것만으로 해결됩니다.

  • breaking스케줄러 etcd 컴팩션 모드 변경 — PVC 용량 점검 필수

    내장 etcd의 컴팩션 방식이 주기(10분) 기반에서 리비전(100만) 기반으로 바뀌고, 기본 스토리지 크기가 1Gi에서 16Gi로 늘어납니다. Kubernetes StatefulSet의 volumeClaimTemplates는 불변이라 기존 1Gi PVC는 자동으로 조정되지 않습니다. 워크플로우를 실제로 운영 중이라면 업그레이드 전에 현재 PVC 사용률을 확인하고, 용량이 부족하다면 클러스터에서 직접 PVC를 먼저 확장해야 합니다. Helm 차트는 기존 PVC 크기를 덮어쓰지 않도록 lookup 헬퍼를 사용하지만, 자동 확장은 하지 않습니다.

  • enhancement업그레이드 전 워크플로우 페이로드 크기 비율 대시보드를 미리 구성하세요

    새로 추가된 dapr_runtime_workflow_payload_size_ratio와 dapr_runtime_workflow_activity_payload_size_ratio 메트릭은 페이로드 크기를 --max-body-size 대비 비율로 표현합니다. 업그레이드 후 histogram_quantile(0.99, ...) > 0.9 조건으로 Prometheus 알림을 설정해두면, 워크플로우가 0.95 임계치에 걸려 Stall 상태가 되기 전에 미리 감지할 수 있습니다. 페이로드가 크거나 히스토리가 긴 워크플로우를 운영 중이라면 특히 유용합니다. --max-body-size가 명시적으로 설정된 경우에만 메트릭이 기록된다는 점도 참고하세요.

주요 변경 (7)
  • 워크플로우 상태 저장에 낙관적 동시성(ETag) 도입 — Placement 리밸런싱 중 히스토리 무결성 보장
  • Ed25519/RSA 발급자 키 사용 시 Sentry 크래시 루프 수정 — 1.18에서 다운그레이드했거나 키를 교체한 환경에서 치명적
  • Kafka 정상 종료 시 인플라이트 메시지를 드레인한 후 컨슈머 세션을 닫아 중복 처리 제거
  • RabbitMQ 구독 재시작 시 동일 연결의 형제 구독이 함께 종료되던 연쇄 장애 수정
  • 스케줄러 내장 etcd 기본값을 워크플로우 부하 패턴에 맞게 재조정 — 컴팩션 방식이 주기 기반에서 리비전 기반으로 변경, 신규 설치 기본 스토리지 16Gi로 증가
  • WatchHosts 스트림 재연결 중 스케줄러가 일시적으로 불가용할 때 daprd가 스스로 종료되던 문제 수정
  • 워크플로우 페이로드 크기 비율 메트릭 2개 추가 — Stall 발생 전 사전 용량 계획 가능
원문

Linkerd

Networking & Messaging2026년 5월 15일

네이티브 사이드카가 GA로 승격되어 기본 활성화됐고, Server 리소스가 다른 네임스페이스 워크로드에 영향을 줄 수 없도록 보안 수정이 적용됐습니다.

  • securityServer 네임스페이스 격리 수정 — 크로스 네임스페이스 Server 리소스 즉시 점검

    Server 리소스가 자신이 속한 네임스페이스 외부 워크로드에 더 이상 영향을 줄 수 없도록 수정됐습니다. 의도적이든 실수든 크로스 네임스페이스로 작동하던 Server 정책이 있다면, 업그레이드 후 조용히 적용이 중단됩니다. 전체 네임스페이스의 Server 리소스를 점검하고 인가 정책이 여전히 의도대로 동작하는지 확인하세요.

  • breaking네이티브 사이드카 기본 활성화 — 업그레이드 전 클러스터 점검 필수

    Kubernetes init 컨테이너(restartPolicy: Always)를 사용하는 네이티브 사이드카 지원이 GA로 승격되면서 기본 활성화됐습니다. 클러스터가 Kubernetes 1.29 미만이라면 인젝션이 깨집니다. 지원되는 버전이더라도 admission webhook, 파드 라이프사이클 가정 등 워크로드 호환성을 사전에 확인하세요. 프로덕션 적용 전 스테이징에서 반드시 검증하고, 이전 동작이 필요하다면 install/upgrade 시 피처 플래그를 명시적으로 비활성화해야 합니다.

  • enhancementlinkerd-proxy PodMonitor에서 honorTimestamps 설정 가능

    Prometheus Operator를 사용 중이고 Linkerd 프록시 메트릭에서 타임스탬프 불일치(오래된 샘플, 순서 역전 등)가 발생했다면, 이제 Helm 차트에서 PodMonitor의 honorTimestamps를 직접 설정할 수 있습니다. 메트릭 수집 파이프라인에 민감한 팀이라면 다음 Helm 업그레이드 시 기본값에 맡기지 말고 명시적으로 지정하세요.

주요 변경 (6)
  • 네이티브 사이드카 인젝션 GA 승격 및 기본 활성화 — 별도 피처 게이트 불필요
  • 보안 수정: Server 리소스가 타 네임스페이스 워크로드에 영향을 줄 수 없도록 제한
  • 멀티클러스터 환경의 게이트웨이 liveness 동기화 개선
  • rustls 0.23.40, openssl, aws-lc-rs 업데이트로 암호화 스택 갱신
  • 프록시 v2.352.0, Go 툴체인 1.25.10, Helm 3.21.0으로 업그레이드
  • linkerd-proxy PodMonitor의 honorTimestamps 설정 가능해짐
원문

Helm

Kubernetes Core2026년 5월 14일

Helm v3.21.0은 Kubernetes 클라이언트 라이브러리를 v1.36으로 올리고, OpenTelemetry CVE를 패치하며, OCI 인덱스 차트 풀 버그를 수정합니다. v3 EOL이 가까워지고 있습니다.

  • securityOpenTelemetry CVE 패치를 위해 즉시 업그레이드

    이번 릴리스에서 OpenTelemetry 패키지의 CVE를 직접 수정했습니다. CI/CD 파이프라인이나 자동화 툴링에서 Helm을 사용 중이라면 다음 패치 릴리스를 기다리지 말고 지금 바로 v3.21.0으로 올리세요.

  • breakingHelm v4 마이그레이션 계획을 지금 시작해야 합니다

    릴리스 노트에 Helm v3 EOL이 명시적으로 경고됩니다. v3.22.0이 Kubernetes v1.37을 타깃으로 하는 마지막 주요 피처 릴리스가 될 수 있습니다. 커스텀 플러그인이나 Helm CLI, Go SDK를 기반으로 한 자동화 코드가 있다면 지금부터 v4 변경 사항을 검토하세요.

  • enhancement멀티아키텍처 레지스트리 환경에서 OCI 인덱스 차트 풀 재검토

    OCI 이미지 인덱스 매니페스트에서 차트를 풀하는 버그가 수정됐습니다. 멀티아키텍처 환경에서 이 문제를 회피하기 위해 다이제스트 직접 참조나 특정 매니페스트 태그를 써왔다면, 해당 워크어라운드가 더 이상 필요하지 않을 수 있으니 검토해 보세요.

주요 변경 (5)
  • Kubernetes 클라이언트 라이브러리 v1.36으로 업그레이드
  • OpenTelemetry 패키지 CVE 보안 패치 적용
  • OCI 이미지 인덱스에서 차트 풀링 버그 수정
  • 차트 dot-name 경로 버그 수정
  • 차트 기본값이 빈 맵일 때 nil 값이 올바르게 유지되도록 수정
원문

Helm

Kubernetes Core2026년 5월 14일

Helm v4.2.0은 Kubernetes 1.36 클라이언트 지원, mustToToml 템플릿 함수 추가, generateName 리소스에 대한 dry-run 서버 모드 수정, 그리고 post-renderer YAML 파싱 버그 수정을 포함합니다.

  • breakingCI 스크립트에서 deprecated 플래그 제거

    --hide-notes와 --render-subchart-notes가 deprecated됐고 향후 릴리스에서 제거될 가능성이 높습니다. helm install, upgrade, template 명령을 쓰는 CI 파이프라인과 스크립트를 지금 점검해서 해당 플래그를 미리 제거해두세요. 나중에 강제로 마이그레이션하는 상황을 피할 수 있습니다.

  • enhancementTOML 템플릿에서 mustToToml로 전환

    mustToToml은 mustToJson과 동일하게 동작합니다. TOML 직렬화에 실패할 경우 빈 출력이나 잘못된 결과를 내놓는 대신 명시적 에러를 반환합니다. 차트 템플릿에서 toToml을 쓰고 있다면 mustToToml로 교체해 렌더링 실패를 즉시 감지할 수 있도록 하세요.

  • enhancementgenerateName 리소스에 대한 서버 사이드 dry-run 재검증

    이전에는 --dry-run=server가 name 대신 generateName을 사용하는 리소스를 건너뛰어서 검증이 된 것처럼 보였습니다. 이제 수정됐으므로, generateName을 사용하는 차트에 대해 서버 사이드 dry-run을 다시 실행해보세요. 기존에 조용히 무시되던 검증 오류가 드러날 수 있습니다.

주요 변경 (5)
  • Kubernetes 클라이언트 라이브러리를 v1.36으로 업그레이드
  • 에러 안전 방식의 mustToToml 템플릿 함수 추가
  • --dry-run=server가 generateName 리소스를 제대로 처리하도록 수정
  • --hide-notes, --render-subchart-notes 플래그 deprecated 처리
  • post-renderer에서 YAML 구분자 처리, 줄 끝 문자 보존, 훅 충돌 문제 수정
원문

Cilium

Networking & Messaging2026년 5월 13일

Cilium v1.19.4는 크래시 방지, IPsec 안정성, Cluster Mesh 정확성 등 20개 이상의 버그를 수정한 안정성 중심 패치 릴리스입니다.

  • securitymoby/spdystream 보안 픽스 포함 — 즉시 업그레이드 권장

    github.com/moby/spdystream가 v0.5.1로 보안 업데이트됐습니다. 이 의존성은 Kubernetes API 통신 경로에서 사용됩니다. 릴리스 노트에 CVE 번호는 명시되지 않았지만, v1.19.3을 유지하면 노출이 지속됩니다. 업그레이드를 서두르세요.

  • breaking수동 관리 EndpointSlice에 service-proxy-name 레이블 추가 필수

    --k8s-service-proxy-name을 설정하고 EndpointSlice를 직접 관리하는 경우, 업그레이드 후 service.kubernetes.io/service-proxy-name 레이블이 없는 슬라이스는 Cilium 감시 대상에서 완전히 제외됩니다. 트래픽 단절로 이어지므로 업그레이드 전에 반드시 수동 관리 슬라이스를 점검하고 누락된 레이블을 추가하세요.

  • enhancementIPsec, WireGuard, Cluster Mesh 사용 환경은 이번 패치 우선 적용

    이번 릴리스에 데이터 플레인 안정성 핵심 수정 세 가지가 포함됩니다. IPsec 키 교체 중 롤링 재시작 시 패킷 드롭, MTU 제약 환경에서 IPv6 + WireGuard 무음 패킷 손실, 다중 포트 서비스에서 Cluster Mesh 백엔드 누락이 모두 해소됩니다. 이 기능 중 하나라도 사용 중이라면 이번 패치를 업그레이드 우선순위 1순위로 올리세요.

주요 변경 (5)
  • CiliumNode 업데이트 중 일시적 네트워크 오류 발생 시 에이전트가 Fatal 대신 재시도하도록 수정
  • IPsec 롤링 재시작 + 키 교체 시 패킷 드롭 수정: XFRM 상태 준비 완료 후 SPI 광고 지연 처리
  • IPv6 활성화 시 WireGuard MTU를 최솟값(1280)으로 고정해 터널+암호화 환경의 무음 패킷 손실 방지
  • EndpointSlice 감시가 서비스 프록시 이름 레이블 기준으로 필터링됨 — 수동 관리 슬라이스에 레이블 추가 필요
  • 여러 서비스 포트가 동일 대상 포트를 공유할 때 Cluster Mesh 글로벌 서비스 백엔드 누락 문제 수정
원문

Cilium

Networking & Messaging2026년 5월 13일

v1.17.16은 CiliumLocalRedirectPolicy의 네임스페이스 간 트래픽 하이재킹 취약점, IPsec 에이전트 패닉, 스태틱 파드 ID 해석 오류를 수정한 패치 릴리스입니다.

  • security업그레이드 전 LRP addressMatcher 설정 점검 필수

    이번 LRP addressMatcher 변경은 실제 공격 경로를 막은 것입니다. 기존에는 한 네임스페이스의 정책이 다른 네임스페이스의 Service 프론트엔드를 덮어쓰고 트래픽을 가로챌 수 있었습니다. 업그레이드 후에는 기존 Service 프론트엔드와 겹치는 addressMatcher를 가진 LRP가 조용히 동작을 멈춥니다 — 트래픽 리다이렉션이 예상대로 작동하지 않을 수 있습니다. 업그레이드 전에 모든 CiliumLocalRedirectPolicy 오브젝트의 addressMatcher 항목이 기존 Service와 충돌하는지 확인하세요. 기존 동작이 꼭 필요하다면 --enable-lrp-address-matcher-override=true 플래그를 사용할 수 있지만, 이는 임시 방편으로만 쓰고 정책을 재설계하는 것이 맞습니다.

  • securityIPsec 사용 중이라면 즉시 업그레이드 — 에이전트 크래시 위험

    parseSPI 패닉 취약점은 잘못된 형식의 IPsec 패킷 하나로 Cilium 에이전트를 크래시시킬 수 있어, 해당 노드의 네트워킹 전체가 다운될 수 있습니다. IPsec 투명 암호화를 사용하는 클러스터라면 단순한 서비스 거부(DoS) 위험이 됩니다. 복잡한 공격 기법이 필요 없기 때문에 IPsec 환경이라면 v1.17.16으로 빠르게 업그레이드하세요.

  • breakingLRP addressMatcher 동작 변경 — 하위 호환성 없음

    단순한 버그 수정이 아닌 동작 방식 자체가 바뀐 변경입니다. Service ClusterIP나 외부 IP와 겹치는 addressMatcher를 사용하는 LRP는 이전에는 동작했더라도 이제는 거부되거나 무시됩니다. 운영 환경에 적용하기 전에 반드시 비운영 환경에서 LRP 설정을 검증하세요. --enable-lrp-address-matcher-override=true 플래그로 이전 동작을 되살릴 수는 있지만, 그것은 취약점이 있는 동작을 다시 허용하는 셈임을 명심하세요.

주요 변경 (5)
  • CiliumLocalRedirectPolicy addressMatcher가 기존 Service 프론트엔드 덮어쓰기를 차단 — 네임스페이스 간 트래픽 하이재킹 및 서비스 맵 손상 방지, 기존 동작은 별도 플래그로 복원 가능
  • IPsec: 잘못된 형식의 SPI 입력 처리 시 parseSPI에서 발생하던 패닉 수정 — 에이전트 크래시 위험 제거
  • CNI 파드 UID가 쿠버네티스 미러 파드 UID와 다른 스태틱 파드의 엔드포인트 ID 해석 오류 수정
  • CiliumNode 동기화 관련 클러스터 풀 IPAM 메트릭이 쿠버네티스에 제대로 등록되지 않던 문제 수정
  • 보안 의존성 업데이트: moby/spdystream v0.5.1로 업그레이드 (보안 패치)
원문

Cilium

Networking & Messaging2026년 5월 13일

Cilium v1.18.10은 에이전트 크래시, IPsec 패닉, Cluster Mesh 백엔드 누락, IPAM 데이터 레이스를 수정한 안정성 패치 릴리스입니다.

  • securitymoby/spdystream 및 x/net 보안 업데이트 포함

    github.com/moby/spdystream 보안 수정과 x/net v0.53 업그레이드가 함께 포함됐습니다. 두 패키지 모두 네트워크 계층 의존성입니다. 전이적 의존성 CVE까지 추적하는 정책을 운영 중이라면 이번 패치만으로도 업그레이드 이유는 충분합니다.

  • breakingIPsec 패닉 위험 해소를 위한 암호화 클러스터 즉시 업그레이드

    잘못된 형식의 IPsec 입력이 들어올 경우 parseSPI에서 패닉이 발생해 에이전트 프로세스 전체가 중단될 수 있습니다. IPsec 암호화를 사용 중이라면 우선순위 업그레이드 대상으로 분류하세요. 잘못된 패킷 하나나 설정이 맞지 않는 피어 노드만으로도 에이전트가 죽을 수 있습니다.

  • enhancement타겟 포트 공유 서비스를 쓰는 Cluster Mesh 환경은 반드시 업그레이드

    여러 포트가 같은 타겟 포트를 가리키는 서비스에서 글로벌 백엔드가 조용히 누락되는 버그가 있었습니다. 단일 클러스터 내에서는 정상 동작하지만 크로스 클러스터 라우팅이 실패하는 증상이 나타납니다. 업그레이드 후 hubble observe나 서비스 엔드포인트 점검으로 영향받은 서비스를 직접 확인하세요.

주요 변경 (5)
  • CiliumNode 업데이트 중 일시적 네트워크 오류 발생 시 Fatal 종료 대신 재시도하도록 수정
  • 잘못된 SPI 입력으로 인한 IPsec 패닉 수정 — 암호화 클러스터의 노드 중단 방지
  • 여러 서비스 포트가 동일한 타겟 포트를 가리킬 때 Cluster Mesh 글로벌 서비스 백엔드가 누락되던 문제 수정
  • CiliumLocalRedirectPolicy가 백엔드 파드 준비 전에 기존 서비스 프런트엔드를 덮어쓰던 문제 수정
  • MultiPoolManager IPAM 데이터 레이스 해결 및 보안 패치 포함한 x/net v0.53 업그레이드
원문

Jaeger

Observability2026년 5월 13일

Jaeger v2.18.0은 OTEL 메트릭 구조 변경과 min-step API 제거라는 두 가지 브레이킹 체인지와 함께, ES/OpenSearch 헤더 포워딩, UI 상태 관리의 Redux→Zustand 전환 등 굵직한 변화를 담고 있습니다.

  • breaking업그레이드 전 메트릭 대시보드 전수 점검

    OTEL 컬렉터 패키지 업그레이드로 Jaeger 내부 메트릭 이름과 구조가 바뀌었습니다. Grafana 대시보드, Prometheus 알림 규칙, 모니터링 쿼리를 모두 검토해야 합니다. 가능하면 구버전과 신버전을 병행 실행하며 메트릭 차이를 먼저 확인하세요. min_step 제거는 영향 범위가 좁지만, metricstore API를 직접 호출하는 커스텀 도구가 있다면 반드시 코드 수정 후 업그레이드해야 합니다.

  • enhancement커스텀 헤더 인증을 쓴다면 헤더 포워딩 기능 즉시 활용 가능

    ES/OpenSearch 클러스터에 JWT나 IAM 프록시 헤더 같은 커스텀 인증 헤더가 필요한 환경이라면, 이번에 추가된 헤더 포워딩 기능이 기존 workaround를 대체할 수 있습니다. 멀티 테넌트 환경에서 요청 헤더로 스토리지 라우팅을 제어하는 구성에도 그대로 적용됩니다. jaeger-query 또는 gRPC 스토리지 플러그인 설정에서 구성하면 됩니다.

  • enhancementClickHouse 단일 스토리지로 트레이스와 SPM을 함께 쓸 수 있는 시점 임박

    ClickHouse SPM이 이번 릴리스에서 호출률, 오류율, 지연시간을 모두 지원하게 됐고 TTL도 추가됐습니다. 아직 실험적 단계라 프로덕션 투입은 이르지만, ClickHouse를 이미 운영 중이거나 Prometheus 없이 SPM을 쓰고 싶다면 지금 스테이징 환경에서 테스트를 시작하기 좋은 타이밍입니다.

주요 변경 (6)
  • 브레이킹: OTEL 컬렉터 패키지 업그레이드로 메트릭 이름과 구조 변경 — 기존 대시보드와 알림 규칙 검토 필수
  • 브레이킹: metricstore에서 min_step API 제거 — 해당 엔드포인트를 직접 호출하는 도구는 수정 필요
  • 신규: UI가 브라우저 URL에서 베이스 경로를 자동 감지 — 리버스 프록시 환경에서 수동 설정 불필요
  • 신규: ES/OpenSearch 및 gRPC 스토리지 백엔드로 커스텀 헤더 포워딩 가능 — 인증 토큰 전달에 유용
  • 실험적: ClickHouse SPM이 호출률, 오류율, 지연시간 및 TTL 지원까지 갖추며 빠르게 성숙 중
  • UI 브레이킹: 구형 브라우저 지원 중단 — IE 및 매우 오래된 Chromium/Firefox 사용자는 영향 받음
원문

Argo

CI/CD & App Delivery2026년 5월 12일

Argo CD v3.3.10은 권한 검증 시 nil 패닉, 로그 UI 오버플로우 버그를 수정하고 CVE 해소를 위해 Go를 1.25.9로 올린 패치 릴리스입니다.

  • securityGo 1.25.9 CVE 수정 — 즉시 업그레이드 권장

    Go 런타임을 1.25.9로 올린 이유가 CVE 해소입니다. 릴리스 노트에 CVE ID가 명시되지 않았지만, 안정 브랜치에서 보안 목적으로 런타임을 교체했다면 다음 정기 점검까지 미룰 이유가 없습니다. 3.3.x를 운영 중이라면 지금 바로 3.3.10으로 업그레이드하세요.

  • breaking서버사이드 diff의 시크릿 마스킹 동작 변경 — 자동화 파이프라인 점검 필요

    서버사이드 diff 결과에 HideSecretData가 이제 정상 적용됩니다. 기존에는 diff 출력에 시크릿 값이 그대로 노출되었을 수 있는데, 업그레이드 후에는 마스킹 처리됩니다. diff 출력을 파싱하는 자동화 스크립트나 감사 도구가 있다면 업그레이드 전에 반드시 확인하세요.

  • enhancementnil APIResource 패닉 수정 — 컨트롤러 비정상 재시작 해소

    일부 커스텀 또는 비표준 API 그룹을 사용하는 환경에서 ArgoCD 컨트롤러가 이유 없이 재시작되는 현상이 있었다면, 이번 패닉 수정이 원인이었을 가능성이 높습니다. 3.3.10으로 올리면 해당 환경의 안정성이 개선됩니다.

주요 변경 (5)
  • Go 런타임을 1.25.9로 업그레이드해 3.3 브랜치의 CVE 해소
  • APIResource가 nil일 때 권한 검증기에서 패닉이 발생하던 버그 수정
  • 로그 뷰어의 줄 바꿈 토글 시 컨테이너 오버플로우 발생 문제 수정
  • gitops-engine의 서버사이드 diff 결과에 HideSecretData가 올바르게 적용되도록 수정
  • OpenTelemetry SDK를 1.43.0으로 업그레이드
원문

Argo

CI/CD & App Delivery2026년 5월 12일

Argo CD v3.4.2는 권한 검증기의 패닉 버그 수정, 서버사이드 diff의 시크릿 노출 패치, 그리고 문제가 있던 리비전 최적화 롤백을 포함한 패치 릴리스입니다.

  • security서버사이드 diff에서 시크릿 값 노출 가능 — 즉시 업그레이드 필요

    서버사이드 diff 미리보기를 사용하는 경우 Secret 리소스의 민감한 값이 UI 또는 API 응답에 그대로 노출될 수 있었습니다. 서버사이드 apply나 diff 기능을 쓰고 있다면 3.4.2로 즉시 업그레이드하세요. 노출이 의심된다면 ArgoCD API 접근 로그도 점검해보는 것이 좋습니다.

  • breakingUpdateRevisionForPaths 롤백으로 이전 동작 복원

    3.4.x에서 성능 최적화로 추가된 UpdateRevisionForPaths 호출 최소화 로직이 회귀 문제를 일으켜 롤백됐습니다. 해당 변경에 의존하던 동작이 있다면 업그레이드 후 경로 필터(path filter)를 사용하는 애플리케이션의 sync 동작을 집중적으로 모니터링하세요.

  • enhancement권한 검증기 패닉 수정으로 서버 안정성 향상

    비표준 CRD나 API 애그리게이션 환경에서 ArgoCD 서버 파드가 이유 없이 재시작되는 현상을 경험했다면 이 패치가 원인을 해결했을 가능성이 높습니다. 업그레이드 후 서버 파드 재시작 빈도가 줄어드는지 확인해 보세요.

주요 변경 (5)
  • 3.4.x에서 도입된 'UpdateRevisionForPaths 불필요 호출 방지' 최적화를 회귀 문제로 인해 롤백
  • APIResource가 nil일 때 권한 검증기에서 발생하던 nil 포인터 패닉 수정
  • 서버사이드 diff 결과에 HideSecretData가 적용되지 않던 버그 수정 — Secret 값이 UI/API diff 뷰에 노출될 수 있었음
  • OpenTelemetry SDK 1.43.0 및 moby/spdystream 0.5.1로 업데이트
  • 공급망 보안을 위한 CI 파이프라인 이미지 버전 고정 추가
원문

Kubernetes

Kubernetes Core2026년 5월 12일

v1.36.1은 ZFS 노드, Windows 네트워킹, kubeadm 클러스터 관리 등 8개 버그를 수정한 패치 릴리스입니다.

  • breakingZFS 노드 운영 중이라면 즉시 업그레이드 필요

    v1.36.0에서 cadvisor 플러그인 누락으로 ZFS 스토리지를 사용하는 노드의 kubelet이 시작되지 않습니다. v1.36.0을 ZFS 환경에 배포했다면 해당 노드들이 정상 작동하지 않을 가능성이 높으니, 추가 롤아웃 전에 반드시 v1.36.1로 패치하세요.

  • breakingWindows L2Bridge 사용자: DNS 타임아웃의 근본 원인 해소

    파드 IP가 재사용될 때 오래된 HNS 엔드포인트가 남아 트래픽이 엉뚱한 노드로 라우팅되는 문제였습니다. 증상이 DNS 설정 오류처럼 보여 원인 파악이 어렵습니다. Windows 노드에서 L2Bridge 네트워킹을 쓴다면 우선순위를 높여 이번 패치를 적용하세요.

  • enhancementkubeadm 부트스트랩, 느린 로드밸런서 환경에서도 안정화

    클라우드 환경에서 LB가 비동기로 프로비저닝될 때 kubeadm init이 실패하거나 의도치 않게 동작하는 경우가 있었습니다. 이제 부트스트랩 중에는 로컬 API 엔드포인트를 먼저 사용하고 이후 LB 엔드포인트로 전환하는 방식으로 수정됐습니다. 다음 클러스터 초기화나 업그레이드 전에 이 버전으로 올려두는 게 좋습니다.

주요 변경 (5)
  • ZFS 노드에서 kubelet이 기동되지 않던 cadvisor 플러그인 누락 문제 수정
  • Windows L2Bridge 환경에서 파드 IP 재사용 시 발생하던 HNS 엔드포인트 오염 및 DNS 타임아웃 수정
  • 대규모 클러스터(엔드포인트 1000개 이상)에서 kube-proxy의 불필요한 전체 동기화 작동 방지
  • kubeadm init 시 LB가 늦게 프로비저닝되는 환경에서 로컬 API 엔드포인트 우선 사용하도록 개선
  • kubeadm etcd 상태 확인 방식을 쿼럼 기반으로 변경, kube-apiserver용 전용 ClusterRole 분리
원문

Kubernetes

Kubernetes Core2026년 5월 12일

Kubernetes v1.35.5는 스케줄러 상태 오염, Windows 네트워킹, kube-proxy 대규모 클러스터 동작, kubeadm 초기화 문제를 수정한 패치 릴리스입니다.

  • breakingkubeadm 사용자: 업그레이드 후 kubeconfig 생성 동작 확인 필요

    kubeadm init이 admin.conf와 super-admin.conf 생성 시 controlPlaneEndpoint 대신 localAPIEndpoint를 사용하도록 바뀌었습니다. 커스텀 controlPlaneEndpoint 설정을 쓰는 클러스터라면 업그레이드 후 생성된 kubeconfig가 올바른지 반드시 검증하세요. 초기화 후 tooling이 controlPlaneEndpoint 기반 kubeconfig를 참조한다면 스테이징에서 먼저 테스트하는 것을 권장합니다.

  • enhancement대규모 클러스터: kube-proxy 업그레이드로 불필요한 전체 동기화 차단

    엔드포인트가 1000개를 넘는 환경에서 kube-proxy가 불필요한 full-sync를 반복 실행하고 있었습니다. 이번 패치로 해당 동작이 멈추므로, 바쁜 클러스터의 CPU와 네트워크 오버헤드를 직접 줄일 수 있습니다. 다음 유지보수 윈도우에 kube-proxy 업그레이드를 포함시키세요.

  • enhancement스케줄러 메모리 누수 수정 — 스케줄링 불안정 증상이 있다면 즉시 적용하세요

    동일한 이름의 Pod가 스케줄링 실패를 반복할 때 in-flight 상태 추적 데이터가 무한 증가하는 버그였습니다. 스케줄러 메모리 사용량이 지속적으로 증가하거나 스케줄링 지연이 관찰됐다면, 이 패치가 근본 원인을 해결합니다.

주요 변경 (5)
  • 스케줄러 버그 수정: 스케줄링 실패 후 동일한 이름으로 Pod를 교체할 때 in-flight 큐 상태가 누적되던 문제(메모리 무제한 증가 가능)
  • Windows L2Bridge 네트워크 수정: 노드 간 Pod IP 재사용 시 오래된 HNS 엔드포인트가 정리되지 않아 발생하던 DNS 타임아웃 해결
  • kube-proxy가 대규모 클러스터(엔드포인트 1000개 이상)에서 불필요한 전체 동기화를 수행하지 않도록 수정
  • kubeadm init 시 admin kubeconfig에 controlPlaneEndpoint 대신 localAPIEndpoint를 사용하도록 변경 — 느린 로드밸런서 환경의 부트스트랩 실패 해결
  • kubeadm etcd 상태 확인이 전체 멤버 대신 쿼럼 기반으로 동작하도록 개선
원문

Kubernetes

Kubernetes Core2026년 5월 12일

v1.34.8은 IPv6 CIDR 주소 할당 오류, 스케줄러 메모리 누수, Windows DNS 라우팅 장애, kubeadm 클러스터 부트스트랩 문제를 수정한 버그 픽스 패치입니다.

  • securitykubeadm: kube-apiserver kubelet 접근에 전용 ClusterRole 적용

    kube-apiserver의 kubelet 클라이언트가 이제 공용 역할 대신 'system:kubelet-api-admin' 전용 ClusterRole에 바인딩됩니다. kubeadm으로 관리되는 클러스터는 업그레이드 시 자동으로 적용되지만, 업그레이드 후 'kubectl get clusterrolebinding'으로 실제 적용 여부를 확인하는 것을 권장합니다.

  • breakingIPv6 클러스터: 업그레이드 전 ServiceCIDR 할당 상태 점검 필요

    64비트 IPv6 ServiceCIDR 버그로 인해 일부 클러스터에서 서브넷 범위를 벗어난 서비스 IP가 할당되어 있을 수 있습니다. v1.34.8로 업그레이드한 뒤 기존 서비스 IP가 설정된 서브넷 내에 있는지 확인하고, 범위를 벗어난 서비스는 재생성을 검토하세요. /64 IPv6 서비스 CIDR을 사용하는 클러스터에서 특히 확인이 필요합니다.

  • enhancement대규모 클러스터: kube-proxy full-sync 제거로 컨트롤 플레인 부하 감소

    1000개 이상의 엔드포인트를 운영하는 환경에서 kube-proxy가 대규모 클러스터 모드임에도 불필요한 full-sync를 수행해왔습니다. 이번 패치로 해당 동작이 제거됩니다. 별도 설정 변경 없이 업그레이드만으로 적용되며, 업그레이드 후 kube-proxy CPU 사용량을 모니터링해 개선 효과를 확인하세요.

주요 변경 (5)
  • 64비트 프리픽스 IPv6 ServiceCIDR에서 서브넷 범위 밖으로 주소를 할당하던 버그 수정
  • 동일 이름의 Pod가 스케줄링 실패 후 재생성될 때 in-flight 이벤트 상태가 무한히 쌓이던 스케줄러 메모리 누수 수정
  • Windows L2Bridge 환경에서 Pod IP 재사용 시 오래된 HNS 엔드포인트가 남아 DNS 타임아웃을 유발하던 문제 수정
  • 1000개 이상 엔드포인트 환경에서 kube-proxy가 불필요한 full-sync를 실행하던 문제 수정
  • kubeadm init 시 kubeconfig에 LocalAPIEndpoint를 사용하도록 변경하여 로드밸런서 지연 문제 해소, etcd 상태 확인도 쿼럼 방식으로 전환
원문

Flux

CI/CD & App Delivery2026년 5월 12일

Flux v2.8.7은 go-git의 CVE를 패치하고, ssa:IfNotPresent 어노테이션이 붙은 클러스터 범위 리소스가 매 조정 주기마다 삭제·재생성되던 버그를 수정한 패치 릴리스입니다.

  • securityCVE-2026-45022 패치를 위해 즉시 업그레이드

    이번 CVE는 Git 저장소를 직접 클론하고 상호작용하는 source-controller와 image-automation-controller에 영향을 줍니다. 외부 또는 반신뢰 Git 소스를 사용하는 환경이라면 우선순위를 높여 대응해야 합니다. 'flux install' 또는 Helm 릴리스를 v2.8.7로 업데이트하세요.

  • breakingssa:IfNotPresent를 사용하는 클러스터 범위 리소스 상태를 반드시 점검

    ClusterRole, CRD 등 네임스페이스 없는 클러스터 범위 리소스에 kustomize.toolkit.fluxcd.io/ssa: IfNotPresent 어노테이션을 사용하고 있었다면, 버그 수정 전까지 매 조정마다 리소스가 삭제·재생성됐을 수 있습니다. 업그레이드 후 해당 리소스 상태를 확인하고, 의존 워크로드가 조용히 영향을 받지는 않았는지 감사하세요.

  • enhancementv2.6에서 올라온다면 공식 업그레이드 절차 반드시 확인

    v2.6 → v2.8.7로 바로 올릴 경우, Flux 팀이 제공하는 v2.7+ 업그레이드 절차를 건너뛰면 문제가 생길 수 있습니다. 구버전 Flux를 운영 중인 환경이라면 업데이트 적용 전에 해당 가이드를 반드시 먼저 검토하세요.

주요 변경 (4)
  • go-git v5.19.0 업데이트로 CVE-2026-45022 수정 (source-controller, image-automation-controller)
  • ssa:IfNotPresent 어노테이션이 있는 네임스페이스 미지정 리소스가 매 조정마다 삭제·재생성되던 kustomize-controller 버그 수정
  • source-controller, kustomize-controller, image-automation-controller 전반의 fluxcd/pkg 의존성 업데이트
  • helm-controller v1.5.4, kustomize-controller v1.8.5, source-controller v1.8.4 컴포넌트 버전 업
원문

OpenTelemetry

Observability2026년 5월 11일

v0.152.0에서는 telemetry host를 커스텀 설정할 때 Prometheus 메트릭 이름이 바뀌던 버그를 수정하고, 맵·슬라이스 값의 AsString HTML 이스케이프 동작을 변경했습니다. 익스포터 in-flight 요청 메트릭도 추가됐습니다.

  • breakingtelemetry host를 커스텀 설정했다면 Prometheus 메트릭 이름 검증 필요

    telemetry 섹션에서 host를 직접 지정한 Collector를 운영 중이라면, 업그레이드 후 Prometheus 메트릭 이름을 반드시 확인하세요. 이전 버전에서는 WithoutScopeInfo, WithoutUnits, WithoutTypeSuffix 필드가 잘못된 기본값(false)으로 설정되어 메트릭 이름 형식이 묵시적 기본 설정과 달라졌습니다. 이번 패치로 올바른 기본값이 적용되므로, 메트릭 이름 기반의 대시보드나 알럿이 있다면 업그레이드 전후 이름을 비교하세요.

  • breakingAsString 출력 변경 — 맵·슬라이스 값을 파싱하는 로직 점검

    pcommon.Value.AsString이 맵·슬라이스 값 내의 <, >, & 문자를 더 이상 HTML 이스케이프하지 않습니다. 파이프라인 다운스트림에서 &lt; 같은 이스케이프된 문자열을 파싱하거나 기대하는 로직이 있다면 업그레이드 후 동작이 달라집니다. attribute processor, 로그 파서, 익스포터 등에서 맵·슬라이스의 문자열 표현을 사용하는 부분을 점검하세요.

  • enhancementotelcol_exporter_in_flight_requests를 대시보드에 추가

    otelcol_exporter_in_flight_requests UpDownCounter가 익스포터별로 동시에 진행 중인 export 요청 수를 추적합니다. 별도 설정 없이 자동으로 노출되므로, Collector 대시보드에 추가해 워커 풀 포화 상태를 조기에 감지할 수 있습니다.

주요 변경 (5)
  • 익스포터별 동시 in-flight 요청 수를 추적하는 otelcol_exporter_in_flight_requests 메트릭 추가
  • pcommon.Value.AsString의 맵·슬라이스 값에서 HTML 이스케이프 제거 — ValueTypeStr과 동작 통일
  • telemetry host 명시 설정 시 Prometheus 기본값이 잘못 적용되던 버그 수정
  • snappy 디코딩 전에 max_request_body_size 적용, 디컴프레션 라이브러리 패닉 시 HTTP 400 반환으로 변경
  • 정상 클라이언트 연결 종료 시 gRPC 'connection reset by peer' 로그가 WARN으로 출력되던 문제 수정
원문

Harbor

Storage & Data2026년 5월 11일

Harbor v2.14.4는 세션 관리 버그, 스캐너 API 오류, DockerHub 토큰 인증 문제를 수정한 패치 릴리스로, Go 1.25.9 업그레이드와 보안 의존성 패치가 포함됩니다.

  • securitygo-jose 및 OTel SDK 보안 패치 포함 — 즉시 업그레이드 권장

    go-jose/go-jose와 go.opentelemetry.io/otel/sdk 패키지가 명시적으로 업데이트됐는데, 이런 경우 대부분 CVE 대응입니다. 외부 트래픽에 노출된 Harbor 인스턴스나 민감한 레지스트리 자격증명을 다루는 환경이라면 우선 적용하세요. v2.14.3에서 v2.14.4는 패치 버전 업그레이드라 호환성 위험이 낮습니다.

  • breaking세션 동작 변경 — 운영 배포 전 SSO 및 장기 세션 테스트 필수

    백그라운드 탭을 열어둔 상태에서 세션이 자동 유지되던 동작이 이번 수정으로 사라집니다. 설정된 세션 타임아웃대로 만료되므로, Harbor config의 세션 만료 시간을 재확인하고 사용자에게 변경된 동작을 사전 공지한 뒤 운영 환경에 적용하세요.

  • enhancementDockerHub 복제가 실패 중이라면 이 패치로 해결됩니다

    DockerHub API 변경 이후 복제 실패가 발생했다면 /v2/auth/token 엔드포인트 수정으로 해결됩니다. 업그레이드 후 DockerHub 복제 규칙을 수동으로 실행해 복제 작업 로그를 확인하세요. 자격증명 없이 배포 인스턴스를 편집할 때 발생하던 버그도 함께 수정됐으니 관련 설정도 재검증하세요.

주요 변경 (5)
  • 백그라운드 폴링이 세션 TTL을 갱신하지 않도록 수정 — 의도치 않은 세션 연장 방지
  • SessionRegenerate의 저장 인자 및 유효기간 처리 오류 수정
  • DockerHub 복제 어댑터가 /v2/auth/token 엔드포인트를 사용하도록 변경 — 허브 이미지 복제 실패 해결
  • 스캐너 API 버그 수정 — Trivy 등 Harbor API 연동 스캐너에 영향
  • Go 1.25.9 업그레이드, photon:5.0 베이스 이미지 적용, go-jose 및 OpenTelemetry SDK 의존성 버전 업
원문

Volcano

Orchestration & Management2026년 5월 9일

v1.12.4는 웹훅 서버의 DoS 취약점(CVE-2026-44247)과 스케줄러 버그 2건을 수정한 보안 패치 릴리스입니다. v1.12.3 이하를 운영 중이라면 즉시 업그레이드하세요.

  • security웹훅 서버 OOM 취약점 즉시 패치 필요

    CVE-2026-44247은 웹훅 엔드포인트에 네트워크 접근이 가능한 파드가 대용량 HTTP 본문을 전송해 웹훅 서버를 OOM으로 종료시킬 수 있는 취약점입니다. CVSS 범위(Scope)가 'Changed'로 평가되어 공격 파드를 넘어 클러스터 전체 어드미션 제어가 마비될 수 있습니다. 즉시 v1.12.4로 업그레이드하세요. 즉시 업그레이드가 어렵다면 NetworkPolicy로 웹훅 서비스에 접근 가능한 네임스페이스와 파드를 최소화하는 것이 우선입니다.

  • breaking멀티 큐 선점 결과가 잘못 적용됐을 가능성 점검

    preemptorTasks 덮어쓰기 버그로 인해 멀티 큐 선점을 사용하는 클러스터에서 스케줄링 결정이 잘못 이루어졌을 수 있습니다. QueueOrderFn이 무시되거나 우선순위 낮은 잡이 제대로 선점되지 않았을 가능성이 있습니다. 업그레이드 후 큐 선점 동작을 검토하고, 큐 순서 정책이 의도대로 적용되는지 확인하세요. 업그레이드 전 장시간 대기 중인 잡이 있었다면 원인일 수 있습니다.

  • enhancement스케줄러 재시작 시 발생하던 간헐적 오류 해소

    이벤트 핸들러 완료 대기 수정으로 Volcano 재시작 또는 롤링 업그레이드 직후 스케줄링이 불안정했던 현상이 해결됩니다. 별도 조치 없이 업그레이드만으로 충분하지만, 재시작 후 간헐적으로 스케줄링 실패가 관찰됐다면 이 버그가 원인이었을 가능성이 높습니다.

주요 변경 (3)
  • CVE-2026-44247: 웹훅 서버가 비정상적으로 큰 HTTP 요청 본문으로 OOM 유발 가능 — CVSS 6.8(보통)
  • 스케줄러 수정: 이벤트 핸들러 완료 전 스케줄링 시작을 방지해 시작 시 레이스 컨디션 해소
  • 스케줄러 수정: 멀티 큐 선점 시 preemptorTasks 덮어쓰기 버그 수정, QueueOrderFn이 정상 적용됨
원문

Volcano

Orchestration & Management2026년 5월 9일

v1.13.3은 웹훅 서버의 DoS 취약점(CVE-2026-44247)을 패치하고 스케줄러 버그 4건을 수정합니다. v1.13.2 이하를 사용 중이라면 즉시 업그레이드하세요.

  • securityCVE-2026-44247 즉시 패치 필요 — v1.13.2 이하 전체 영향

    웹훅 엔드포인트에 네트워크 접근 가능한 파드라면 임의 크기의 HTTP 바디를 전송해 웹훅 서버를 OOM으로 종료시킬 수 있습니다. 웹훅 서버가 죽으면 Job·Queue 어드미션이 전부 막히므로 멀티테넌트 클러스터에서 실질적 피해가 큽니다. 사용 중인 브랜치에 맞춰 v1.13.3(또는 v1.12.4, v1.14.2)으로 업그레이드하세요. 즉시 업그레이드가 어렵다면 NetworkPolicy로 웹훅 서버의 443 포트 접근을 신뢰할 수 있는 소스로만 제한하세요.

  • breaking멀티 큐 선점 동작 변경 — 업그레이드 후 워크로드 검증 필요

    선점 관련 두 가지 수정으로 스케줄링 결정 결과가 달라질 수 있습니다. preemptorTasks 덮어쓰기 방지와 QueueOrderFn 적용으로, 기존에 선점하던 Job이 더 이상 선점하지 않거나 그 반대 상황이 생길 수 있습니다. 업그레이드 전에 스테이징 환경에서 멀티 큐 선점 시나리오를 반드시 검증하세요.

  • enhancement스케줄러 기동 시 경쟁 조건 제거 — 재시작이 잦은 환경에 유효

    OOM 재시작이나 롤링 업데이트로 스케줄러 파드가 자주 재시작되는 환경에서 특히 효과적입니다. 이전에는 초기화 완료 전에 스케줄링이 시작되는 좁은 경쟁 구간이 있었고, 이로 인해 이벤트 누락이 생길 수 있었습니다. 별도 설정 변경 없이 업그레이드만 하면 되며, 업그레이드 후 스케줄러 기동 로그에서 이상 징후를 확인하세요.

주요 변경 (5)
  • CVE-2026-44247 수정: 웹훅 서버의 HTTP 요청 바디 크기 제한 부재로 OOM 킬 유발 가능 — 웹훅 엔드포인트에 네트워크 접근 가능한 파드라면 누구든 악용 가능
  • 스케줄러 수정: 멀티 큐 선점 시 preemptorTasks 맵이 덮어쓰이는 버그 제거로 잘못된 선점 결정 방지
  • 스케줄러 수정: 선점 액션에서 QueueOrderFn을 이제 올바르게 준수하여 큐 우선순위 정렬 일관성 확보
  • 기동 시 경쟁 조건(race condition) 수정: 이벤트 핸들러 초기화가 완료된 후에만 스케줄링 시작
  • 스냅샷 경로의 불필요한 deepcopy 제거로 메모리 할당 부담 감소
원문

Volcano

Orchestration & Management2026년 5월 9일

v1.14.2는 웹훅 서버 OOM DoS CVE와 스케줄러 정확성 관련 다수의 버그를 수정합니다. 1.12/1.13/1.14 브랜치 사용자는 즉시 업그레이드해야 합니다.

  • securityCVE-2026-44247 즉시 패치 — 1.12/1.13/1.14 전 버전 영향

    웹훅 엔드포인트에 네트워크 접근 가능한 Pod이면 누구든 대용량 요청 바디를 전송해 웹훅 서버를 OOM으로 강제 종료할 수 있습니다. CVSS 6.8(Moderate)이지만 웹훅이 죽으면 클러스터 전체의 워크로드 어드미션이 차단되므로 실제 영향은 큽니다. 사용 중인 브랜치에 맞게 v1.14.2, v1.13.3, v1.12.4 중 하나로 즉시 업그레이드하세요. 즉시 업그레이드가 어렵다면 NetworkPolicy로 웹훅 서비스에 접근 가능한 Pod을 제한해 임시 완화 조치를 취하세요.

  • breaking1.14.x 신규 배포 후 스케줄러 패닉 여부 확인 필요

    초기 설치 시 레이스 컨디션으로 스케줄러가 패닉 후 재시작되는 버그가 있었습니다. 1.14.x 최근 배포 후 스케줄러 CrashLoopBackOff를 겪었다면 이 수정 사항이 원인입니다. 업그레이드 후 스케줄러 Pod이 안정적으로 유지되는지 확인하세요. 설정 변경은 불필요하지만, 조용한 재시작으로 스케줄링 사이클이 누락됐을 수 있으니 모니터링 알림 내역을 검토하세요.

  • enhancement멀티 큐 프리엠션 동작 정상화 — 프리엠션 정책 재검증 권장

    멀티 큐 프리엠션에서 preemptorTasks 덮어쓰기 문제와 QueueOrderFn이 무시되던 두 가지 버그가 함께 수정됐습니다. 커스텀 큐 정렬 함수와 함께 큐 간 프리엠션을 사용 중이라면, 이전까지 스케줄러가 설정대로 동작하지 않았을 가능성이 높습니다. 업그레이드 후 프리엠션 시나리오를 검증해 잡이 기대한 우선순위 순서대로 처리되는지 확인하세요. 설정 변경은 필요 없지만 실제 동작이 달라집니다.

주요 변경 (5)
  • CVE-2026-44247 수정: 웹훅 서버의 HTTP 요청 바디 크기 제한 부재로 OOM을 유발할 수 있었던 취약점 패치
  • 스케줄러 내 동시 맵 쓰기로 인한 패닉(무작위 재시작) 수정
  • 스케줄러 스냅샷 딥카피 로직 개선: 클론 내 공유 가변 객체가 데이터 레이스를 유발하던 버그 해결
  • 멀티 큐 프리엠션에서 preemptorTasks가 덮어쓰이던 문제 수정 — 잘못된 프리엠션 결정 방지
  • partitionPolicy/subGroupPolicy의 highestTierName이 HyperNode 티어 제약을 실제로 적용하도록 수정
원문

Kubescape

Security2026년 5월 8일

Kubescape v4.0.8은 VAP(Validating Admission Policy) 관련 버그 여러 건을 수정하고, deploy-library 명령에 --timeout 플래그를 추가한 패치 릴리스입니다.

  • breakingVAP 레이블 셀렉터 파싱 버그 — 기존 정책 재검증 필요

    기존 코드는 레이블 셀렉터를 '='로 단순 분리했고, DoubleEquals(==) 셀렉터도 잘못 허용했습니다. 복잡한 레이블 셀렉터를 사용하는 VAP 정책을 Kubescape로 생성한 적이 있다면, v4.0.8로 업그레이드 후 반드시 재생성하고 재검증하세요. 이전에 생성된 출력물이 올바르다고 가정하면 안 됩니다.

  • enhancement느린 클러스터에서는 --timeout 플래그로 배포 시간 조정

    deploy-library 명령의 새 --timeout 플래그로 VAP 라이브러리 배포 대기 시간을 직접 지정할 수 있습니다. API 서버 응답이 느린 클러스터나 CI 파이프라인처럼 시간 제한이 엄격한 환경에서는 기본값에 의존하지 말고 명시적으로 설정하세요. 파이프라인에 적용하기 전에 스테이징에서 적정값을 먼저 확인하세요.

  • enhancement클라우드 API 연동 환경에서는 업그레이드 후 스캔 결과 전송 확인

    클라우드 API 초기화 시 커넥터 URL이 설정 객체에 반영되지 않던 버그가 수정됐습니다. Kubescape의 클라우드 연동을 사용하는데 스캔 결과 전송이 불안정했다면, 업그레이드 후 스캔을 한 번 실행해 결과가 백엔드에 정상 도달하는지 확인하세요.

주요 변경 (5)
  • VAP deploy-library 명령에 배포 타임아웃 제어용 --timeout 플래그 추가
  • 레이블 셀렉터 파싱을 문자열 단순 분리 방식에서 쿠버네티스 공식 레이블 파서로 교체 — 복잡한 셀렉터의 오작동 방지
  • K8s 이름 및 네임스페이스 검증에 DNS 레이블 검증 헬퍼 적용
  • writeOutput에서 부모 디렉토리 자동 생성 처리 — 파일 쓰기 실패 문제 수정
  • 정상 종료 시 불필요한 인터럽트 시그널 로그 메시지 제거
원문

Kubescape

Security2026년 5월 8일

Kubescape v4.0.7은 입력 검증 강화, HTTP 핸들러 동시성 안전성 개선, ControlInput CRD 추가, 사이드카 없는 서비스 디스커버리 등 버그 수정과 사용성 개선에 집중한 릴리스입니다.

  • breaking임계값 플래그 조기 검증 — CI 파이프라인 확인 필수

    severity-threshold, compliance-threshold, fail-threshold 플래그가 이제 스캔 시작 전에 검증됩니다. 잘못된 값을 전달하는 스크립트나 CI 잡은 스캔을 완료하지 못하고 즉시 오류와 함께 종료됩니다. 업그레이드 전에 스캔 호출 명령어를 검토해 모든 임계값 플래그에 유효한 값이 지정되어 있는지 확인하세요.

  • enhancement서비스 디스커버리용 사이드카 제거 가능

    서비스 디스커버리가 쿠버네티스 API를 직접 호출하도록 바뀌었습니다. 기존에 Kubescape 서비스 디스커버리를 위해 사이드카를 운영하고 있었다면, 업그레이드 전에 배포 구성을 점검하고 불필요한 사이드카를 제거하세요. 중복 사이드카가 남아 있으면 예상치 못한 동작이 발생할 수 있습니다.

  • enhancementControlInput CRD로 클러스터 내 스캔 정책 중앙화

    새 ControlInput CRD를 사용하면 외부 파일 없이 클러스터 안에서 직접 컨트롤 입력을 관리할 수 있습니다. 라이브 클러스터 스캔에서만 활성화되므로 파일 기반 스캔 워크플로에는 영향이 없습니다. 업그레이드 후 CRD를 적용해 스캔 정책을 클러스터 내에서 통합 관리하는 것을 권장합니다.

주요 변경 (5)
  • 새로운 ControlInput CRD로 클러스터 내 컨트롤 설정 가능 — 라이브 클러스터 스캔 전용, 파일 기반 스캔에는 비활성화
  • 서비스 디스커버리가 사이드카 없이 쿠버네티스 API에서 직접 서비스 정보를 가져오도록 변경
  • HTTP 핸들러의 TLS 키를 환경 변수로 설정 가능하며, TLS 설정이 불완전하면 즉시 오류 반환
  • severity/compliance/fail 임계값 플래그가 스캔 실행 전에 조기 검증됨 — 모든 관련 서브커맨드 적용
  • YAML 파싱 방식을 바이트 분할에서 라인 스캐너로 교체, 버퍼 한도 상향, 파싱 오류가 무시되지 않고 노출됨
원문

metal3-io

Provisioning & Runtime2026년 5월 8일

metal3-io v0.13.0은 iRMC 드라이버를 제거하고 BMH 펌웨어 스펙을 폐기 예고하면서, HostClaim CRD와 멀티아키텍처 PXE 부팅을 새로 도입한 버전입니다. 업그레이드 전 파괴적 변경 사항 검토가 필수입니다.

  • breaking업그레이드 전 iRMC 사용 여부와 BMH.Spec.Firmware 필드를 반드시 점검하세요

    iRMC 드라이버가 삭제되었기 때문에 iRMC BMC 엔드포인트를 가리키는 BareMetalHost 리소스는 업그레이드 즉시 조정이 멈춥니다. BMH.Spec.Firmware는 당장 오류가 나지 않더라도 폐기 예고 상태이므로, 대체 API로의 전환 계획을 지금 수립해야 합니다. 운영 클러스터 작업 전에 BMH 매니페스트와 Helm values 파일 전체를 검색해 두 항목의 사용 여부를 확인하세요.

  • breaking관리 클러스터의 CAPI·controller-runtime 호환성을 사전에 확인하세요

    CAPI v1.13.1, controller-runtime v0.23.3 버전 상승은 단순 패치가 아닙니다. 동일한 관리 클러스터에 다른 CAPI 프로바이더가 함께 있다면, 각 프로바이더의 호환성 매트릭스를 지금 확인하세요. 버전 불일치는 CRD 충돌이나 웹훅 오류로 이어질 수 있습니다.

  • enhancementHostClaim CRD로 베어메탈 호스트 할당을 선언형으로 전환하세요

    HostClaim·HostClaimSet 리소스를 쓰면 커스텀 컨트롤러 없이 Kubernetes 방식으로 베어메탈 용량을 요청·예약할 수 있습니다. 현재 스크립트나 외부 툴로 호스트 할당을 관리 중이라면, 단순 예약 워크플로는 이제 HostClaim으로 대체 가능한지 평가해볼 시점입니다.

주요 변경 (5)
  • iRMC 드라이버 완전 제거, BMH.Spec.Firmware 폐기 예고 — 두 항목 사용 중이라면 마이그레이션 선행 필수
  • CAPI v1.13.1, controller-runtime v0.23.3, k8s group v0.35.4로 의존성 전면 갱신
  • HostClaim·HostClaimSet CRD 신규 도입 — 선언형 베어메탈 호스트 예약 워크플로 지원
  • x86_64·aarch64 멀티아키텍처 PXE 부팅 지원 추가
  • 외부 OCI 레지스트리용 호스트별 풀 시크릿 및 Ironic 강제 분리 기능 지원
원문

wasmCloud

Orchestration & Management2026년 5월 7일

wasmCloud v2.1.0은 오퍼레이터 안정성 수정, 서비스 플러그인 지원 추가, CI 보안 강화를 중심으로 한 점진적 릴리스입니다.

  • securitywasmtime 업그레이드 및 cargo audit 적용 — 자체 빌드에도 반영 필요

    wasmtime 버전이 올라가고 rustls-pemfile이 제거됐으며, 빌드 파이프라인에 cargo audit이 추가됐습니다. wasmCloud 컴포넌트를 소스에서 빌드하거나 포크를 유지 관리 중이라면, 지금 바로 자체 CI에도 cargo audit을 추가하세요. WASM 런타임의 의존성 변화는 빠르게 진행되므로 보안 권고를 조기에 파악하는 것이 중요합니다.

  • breaking오퍼레이터 readiness 동작 변경 — 헬스체크 및 배포 타임아웃 검토 필요

    오퍼레이터가 이제 레플리카가 실제로 준비된 경우에만 WorkloadDeployment를 Ready로 표시합니다. 기존에 낙관적 Ready 상태에 의존하던 CI/CD 파이프라인이나 모니터링 도구에서 배포가 더 오래 '진행 중'으로 보일 수 있습니다. 업그레이드 후 롤아웃 타임아웃 설정을 반드시 재검토하세요.

  • enhancement서비스 플러그인 지원 — 코어 컴포넌트 수정 없이 서비스 확장 가능

    서비스 레이어에서 플러그인을 지원하게 되어, 코어 컴포넌트를 포크하지 않고도 커스텀 동작을 추가할 수 있습니다. 유지보수 가능한 방식으로 서비스 동작을 확장하려 했다면 이번 릴리스가 실험해볼 적기입니다. 새 통합을 설계하기 전에 서비스 플러그인 API 문서부터 살펴보세요.

주요 변경 (5)
  • WorkloadDeployment Ready 상태가 실제 레플리카 가용성 기준으로 변경 — 오퍼레이터의 오탐 Ready 상태 수정
  • NATS 구독 워크로드 readiness 버그 수정 — 구독 완료 전 Ready로 표시되던 문제 해결
  • 서비스에 플러그인 지원 추가로 서비스 레이어 확장성 강화
  • wasmtime 업그레이드 및 cargo audit 도입으로 공급망 보안 강화
  • OpenSSF Scorecard, CodeQL, zizmor 기반 CI 워크플로 하드닝 적용
원문

Vitess

Storage & Data2026년 5월 7일

Vitess v24.0.1은 VTGate 쿼리 플래너의 DML 서브쿼리 버그 수정, 문제가 있던 VTOrc 플래그 되돌리기, VTTablet 불안정 테스트 해결에 집중한 패치 릴리스입니다.

  • breakingVTOrc --cells-to-watch 플래그 설정에서 제거하세요

    #19354에서 추가된 'cells to watch' 플래그가 이번 릴리스에서 완전히 롤백됐습니다. v24.0.0 업그레이드 후 VTOrc 설정이나 시작 스크립트에 해당 플래그를 추가했다면, v24.0.1로 올리기 전에 반드시 제거해야 합니다. 그렇지 않으면 VTOrc가 알 수 없는 플래그 오류로 기동에 실패합니다.

  • enhancementVTGate를 통해 DML 서브쿼리를 쓴다면 즉시 업그레이드하세요

    DML 문(INSERT/UPDATE/DELETE) 안의 IN/NOT IN 서브쿼리에서 플래너 버그가 있었습니다. 병합된 서브쿼리가 ListArg 플레이스홀더로 정상 치환되지 않아 잘못된 쿼리 결과가 나올 수 있었는데, 이번 패치로 수정됐습니다. VTGate를 통해 서브쿼리가 포함된 DML을 실행하는 환경이라면 빠른 업그레이드를 권장합니다.

주요 변경 (4)
  • VTGate 플래너 수정: DML IN/NOT IN 서브쿼리가 병합 후 ListArg 플레이스홀더를 올바르게 사용하도록 수정 — 쿼리 결과 오류 가능성 차단
  • VTOrc의 'cells to watch' 플래그(#19354) 롤백 — v24.0.0에서 해당 플래그를 적용했다면 설정에서 제거 필요
  • go/mysql 및 vreplication의 불안정 단위 테스트 공통 원인 수정 — CI 안정성 향상
  • vtcombo 시작 중 종료 시 최대 10분간 멈추던 문제 해결
원문

Vitess

Storage & Data2026년 5월 7일

v23.0.4는 VTOrc·VTGate·ERS의 패닉 및 데드락, VReplication과 라우팅 규칙의 무결성 버그를 집중적으로 수정한 패치 릴리스입니다.

  • securityGo 1.25.9 업그레이드 — 커스텀 빌드 환경 확인 필요

    이번 릴리스 사이클에서 Go 런타임이 1.25.8에서 1.25.9로 올라갔습니다. 소스 빌드나 커스텀 이미지를 유지하고 있다면 go1.25.9로 재빌드해서 Go 패치 레벨의 런타임 수정사항을 반영하세요.

  • breakingERS 또는 세미싱크 복제를 사용 중이라면 즉시 업그레이드 필요

    ERS 관련 버그 세 건이 한꺼번에 수정됐습니다. errant GTID 감지 중 nil 포인터 패닉, 취소 로직 오류, 그리고 ERS 실패 후 레플리카 IO 스레드가 재시작되지 않는 문제입니다. 어느 하나라도 발생하면 페일오버 후 클러스터가 비정상 상태로 남을 수 있습니다. VTOrc로 세미싱크를 운영 중이라면 ReplicationStopped + PrimarySemiSyncBlocked 데드락 수정도 동일하게 중요합니다. 복구 자체가 완전히 멈출 수 있거든요. 늦어도 다음 유지보수 창 전에 업그레이드하세요.

  • enhancement멀티 키스페이스 환경에서 라우팅 규칙 동작 재검증 권장

    VTGate가 스키마 트래커 업데이트 후 라우팅 규칙을 재빌드하지 않고, 라우팅 규칙 AST 재작성 시 타깃 키스페이스를 유실하는 버그가 수정됐습니다. 두 버그 모두 쿼리는 성공처럼 보이지만 실제로는 엉뚱한 키스페이스로 라우팅될 수 있습니다. 멀티 키스페이스에서 라우팅 규칙을 쓰고 있다면 업그레이드 후 트래픽 경로를 반드시 검증하세요.

주요 변경 (5)
  • VTOrc: ReplicationStopped + PrimarySemiSyncBlocked 동시 복구 시 발생하던 데드락 수정
  • EmergencyReparentShard(ERS): errant GTID 감지 시 nil 포인터 패닉, reparentReplicas() 취소 로직 오류, ERS 실패 후 레플리카 IO 스레드 미재시작 수정
  • VTGate: 스키마 트래커 업데이트 후 라우팅 규칙이 재빌드되지 않던 버그, AST 재작성 시 타깃 키스페이스가 유실되던 버그 수정 — 둘 다 쿼리가 잘못된 키스페이스로 라우팅될 수 있는 조용한 결함
  • VTGate: 셧다운 이후 버퍼가 재시작되지 않도록 수정, 제어된 재시작 시 커넥션 폭증 방지
  • Go 런타임 go1.25.9로 업그레이드, vitessdriver의 바이너리 결과값 문자열 반환 회귀 수정
원문

OpenFGA

Security2026년 5월 6일

v1.15.1은 Check 데드락, 세마포어 누수, 실험적 가중치 그래프 캐시 충돌 등 운영 안정성에 직결되는 버그를 수정한 패치 릴리스입니다.

  • security`weighted_graph_check` 캐시 충돌은 권한 오판을 유발할 수 있음

    실험적 `weighted_graph_check` 기능을 사용 중이라면, 캐시 키 충돌로 인해 직접 타입·와일드카드·TTU 경로·인터섹션이 포함된 유니온 관계에서 잘못된 Check 결과가 반환될 수 있습니다. 권한 오판은 보안 문제로 직결됩니다. 즉시 업그레이드하고, 당장 업그레이드가 불가능하다면 실험적 기능 플래그를 비활성화하세요.

  • breaking데드락·세마포어 누수 버그로 즉시 업그레이드 필요

    두 가지 버그 모두 운영 환경을 조용히 망가뜨릴 수 있습니다. Check 데드락은 오류 발생 시 메시지 스트림이 닫히지 않아 요청 처리가 점점 고갈되고, bounded tuple reader의 세마포어 누수는 타임아웃이 잦은 환경에서 리소스 고갈로 이어집니다. 설정 변경 없이 업그레이드만으로 해결됩니다. Check 응답 지연이나 컨텍스트 취소 후 리소스 압박을 겪었다면 이 버그들이 원인일 가능성이 높습니다.

  • enhancementListObjects 오류 전파 수정 — 쿼리 결과 재검증 권장

    단락(short-circuit) 처리 시 무시돼야 할 오류가 ListObjects 응답에 잘못 노출되는 버그가 수정됐습니다. 의도치 않은 ListObjects 오류를 경험했다면 이번 수정이 원인을 해결합니다. 업그레이드 후 테스트 스위트에서 ListObjects 동작을 한 번 재확인해 두는 게 좋습니다.

주요 변경 (5)
  • 커맨드 오류 처리 중 발생 가능한 패닉 수정
  • 오류 시 메시지 스트림이 무기한 열린 채로 유지되는 Check 데드락 수정
  • 컨텍스트 취소 시 bounded tuple reader의 세마포어 토큰 누수 수정
  • 실험적 `weighted_graph_check`에서 유니온 다중 분기에 대한 캐시 키 충돌 수정
  • ListObjects에서 경로 단락(short-circuit) 시 오류가 잘못 전파되는 버그 수정
원문

Argo

CI/CD & App Delivery2026년 5월 6일

Argo CD 3.4.1은 3.4 시리즈의 첫 릴리스(3.4.0 없이 바로 출시)로, ApplicationSet 클러스터 버전 형식 변경이라는 브레이킹 체인지와 함께 대규모 버그 수정, 성능 개선, UI 개선이 포함됩니다.

  • securitySwagger UI 보안 헤더 추가 및 JWT 로그아웃 무효화 적용

    두 가지 보안 수정이 포함됩니다. Swagger UI 엔드포인트에 X-Frame-Options와 Content-Security-Policy 헤더가 추가돼 클릭재킹 위험이 줄었고, 로그아웃 시 JWT 토큰이 서버 측에서 즉시 무효화돼 로그아웃 후 세션 재사용이 차단됩니다. 별도 설정 변경은 없지만, 리버스 프록시 환경이라면 업그레이드 후 보안 헤더가 클라이언트까지 제대로 전달되는지 확인하세요.

  • breaking업그레이드 전 ApplicationSet 클러스터 버전 라벨 업데이트 필수

    쿠버네티스 버전 라벨 형식이 Major.Minor(예: '1.29')에서 vMajor.Minor.Patch(예: 'v1.29.3')로 바뀌었습니다. argocd.argoproj.io/auto-label-cluster-info를 사용하는 ApplicationSet Cluster Generator가 있다면, 기존 클러스터 시크릿의 라벨 형식이 구버전 그대로입니다. 업그레이드 후 argocd.argoproj.io/kubernetes-version 키로 새 형식을 적용하지 않으면 클러스터 버전 기반 필터가 동작하지 않습니다. 롤아웃 전에 반드시 3.3-3.4 업그레이드 가이드를 확인하세요.

  • enhancementAppSet 컨트롤러 및 repo-server 성능 개선 — 대규모 클러스터에서 효과 기대

    parentUIDToChildren 자료구조 최적화, 컨트롤러 시크릿 deep-copy 감소, CLI 서버사이드 diff 병렬 배치 처리, checkout 시 repoLock 최적화 등 여러 성능 개선이 한꺼번에 들어왔습니다. 대규모 클러스터에서 AppSet 컨트롤러 CPU 사용량이 높거나 조정 지연이 있었다면 이번 업그레이드 후 개선 효과가 보일 겁니다. 롤아웃 후 컨트롤러 CPU와 조정 지연 메트릭을 모니터링하세요.

주요 변경 (5)
  • 브레이킹: Helm 3.19.0 정렬을 위해 쿠버네티스 클러스터 버전 형식이 Major.Minor에서 vMajor.Minor.Patch로 변경 — auto-label-cluster-info 사용 중인 ApplicationSet Cluster Generator는 라벨 키 업데이트 필요
  • 로그아웃 시 JWT 토큰 무효화 처리 추가로 세션 지속 취약점 해소
  • Swagger UI 엔드포인트에 X-Frame-Options 및 CSP 헤더 추가
  • 리소스 그래프의 순환 ownerRef 처리 시 발생하던 스택 오버플로우 수정
  • AppSet 컨트롤러 성능 개선: 클러스터 시크릿 조회 최적화, 애플리케이션 캐시 동기화, 시크릿 deep-copy 감소
원문

OpenYurt

Provisioning & Runtime2026년 5월 6일

OpenYurt v1.7.0은 엣지 업그레이드 다운타임을 최소화하는 OTA 이미지 사전 캐싱, 레이블 기반 YurtHub 배포, K8s-on-K8s 지원, Kubernetes v1.34 호환성을 추가했습니다. 동시에 여러 deprecated 컴포넌트가 완전히 제거됩니다.

  • breaking업그레이드 전 제거된 컴포넌트 사용 여부 점검 필수

    YurtAppOverrider, YurtAppDaemon(컨트롤러 및 웹훅), yurt-coordinator, delegate lease 컨트롤러가 이번 릴리스에서 완전히 삭제됩니다. 매니페스트나 Helm values, 자동화 스크립트에서 이 컴포넌트를 참조하고 있다면 업그레이드 후 조용히 실패하거나 배포가 중단될 수 있습니다. 업그레이드 전 전수 점검이 필요하고, NodePool CRD의 v1beta2 승격 및 enableLeaderElections 필드명 변경도 함께 반영해야 합니다.

  • enhancement엣지 DaemonSet 업그레이드에 OTA 이미지 사전 캐싱 도입

    네트워크가 불안정하거나 대역폭이 제한된 엣지 노드에서 DaemonSet을 운영 중이라면, ImagePreHeat 컨트롤러가 업그레이드 다운타임 문제의 실질적인 해결책입니다. 롤아웃 전에 OTA API 엔드포인트로 사전 캐싱을 트리거하고, PodImageReady 조건으로 이미지 준비 상태를 확인한 뒤 실제 업그레이드를 시작하는 흐름을 팀 운영 절차에 반영하세요.

  • enhancement엣지 노드 온보딩을 레이블 기반 방식으로 전환

    YurtNodeConversionController 덕분에 노드에 레이블 하나만 붙이면 YurtHub 설치부터 systemd 등록까지 자동으로 처리됩니다. 대규모 엣지 노드 플릿을 운영한다면 운영 부담을 크게 줄일 수 있는 기능입니다. 다만 systemd와 직접 상호작용하는 신규 기능인 만큼, 프로덕션 적용 전에 비중요 노드 풀에서 먼저 검증하는 것을 권장합니다.

주요 변경 (5)
  • 새로운 ImagePreHeat 컨트롤러로 OTA 업그레이드 시 이미지 사전 다운로드 지원 — 느리거나 불안정한 엣지 네트워크에서 롤아웃 다운타임을 대폭 줄임
  • YurtNodeConversionController 도입으로 노드에 레이블만 붙이면 YurtHub 설치·관리가 자동화됨 — 기존 yurtadm join/reset 수동 작업 대체
  • K8s-on-K8s 지원 추가: 기존 OpenYurt 클러스터 위에 테넌트 Kubernetes 컨트롤 플레인 배포 가능, 멀티테넌트 격리 및 엣지 IDC 시나리오에 활용
  • NodePool CRD가 v1beta2로 승격, YurtHub에 리더 선출 메커니즘 추가, 필드명 enablePoolScopeMetadata → enableLeaderElections로 변경
  • YurtAppOverrider, YurtAppDaemon, yurt-coordinator, delegate lease 컨트롤러 완전 제거
원문

CRI-O

Kubernetes Core2026년 5월 5일

CRI-O v1.36.0은 CNI 상태 지속 모니터링, GOMAXPROCS 주입 설정, TLS 강화 옵션, CVE 패치를 포함하며, 여러 레이스 컨디션과 cgroupv2 버그도 수정했습니다.

  • securityv1.36.0 업그레이드로 CVE-2026-35469 즉시 패치

    spdystream 의존성에 CVE-2026-35469가 존재합니다. v1.35.x를 운영 중이라면 이 취약점 하나만으로도 업그레이드 사유가 충분합니다. 업그레이드 후 릴리스 번들을 cosign으로 서명 검증하고, 이번 릴리스에 포함된 SLSA 출처 증명과 OpenVEX 취약점 보고서도 확인하세요.

  • breakingCNI 플러그인 STATUS verb 지원 여부를 업그레이드 전에 반드시 확인

    이제 CRI-O는 초기 준비 완료 이후에도 CNI 플러그인에 STATUS verb를 지속적으로 호출합니다. 조용히 degraded 상태였던 플러그인이 노드를 NetworkReady=false로 바꿔 파드 스케줄링을 차단할 수 있습니다. Cilium, Calico, Flannel은 STATUS를 지원하지만 오래된 커스텀 플러그인은 그렇지 않을 수 있습니다. 운영 환경 적용 전 반드시 비운영 클러스터에서 동작을 검증하세요.

  • enhancement운영 환경 CRI-O API에 TLS 최소 버전과 cipher suite 명시적 설정 권장

    `[crio.api]`에 추가된 `tls_min_version`과 `tls_cipher_suites` 옵션으로 스트리밍·메트릭 엔드포인트에 TLS 정책을 강제할 수 있습니다. 기본값은 TLS 1.2지만, 보안 요구사항이 높은 환경이라면 `tls_min_version = TLS13`으로 명시하고 취약 cipher suite를 제거하세요. 다음 노드 롤아웃 전에 Ansible, SaltStack 등 구성 관리 도구에 반영해 두는 것이 좋습니다.

주요 변경 (5)
  • spdystream 의존성 업데이트로 CVE-2026-35469 패치 — v1.35.x 사용 중이라면 즉시 업그레이드 필요
  • CNI 플러그인 상태를 STATUS verb로 지속 감시하며, 비정상 상태 감지 시 노드를 NetworkReady=false로 전환하고 복구 시 자동 복원
  • 신규 `min_injected_gomaxprocs` 옵션으로 모든 컨테이너에 주입되는 GOMAXPROCS 하한값 설정 가능
  • `[crio.api]` 섹션에 TLS 버전 및 cipher suite 설정 옵션 추가 (스트리밍/메트릭 서버 적용)
  • v1.35.0 회귀 버그 수정: `hostUsers: false`(사용자 네임스페이스 활성화) systemd 컨테이너가 cgroup 생성 시 'Permission denied'로 실패하던 문제 해결
원문

wasmCloud

Orchestration & Management2026년 5월 5일

NATS 워크로드 준비 상태 오류 수정, Kubernetes 오퍼레이터 배포 상태 정확도 개선, 보안 강화에 집중한 유지보수 릴리스입니다.

  • securitywasmtime 업그레이드 및 cargo audit 추가 — 자체 Wasm 공급망 점검 필요

    이번 릴리스에서 wasmtime을 올리고 rustls-pemfile을 제거했으며, CI에 cargo audit가 추가됐습니다. Rust로 커스텀 wasmCloud 컴포넌트나 프로바이더를 빌드한다면 자체 파이프라인에도 cargo audit를 추가하세요. rustls-pemfile이 제거됐으므로, 코드에서 직접 이 크레이트를 임포트하고 있다면 의존성을 업데이트해야 합니다.

  • breaking오퍼레이터 WorkloadDeployment 준비 상태 판단 기준 변경

    WorkloadDeployment의 Ready 조건이 이제 배포 객체 생성 시점이 아니라 실제 레플리카 가용성을 기준으로 바뀌었습니다. 배포 직후 Ready=True를 기대하는 CD 파이프라인이나 헬스체크 자동화가 있다면 반드시 검토하세요. 동작이 더 정확해졌지만, Ready 도달 시간이 이전보다 길어 보일 수 있습니다.

  • enhancementNATS 구독 준비 상태 수정으로 오탐 방지

    기존에는 NATS 구독이 실제로 연결되기 전에 호스트가 Ready 상태를 보고하는 경우가 있었습니다. 이번 수정으로 준비 상태가 실제 구독 가용성과 연동됩니다. Kubernetes에서 호스트 헬스 기반으로 트래픽 라우팅이나 준비 게이트를 사용한다면 업그레이드 후 정확한 준비 신호를 받을 수 있습니다.

주요 변경 (5)
  • NATS 구독 기반 워크로드 준비 상태 확인 버그 수정 — 실제 구독 연결 여부를 기반으로 Ready 상태 보고
  • Kubernetes 오퍼레이터의 WorkloadDeployment Ready 조건이 실제 레플리카 가용성 기준으로 변경
  • wasmtime 버전 업, rustls-pemfile 제거, cargo audit 빌드 파이프라인 추가로 공급망 보안 강화
  • HTTP 라우터에서 정확한 HTTP 상태 코드를 담은 타입화된 RouteError 반환
  • async-nats 0.47, Go 1.26으로 업그레이드
원문

Longhorn

Storage & Data2026년 5월 5일

Longhorn v1.11.2는 컴퓨트/스토리지 분리 아키텍처에서의 CSI 스케줄링 오류, 레플리카 무한 루프, longhorn-manager 메모리 증가 문제를 수정한 안정성 패치입니다.

  • breaking컴퓨트/스토리지 분리 클러스터라면 CSI 스케줄링 설정 확인 필수

    컴퓨트 노드와 스토리지 노드를 분리 운영 중이고 WaitForFirstConsumer PVC를 사용한다면, 컴퓨트 노드가 CSI 용량을 0으로 보고하면서 Pod가 Pending 상태로 멈추는 문제가 발생했을 수 있습니다. v1.11.2로 업그레이드 후 새로 추가된 CSIStorageCapacity 설정을 조정해 비스토리지 노드에서 용량 리포팅이 발생하지 않도록 하고, 기존에 Pending 상태였던 PVC가 정상 스케줄링되는지 확인하세요.

  • breakingAuto-Balance 사용 중이라면 이번 패치 우선 적용 권장

    Replica Auto-Balance가 무한 스케줄링 루프에 진입하는 버그가 수정됐습니다. 이 문제는 CPU를 과도하게 소모하고 볼륨 운영을 불안정하게 만들 수 있습니다. Auto-Balance를 활성화한 클러스터라면 이번 릴리스를 우선 적용하세요. 업그레이드 후 별도 설정 변경은 필요 없습니다.

  • enhancement대규모 클러스터라면 longhorn-manager 메모리 개선 효과 확인

    인포머 캐싱 최적화로 longhorn-manager Pod의 메모리 사용량이 줄었습니다. 노드와 볼륨이 많은 환경일수록 체감 효과가 큽니다. 업그레이드 외에 추가 설정은 필요 없지만, 업그레이드 전후 메모리 사용량을 비교해두면 개선 효과를 수치로 확인할 수 있습니다.

주요 변경 (5)
  • CSIStorageCapacity 리포팅 제어 설정 추가 — Longhorn 디스크가 없는 컴퓨트 노드의 WaitForFirstConsumer 스케줄링 실패 해결
  • Replica Auto-Balance가 무한 스케줄링 루프에 빠지던 버그 수정
  • 불안정한 네트워크 환경에서 레플리카 리빌드 진행률이 100%를 초과하던 문제 수정
  • 클러스터 전체 인포머 캐싱 최적화로 longhorn-manager 메모리 사용량 감소
  • NFS 지연 환경에서 backup inspect 누적으로 인한 노드 리소스 고갈 문제 해결
원문

CRI-O

Kubernetes Core2026년 5월 5일

v1.35.3은 CVE-2026-35469 패치, 컨테이너 중지 시 패닉 및 종료 코드 경쟁 조건 수정, GOMAXPROCS 하한 주입 기능 추가가 핵심입니다.

  • securityCVE-2026-35469 패치를 위해 v1.35.3으로 즉시 업그레이드

    spdystream 의존성의 취약점(CVE-2026-35469)이 moby/spdystream v0.5.1 업데이트로 수정됐습니다. v1.35.x를 사용 중이라면 별도 우회책 없이 바이너리 업그레이드만이 해결 방법이니 v1.35.3으로 바로 올리세요.

  • breakingCNI 헬스 모니터링은 추가됐다가 같은 릴리스에서 롤백됨

    STATUS verb를 이용한 CNI 플러그인 상태 모니터링 기능이 추가됐지만, 노드 부트스트래핑 회귀가 확인돼 즉시 되돌렸습니다. v1.35.3에서 CNI 동작은 이전과 동일합니다. 이 기능을 보고 도입을 계획했다면 일단 보류하세요. 수정 후 이후 릴리스에 다시 포함될 가능성이 높습니다.

  • enhancement'min_injected_gomaxprocs'로 Go 워크로드의 CPU 과소활용 방지

    CPU request가 낮으면 GOMAXPROCS가 1로 설정돼 Go 기반 워크로드 성능이 저하됩니다. 새로운 'min_injected_gomaxprocs' 옵션을 설정하면 CRI-O가 max(하한값, cpu.request)를 GOMAXPROCS로 주입합니다. CPU request는 낮게 잡았지만 스레드가 필요한 Go 사이드카나 에이전트를 운영한다면 CRI-O 설정에 이 값을 지정해 두세요.

주요 변경 (6)
  • spdystream v0.5.1 업데이트로 CVE-2026-35469 수정
  • 동시 StopContainer 호출 시 발생하던 패닉 수정 — 컨테이너 교체가 잦은 환경에서 실제 크래시 원인이었음
  • 빠르게 종료되는 컨테이너에서 종료 코드 255가 잘못 반환되던 경쟁 조건 해결
  • 새로운 'min_injected_gomaxprocs' 옵션으로 모든 컨테이너에 주입되는 GOMAXPROCS 하한값 설정 가능
  • CNI 헬스 모니터링 기능이 추가됐다가 노드 부트스트래핑 회귀 문제로 같은 릴리스 내에서 롤백됨 — 최종적으로 변경 없음
  • 새로운 'container_runtime_crio_default_runtime' 메트릭으로 노드에 설정된 기본 런타임 확인 가능
원문

in-toto

Security2026년 5월 4일

in-toto v3.1.0은 sslib 해시 함수를 내재화하고 ruff로 코드 스타일을 전환했습니다. 유지보수 중심 릴리스지만 sslib 의존성 변경은 실무 환경에 영향을 줄 수 있습니다.

  • breakingsslib를 별도로 사용 중이라면 지금 마이그레이션 계획을 세우세요

    in-toto가 sslib의 해시 함수를 직접 내재화한 이유는 sslib가 지원 중단 수순을 밟고 있기 때문입니다. 프로젝트 의존성 트리에서 sslib를 직접 또는 간접적으로 끌어오는 경로가 있다면 지금 확인하고 대체 방안을 마련해야 합니다. in-toto 업그레이드만으로 sslib 문제가 해결된다고 보면 안 됩니다.

  • enhancement`in-toto-run` 반환 코드 전달 동작 변경 — CI 파이프라인을 점검하세요

    기존에는 `in-toto-run`이 래핑된 명령의 종료 코드를 무시해서 CI에서 실패가 묻히는 경우가 있었습니다. 이제 종료 코드가 정상적으로 전달되므로, `in-toto-run` 이후 종료 코드를 검사하는 스크립트나 CI 스텝이 있다면 동작이 바뀌었는지 반드시 확인하세요. 이전에는 통과하던 단계가 실패로 잡힐 수 있습니다.

  • enhancement기여자·패키저라면 개발 환경을 ruff로 맞추세요

    코드베이스 전체가 ruff 기준으로 정리됐습니다. fork를 유지하거나 PR을 올릴 계획이라면 기존 flake8/pylint 설정이 불필요한 충돌을 만들 수 있으니, 로컬 개발 환경을 ruff로 전환한 뒤 작업하는 게 좋습니다.

주요 변경 (5)
  • sslib 해시 함수를 in-toto 내부로 이식 — sslib 지원 중단에 따른 외부 의존성 제거
  • 코드 스타일 도구를 ruff로 전환, 전체 코드베이스에 적용
  • Debian 패키지 의존성 및 빌드 규칙 최신화
  • CLI: `in-toto-run`이 래핑된 명령의 반환 코드를 이제 그대로 전달
  • 파이프라인 및 내용 관련 문서 업데이트
원문

Kubescape

Security2026년 5월 4일

v4.0.6은 스캔 결과의 정확성을 크게 개선한 릴리스로, 네임스페이스 필터 오류, OPA 평가 실패 시 묵시적 누락, CVE 예외 처리 대소문자 구분 버그 등 결과에 직접 영향을 주는 문제들을 수정했습니다.

  • securityCVE 예외 목록의 대소문자 일관성 점검 필요

    이전 버전에서는 이미지 스캔 CVE 예외 매칭이 대소문자를 구분했기 때문에, 소문자로 등록된 'ghsa-xxxx' 예외는 적용되지 않았습니다. 업그레이드 후 예외 목록의 CVE/GHSA ID 표기를 검토하고, 실제로 예외 처리되고 있는 항목을 다시 확인하세요.

  • securityHTTP 핸들러 로그에서 요청 바디 기록 제거 — 기존 로그 검토 권고

    이전까지 Kubescape의 HTTP 핸들러가 스캔 요청 전체 바디를 로그에 기록했는데, 여기에 리소스 매니페스트나 민감한 설정 데이터가 포함될 수 있었습니다. 이번 릴리스에서 해당 로깅이 제거됐습니다. 기존에 수집된 로그에 매니페스트 내용이 포함되어 있을 수 있으므로, 로그 보존 정책을 검토하고 필요시 데이터를 폐기하세요.

  • breaking업그레이드 후 스캔 결과 변화 예상 — 기존의 거짓 통과가 실패로 전환됨

    두 가지 버그로 인해 리소스가 스캔 결과에서 조용히 사라지고 있었습니다. OPA 평가 오류가 무시되던 문제와 GVR 수집 부분 실패가 억제되던 문제가 모두 수정됐습니다. 기존 컴플라이언스 점수가 비정상적으로 깔끔했다면, 업그레이드 후 새로 나타나는 실패 항목은 회귀가 아니라 원래부터 존재했던 문제입니다. 결과 기준선을 재정립해야 할 수 있습니다.

주요 변경 (5)
  • OPA 규칙 평가 실패 시 리소스가 조용히 누락되던 문제 수정 — 이제 오류가 명시적으로 표시됨
  • --include-namespaces 사용 시 클러스터 스코프 리소스 결과가 필터링에서 제외되던 버그 수정
  • CVE 예외 매칭이 대소문자 구분 없이 처리되도록 개선 (소문자 CVE ID 예외 누락 방지)
  • kubescape scan에서 Helm 값 오버라이드 전달 가능, Kustomize 디렉터리 내 Helm 렌더링 지원 추가
  • 원시 스캔 요청 바디 로깅 제거 및 동시 요청 시 예외 파일 경합 조건 수정
원문

wasmCloud

Orchestration & Management2026년 5월 1일

오퍼레이터 안정성, NATS 구독 준비 상태 감지, 보안 의존성 업그레이드에 집중한 유지보수 릴리즈입니다. API 변경은 없지만 프로덕션에서 주의할 수정 사항이 있습니다.

  • securitywasmtime 보안 업그레이드 및 cargo audit 도입 — 즉시 업그레이드 권장

    이번 릴리즈에서 wasmtime이 업그레이드되고 rustls-pemfile 의존성이 제거됐습니다. 또한 cargo audit이 CI에 통합되어 이후 의존성 취약점을 조기에 탐지할 수 있게 됐습니다. Wasm 런타임에서 구버전 wasmtime을 유지할 이유가 없으므로, 2.0.5 이하를 사용 중이라면 즉시 업그레이드하세요.

  • breaking오퍼레이터 준비 상태 판단 기준 변경 — 헬스체크 및 롤아웃 전략 검토 필요

    WorkloadDeployment의 Ready 조건이 이제 디플로이먼트 오브젝트 생성 시점이 아닌 실제 레플리카 가용성 기준으로 평가됩니다. CI/CD 파이프라인이나 모니터링에서 Ready 조건을 트래픽 전환이나 다음 단계 진행의 게이트로 사용하고 있다면, 정상 시작 중에도 '준비 안 됨' 구간이 길어질 수 있습니다. 롤아웃 대기 조건과 알림 임계값을 점검하세요.

  • enhancementNATS 구독 준비 상태 버그 수정 — 시작 시 레이스 컨디션 겪었다면 확인 필요

    호스트가 이제 NATS 구독 워크로드가 실제로 준비된 후에 ready를 보고합니다. 시작 시 NATS 연결이 완전히 맺어지기 전에 컴포넌트가 구독을 시도하는 레이스 컨디션을 겪은 적 있다면, 이번 수정으로 해결됩니다. 별도 설정 변경 없이 업그레이드 후 시작 시퀀스가 예상대로 동작하는지 확인하면 됩니다.

주요 변경 (5)
  • HTTP 라우팅이 이제 정확한 HTTP 상태 코드를 담은 타입화된 RouteError를 반환
  • 오퍼레이터 WorkloadDeployment 준비 상태가 실제 레플리카 가용성 기준으로 변경됨
  • NATS 구독 워크로드의 준비 상태 감지 버그 수정 — 이전에는 준비 완료를 조기 보고할 수 있었음
  • wasmtime 버전 업, rustls-pemfile 제거, CI 파이프라인에 cargo audit 추가
  • async-nats 0.47 및 Go 런타임 1.26으로 업그레이드
원문

etcd

Kubernetes Core2026년 5월 1일

etcd v3.6.11 패치 릴리스입니다. 릴리스 노트 자체엔 상세 내용이 없으니, 업그레이드 전 반드시 CHANGELOG-3.6.md를 직접 확인하세요.

  • breaking업그레이드 전 공식 가이드 반드시 확인

    릴리스 노트에 breaking change 가능성이 명시되어 있습니다. 단순 패치라고 넘기지 말고, CHANGELOG-3.6.md와 업그레이드 가이드를 현재 버전과 비교한 뒤, 비운영 클러스터에서 먼저 검증하세요.

  • enhancement파이프라인의 컨테이너 레지스트리 출처 점검

    etcd의 공식 기본 레지스트리는 gcr.io입니다. CI/CD나 쿠버네티스 매니페스트에 quay.io/coreos/etcd가 아직 남아 있다면 보조 미러를 쓰는 셈이라 최신 이미지 반영이 늦을 수 있습니다. gcr.io/etcd-development/etcd로 이미지 참조를 교체하세요.

주요 변경 (4)
  • 인라인 변경 내역 없음 — 상세 내용은 CHANGELOG-3.6.md 참조
  • 3.6 시리즈에 breaking change 가능성 있음 — 업그레이드 가이드 사전 검토 필수
  • 기본 컨테이너 이미지: gcr.io/etcd-development/etcd, 보조: quay.io/coreos/etcd
  • 지원 플랫폼 매트릭스 업데이트 — 배포 전 OS/아키텍처 조합 확인 권장
원문

etcd

Kubernetes Core2026년 5월 1일

etcd v3.5.30은 3.5 시리즈의 유지보수 릴리스입니다. 릴리스 노트에 구체적인 내용이 없으므로 GitHub의 CHANGELOG-3.5.md를 직접 확인해야 합니다.

  • breaking업그레이드 전 CHANGELOG 직접 확인 필수

    릴리스 공지가 CHANGELOG-3.5.md를 가리키는 것에 그치고 있습니다. 프로덕션 클러스터를 업그레이드하기 전에 반드시 현재 버전 이후의 모든 항목을 꼼꼼히 읽어야 합니다. 동작 방식 변경이나 데이터 포맷 변경은 사전 검토 없이 넘어가면 장애로 이어질 수 있습니다.

  • enhancement컨테이너 이미지 소스를 gcr.io로 우선 설정

    프로젝트 공식 기준으로 gcr.io가 기본 레지스트리이고 quay.io는 보조입니다. 배포 파이프라인이나 에어갭 미러가 여전히 quay.io를 기본으로 쓰고 있다면, gcr.io를 우선으로 전환하는 편이 좋습니다. 신규 이미지는 gcr.io에 먼저 올라오는 경향이 있습니다.

주요 변경 (4)
  • 이번 릴리스 공지에는 상세 변경 내역이 포함되지 않음
  • 전체 변경 목록은 etcd GitHub 저장소의 CHANGELOG-3.5.md에서 확인 가능
  • 업그레이드 전 공식 업그레이드 가이드 검토 필수 (브레이킹 체인지 포함 가능성 있음)
  • 컨테이너 이미지: gcr.io/etcd-development/etcd(기본), quay.io/coreos/etcd(보조)
원문

etcd

Kubernetes Core2026년 5월 1일

etcd v3.4.44는 3.4 브랜치의 유지보수 릴리스입니다. 릴리스 노트에 변경 내용이 없으므로, 업그레이드 전에 반드시 CHANGELOG를 직접 확인해야 합니다.

  • breaking릴리스 노트가 비어 있음 — CHANGELOG 직접 확인 필수

    이번 릴리스 노트에는 변경 내용이 전혀 기재되어 있지 않습니다. 운영 클러스터에 적용하기 전, CHANGELOG-3.4.md를 직접 열어 현재 버전과 비교하세요. Kubernetes 컨트롤 플레인에서 이 단계를 건너뛰면 업그레이드 도중 예상치 못한 동작 변경에 맞닥뜨릴 수 있습니다.

  • enhancement3.4 사용 중이라면 3.5 마이그레이션 계획을 세울 시점

    3.4.x는 현재 중요 버그 수정만 받는 상태입니다. Kubernetes 백엔드로 etcd를 운영 중이라면 지원 기간이 긴 3.5로의 전환을 검토할 때입니다. 업그레이드 전에 사용 중인 Kubernetes 버전과의 호환성을 먼저 확인하세요.

주요 변경 (4)
  • 3.4.x 안정 브랜치의 유지보수 릴리스
  • 실제 변경 사항은 CHANGELOG-3.4.md에서만 확인 가능 (릴리스 노트에 미기재)
  • 컨테이너 이미지: gcr.io/etcd-development/etcd (기본), quay.io/coreos/etcd (보조)
  • 브레이킹 체인지 가능성이 있으므로 업그레이드 전 공식 업그레이드 가이드 검토 필수
원문
← 최신이전 →