RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

Kubeflow

AI & ML2026년 4월 29일

이 릴리즈는 실제 코드 변경 없이 각 Kubeflow 하위 프로젝트 저장소로 안내하는 리디렉션 역할만 합니다.

  • breakingkubeflow/kubeflow 저장소 릴리즈 추적을 중단하세요

    kubeflow/kubeflow 저장소에서 릴리즈를 추적하고 있다면 실제 업데이트를 놓치고 있는 겁니다. 각 하위 프로젝트(manifests, pipelines, trainer, katib, notebooks, spark-operator, model-registry, sdk, dashboard)를 별도로 Watch하거나 RSS 피드·알림 파이프라인을 업데이트하세요.

  • enhancement컴포넌트별 독립 업그레이드 전략으로 전환하세요

    각 컴포넌트가 독립 릴리즈 주기를 따르므로, Pipelines나 Trainer를 건드리지 않고 Katib나 Model Registry만 업그레이드할 수 있습니다. 단일 플랫폼 릴리즈를 기다리는 방식 대신 컴포넌트 단위 semver 추적 전략을 수립하세요. 컴포넌트 간 호환성 매트릭스는 kubeflow/manifests 릴리즈에서 확인하면 됩니다.

주요 변경 (3)
  • kubeflow/kubeflow 모노레포에서 프로젝트 코드 완전 분리 — 각 컴포넌트는 독립 저장소로 이동
  • Platform, SDK, Notebooks, Spark Operator, Trainer, Katib, Model Registry, Pipelines, Dashboard 9개 프로젝트가 각자 독립적인 릴리즈 주기로 운영
  • 설치 가이드는 공식 Kubeflow 문서 사이트에서 관리
원문

Microcks

CI/CD & App Delivery2026년 4월 29일

Microcks 1.14.0은 Kafka request-reply 비동기 모킹을 추가하고, Callback/Sync-to-Async 지원을 REST·gRPC·UI 전반에 확장했습니다. HTTP 메서드 변경 버그도 함께 수정됐습니다.

  • security커스텀 이미지 UBI9 기반 재빌드

    베이스 이미지가 UBI9 9.7-1776833838로 올라갔습니다. 공식 Microcks 이미지를 기반으로 커스텀 이미지를 빌드하고 있다면 업그레이드 후 반드시 재빌드해서 OS 레벨 패치를 반영하세요.

  • breakingREST 목 라우팅 동작 변경 확인 필요

    #2028 픽스로 인해 operation의 HTTP 메서드가 더 이상 변경되지 않습니다. 메서드별 라우팅에 의존하는 REST 목이 있다면, 업그레이드 후 예상대로 동작하는지 확인하세요. 기존에 메서드가 의도치 않게 변경되어 오동작했던 케이스가 있었다면 이번 픽스로 동작이 달라질 수 있습니다.

  • enhancementKafka request-reply 비동기 테스트 도입 검토

    Kafka 비동기 목(mock)이 이제 request-reply 패턴을 지원합니다. Kafka 기반 이벤트 드리븐 서비스를 Microcks로 모킹하고 있다면, 외부 도구 없이 양방향 상호작용 테스트가 가능해졌습니다. 기존 Kafka 목 설정을 마이그레이션하기 전에 Callback·Sync-to-Async API 변경 사항과 새 트리거 UI를 먼저 검토하세요.

주요 변경 (5)
  • Kafka 비동기 목에 request-reply 패턴 지원 추가 (기존에는 fire-and-forget만 가능)
  • Callback·Sync-to-Async API 업데이트, 트리거 정보 UI 노출 및 두 번째 artifact로 사용 가능
  • gRPC 목에도 트리거 지원 추가
  • operation HTTP 메서드가 변경되지 않도록 버그 수정 (#2028)
  • UBI9 베이스 이미지 9.7-1776833838 업데이트, Angular 19.2.20 업그레이드, X-Trace-Id 헤더를 통한 컨텍스트 전파 지원
원문

Knative

Orchestration & Management2026년 4월 28일

Knative v1.22.0은 EndpointSlices 전환을 마무리하고, 전 컴포넌트 TLS 설정을 통합하며, 오토스케일링 가시성을 위한 새 메트릭을 추가했습니다.

  • enhancement신규 큐/활성 요청 메트릭을 오토스케일링 튜닝에 활용하세요

    queue-proxy에서 kn.revision.request.queued와 kn.revision.request.active를 이제 수집할 수 있습니다. 동시성 목표치를 조정하거나 콜드 스타트 문제를 디버깅한다면, Prometheus 스크레이프 설정과 대시보드에 이 메트릭을 추가하세요. 리비전별 큐 깊이를 직접 확인할 수 있어, 기존에 집계 메트릭으로 추측해야 했던 부분이 훨씬 명확해집니다.

  • enhancement최소 권한 환경에서 RBAC 변경 사항을 반드시 확인하세요

    ClusterRole에 EndpointSlices 전환을 위한 endpointslices/restricted 권한이 추가됐습니다. OPA나 Kyverno 등 정책 엔진으로 ClusterRole 변경을 감사하는 클러스터라면, 업그레이드 전에 변경된 역할을 검토하고 승인해야 합니다. 이 권한이 누락되면 오토스케일러의 stat forwarding이 중단됩니다.

  • enhancementWebSocket 트래픽을 처리하는 서비스라면 스케일 다운 시 연결 끊김이 줄어듭니다

    queue-proxy가 WebSocket 연결을 이제 graceful하게 종료합니다. 롤링 업데이트나 scale-to-zero 이벤트 때 연결이 강제로 끊기는 문제가 자동으로 개선됩니다. 별도 설정 변경 없이 업그레이드만으로 효과가 적용됩니다.

주요 변경 (5)
  • 오토스케일러 stat forwarder와 e2e 테스트가 EndpointSlices로 완전 전환 — Endpoints API 의존도 지속 감소
  • reconciler, activator, queue-proxy의 TLS 설정이 knative.dev/pkg/network/tls로 통합
  • kn.revision.request.queued, kn.revision.request.active 메트릭 신규 추가
  • 오토스케일러가 레플리카 수 조정 시 Deployment를 직접 패치하지 않고 /scale 서브리소스 사용으로 전환
  • Deployment 조정 로직 개선 — 실제 레이블·어노테이션·스펙 변경이 있을 때만 업데이트 실행
원문

Rook

Storage & Data2026년 4월 28일

Rook v1.19.5는 CSI 우선순위 클래스 스왑 버그, OSD CRUSH 장치 클래스 미적용, MON 드레인 안정성 등 주요 운영 버그를 수정한 패치 릴리스입니다.

  • breaking업그레이드 후 CSI 우선순위 클래스 배정 반드시 확인

    프로비저너와 플러그인 컴포넌트에 우선순위 클래스가 반대로 적용되어 왔습니다. 커스텀 우선순위 클래스를 사용 중이라면 업그레이드 후 CSI 파드에 실제로 어떤 우선순위가 적용되는지 확인하고, Helm values 파일도 의도에 맞게 재검토하세요. 스토리지 I/O 지연에 민감한 워크로드를 운영 중인 환경은 특히 주의가 필요합니다.

  • enhancementOSD 재탐색 후 CRUSH 장치 클래스 누락 문제 해결

    노드 교체나 OSD 재생성 후 장치 클래스(hdd/ssd/nvme)가 재적용되지 않아 OSD가 잘못된 CRUSH 버킷에 배치되는 문제가 있었습니다. 장치 클래스 기반 풀이나 배치 룰을 사용 중이라면 업그레이드 후 OSD 트리를 점검해 클래스 배정이 올바른지 확인하세요.

  • enhancementROOK_UNREACHABLE_NODE_TOLERATION_SECONDS를 Helm values로 관리

    기존에는 오퍼레이터 디플로이먼트를 직접 수정해야 했던 설정입니다. 이제 Helm values에서 공식적으로 지원되므로, 기존에 post-install 패치나 커스텀 매니페스트로 우회했다면 해당 설정을 values 파일로 이전하고 임시 방편을 정리하세요.

주요 변경 (5)
  • CSI: provisionerPriorityClassName과 pluginPriorityClassName이 서로 바뀌어 적용되던 버그 수정 — 커스텀 우선순위 클래스를 사용 중인 클러스터는 즉시 확인 필요
  • OSD: OSD 재탐색 시 CRUSH 장치 클래스가 무시되던 버그 수정, 데이터 배치 정책 정상 적용
  • MON: 모니터가 이미 다운된 상태에서 드레인 방지 로직 개선, 유지보수 중 스플릿 브레인 위험 감소
  • Helm: ROOK_UNREACHABLE_NODE_TOLERATION_SECONDS를 차트 values로 설정 가능해짐
  • 보안: rook-ceph-nvmeof 서비스 어카운트에 SCC 권한 부여, CSI 리소스에 Helm 소유권 어노테이션 추가
원문

OpenTelemetry

Observability2026년 4월 28일

v0.151.0은 OTLP receiver 설정 구조체에서 API 수준의 breaking change가 있고, builder의 go.mod 생성 기본 동작이 바뀝니다. 듀얼스택 gRPC 연결 문제 해결과 pprofile 데이터 손상 버그 수정이 운영 측면에서 가장 주요한 변경입니다.

  • breaking커스텀 콜렉터에서 OTLP receiver 필드 접근 방식 수정 필요

    OTLP receiver의 Config.Protocols가 이제 named field로 바뀌어, cfg.GRPC / cfg.HTTP를 직접 참조하는 코드는 컴파일이 깨집니다. OTLP receiver를 임베드하거나 확장한 커스텀 콜렉터가 있다면 cfg.Protocols.GRPC, cfg.Protocols.HTTP로 변경한 뒤 업그레이드하세요.

  • breaking빌더 생성 결과물을 커밋한다면 go.mod 경로 방식 확인

    cmd/builder가 생성하는 go.mod의 replace 경로가 기본값으로 상대 경로로 바뀌었습니다. 여러 머신에서 동일한 생성 코드를 빌드한다면 이 변경이 유리하지만, 절대 경로를 파싱하는 스크립트나 툴링이 있다면 dist::use_absolute_replace_paths: true를 설정해 기존 동작을 유지하면서 마이그레이션하세요.

  • enhancement듀얼스택 DNS 환경의 gRPC 연결 문제는 passthrough 리졸버로 해결

    grpc.NewClient 전환 이후 듀얼스택 DNS 환경에서 OTLP gRPC 익스포터 연결이 간헐적으로 실패하는 사례가 보고됐습니다. exporter 설정의 endpoint를 passthrough:///host:port 형식으로 바꾸면 해결됩니다. IPv4/IPv6 혼용 환경에서 연결 오류를 겪고 있다면 우선 이 방법을 시도해보세요.

주요 변경 (6)
  • cmd/builder: 생성된 go.mod의 replace 경로가 상대 경로로 변경됨 (절대 경로로 되돌리려면 dist::use_absolute_replace_paths 사용)
  • receiver/otlp API: cfg.GRPC, cfg.HTTP 접근을 cfg.Protocols.GRPC, cfg.Protocols.HTTP로 변경 필요
  • configgrpc: endpoint에 passthrough:/// 리졸버 스킴 지정 가능, 듀얼스택 DNS 문제 해결
  • pkg/pprofile: marshal-unmarshal-merge 후 resource/scope 속성이 손상되는 버그 수정
  • pkg/service: 텔레메트리 설정의 non-string resource attribute가 패닉 대신 에러를 반환하도록 수정
  • confighttp의 framedSnappy feature gate가 stable로 승격
원문

Dapr

Orchestration & Management2026년 4월 28일

단일 버그 수정: 정상 종료(graceful shutdown) 또는 pub/sub 컴포넌트 핫리로드 중 수신된 메시지가 데드레터 큐로 유실되던 문제가 해결됐습니다.

  • breaking기존 데드레터 큐에서 유실된 메시지 확인 필요

    데드레터 큐를 사용하는 pub/sub 환경이라면, 이전 롤링 배포나 재시작 과정에서 DLQ로 빠진 메시지들이 재처리되지 않은 채 남아 있을 수 있습니다. 업그레이드 전에 DLQ를 점검하고, 실제로 처리됐어야 할 메시지를 식별해 재처리 계획을 세우세요. 업그레이드 후에는 배포 중 DLQ 깊이를 지표로 모니터링하세요. 이제 DLQ 급증은 실제 처리 실패를 의미하므로 신뢰할 수 있는 알림 기준이 됩니다.

  • enhancement롤링 배포나 잦은 재시작 환경이라면 즉시 패치 적용을 권장

    Kubernetes 롤링 업데이트나 빈번한 파드 재시작을 운영하는 팀은 이 패치를 우선순위 높게 적용하세요. 기존 문제는 앱에 오류가 전혀 노출되지 않아 발견이 어려웠습니다. 수정 범위가 종료 경로에 한정되어 있어 1.17.x에서의 업그레이드 위험도는 낮습니다.

주요 변경 (4)
  • 구독 종료 중 수신된 메시지를 즉시 NACK 처리하는 대신 브로커 연결이 끊길 때까지 보류하도록 변경
  • 선언적, 프로그래밍 방식(HTTP·gRPC), 스트리밍 등 모든 구독 유형에 적용
  • 롤링 배포, 재시작, pub/sub 컴포넌트 핫리로드 등 정상 종료가 발생하는 모든 시나리오에 해당
  • 이미 처리 중인 메시지는 구독이 완전히 닫히기 전에 정상적으로 완료됨
원문

OpenCost

Observability2026년 4월 28일

v1.120.1은 탄소 비용 계산 오류 수정, AWS Spot 가격 캐싱, 메모리 최적화, 그리고 MCP 서버 기본값 변경을 담은 패치 릴리스입니다.

  • breakingMCP 서버 기본값 변경 — 의존 중인 통합 환경 확인 필요

    MCP 서버가 기존에는 별도 설정 없이 활성화 상태였지만, 이번 변경으로 명시적으로 켜야만 동작합니다. 별도 설정 없이 MCP 서버를 사용하던 도구나 연동 시스템이 있다면 업그레이드 후 조용히 멈출 수 있습니다. 배포 전에 MCP_SERVER_ENABLED=true 설정이 필요한 환경인지 반드시 점검하세요.

  • enhancementAWS Spot 사용 환경: Spot 가격 캐싱으로 API 부하 감소

    Spot 인스턴스를 사용한다면 기존에는 Spot Price History API를 빈번하게 호출했습니다. 캐싱 레이어 추가로 API 호출 횟수가 줄어 속도 제한 문제와 비용 귀속 지연이 완화됩니다. 별도 조치는 필요 없지만, 업그레이드 후 Spot 비용 데이터가 정확하게 집계되는지 확인해보는 게 좋습니다.

  • enhancement탄소 비용 데이터 오류 수정 — 탄소 지표 사용 시 재기준선 설정 필요

    프로바이더 감지 오류와 폴백 로직 버그로 인해 이전 버전의 탄소 비용 수치가 부정확했을 수 있습니다. 탄소/배출량 데이터를 팀이나 대시보드에 제공하고 있다면, 업그레이드 후 이 버전 경계를 기준으로 과거 데이터와 단순 비교하지 말고 새로 기준선을 잡아야 합니다.

주요 변경 (5)
  • MCP 서버가 기본값 비활성화(MCP_SERVER_ENABLED=false)로 전환 — 기존 opt-out 방식에서 opt-in 방식으로 변경
  • 탄소 비용 조회 오류 수정: 프로바이더 감지, 폴백 로직, 네트워크 비용 지원 문제 해결
  • AWS Spot Price History API에 캐싱 레이어 추가로 API 호출량 및 지연 감소
  • 메모리 사용량 2차 최적화 작업 적용
  • 로컬 스토리지 비용 조회를 Prometheus 쿼리 대신 직접 수식으로 대체
원문

Strimzi

Networking & Messaging2026년 4월 28일

Strimzi 1.0.0은 v1 이전의 모든 CRD API를 제거했습니다. 업그레이드 전 CRD 변환이 필수이며, Kafka 4.1.2 지원, HTTP Bridge TLS, 환경 변수 기반 rack awareness도 추가됐습니다.

  • breaking업그레이드 전 모든 CRD를 v1 API로 반드시 변환할 것

    Strimzi 1.0.0은 v1beta2, v1beta1, v1alpha1을 완전히 제거했습니다. 기존 커스텀 리소스가 이전 API 버전을 사용하고 있으면, 업그레이드 후 오퍼레이터가 해당 리소스를 조정하지 않아 클러스터 관리가 조용히 멈춥니다. KafkaTopic, KafkaUser도 별도 구버전 API가 있었으므로 반드시 포함해서 변환해야 합니다. Strimzi 공식 문서의 CRD 변환 절차를 먼저 완료한 뒤 업그레이드를 진행하세요.

  • enhancementRack awareness를 환경 변수 방식으로 전환해 ClusterRoleBinding 제거 가능

    새로 추가된 type: environment-variable rack awareness는 Kubernetes API 조회 대신 환경 변수에서 토폴로지 정보를 읽으므로 ClusterRoleBinding이 필요 없습니다. RBAC 정책이 엄격하거나 멀티 테넌트 클러스터를 운영 중이라면 전환을 검토할 만합니다. Kafka CR의 rack 설정에서 type 필드만 수정하면 되고, 인프라 변경은 필요하지 않습니다.

  • enhancementUseConnectBuildWithBuildah 기본 활성화 — Connect 빌드 파이프라인 사전 검증 필요

    이 피처 게이트가 베타로 승격되면서 Kafka Connect 커넥터 빌드의 기본 도구가 Buildah로 바뀝니다. Kaniko 고유 동작에 의존하거나 커스텀 빌드 설정이 있다면, 운영 환경 업그레이드 전에 스테이징에서 빌드를 먼저 검증하세요. 레이어 캐싱 방식이나 레지스트리 인증 처리에서 동작 차이가 나타날 수 있습니다.

주요 변경 (5)
  • v1beta2, v1beta1, v1alpha1 CRD API 완전 제거 — v1만 지원
  • Kafka 4.1.2 공식 지원 추가, Kafka 4.2.0 이미지도 포함
  • HTTP Bridge에 TLS/SSL 지원 추가
  • ClusterRoleBinding 없이 동작하는 환경 변수 기반 rack awareness 신규 지원
  • UseConnectBuildWithBuildah 피처 게이트가 베타로 승격되어 기본 활성화
원문

hami

AI & ML2026년 4월 28일

hami v2.8.2이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

SPIRE

Security2026년 4월 27일

SPIRE v1.14.6은 EC2 인스턴스 사칭을 허용하는 aws_iid 결함과 조인 토큰 경쟁 조건, 두 가지 심각한 보안 취약점을 수정합니다.

  • securityaws_iid 어테스테이션 사용 중이라면 즉시 업그레이드

    공격자가 EC2 인스턴스 하나만 제어해도 aws_iid 어테스테이션 과정에서 다른 모든 EC2 인스턴스의 신원을 위조할 수 있는 심각한 결함입니다. 위조된 신원은 SPIFFE ID 할당과 워크로드 인가 결정 전체에 영향을 줍니다. v1.14.6으로 즉시 업그레이드하고, 업그레이드 후 노드 어테스테이션 로그에서 실제 AWS 메타데이터와 불일치하는 비정상적인 등록 기록이 없는지 반드시 확인하세요.

  • security조인 토큰 이중 등록 가능 — 지금 패치하고 발급 정책 재검토

    TOCTOU 결함으로 동일한 조인 토큰으로 두 에이전트가 동시에 어테스테이션을 완료할 수 있었습니다. 자동화 파이프라인이나 임시 환경에서 조인 토큰을 배포한다면, 토큰을 탈취한 공격자가 정상 에이전트와의 경쟁으로 등록을 먼저 완료할 위험이 있습니다. v1.14.6으로 업그레이드한 뒤, 토큰 유효 기간을 단축하거나 민감한 워크로드에는 x509pop 같은 대안적 어테스테이션 방식으로 전환하는 것을 검토하세요.

주요 변경 (4)
  • aws_iid 어테스터 수정: PKCS7 서명은 내장 콘텐츠로 검증하면서, 실제 신원은 공격자가 조작 가능한 별도 필드에서 파싱하는 결함 제거
  • 조인 토큰 TOCTOU 경쟁 조건 수정: tx.Delete()가 삭제된 행이 없어도 오류를 반환하지 않아 동일 토큰으로 동시 어테스테이션이 모두 성공하던 문제 해결
  • 행 잠금 기반 읽기-수정-쓰기 트랜잭션으로 교체하여 정확히 하나의 행만 삭제됨을 보장
  • 두 취약점 모두 Tianshuo Han이 제보
원문

SPIRE

Security2026년 4월 27일

v1.13.6은 AWS IID 어테스터의 EC2 인스턴스 사칭 취약점과 조인 토큰의 경쟁 조건 버그를 수정한 보안 패치입니다. 즉시 업그레이드하세요.

  • securityAWS IID 어테스테이션 사용 중이라면 즉시 업그레이드

    AWS IID 어테스터 취약점은 심각합니다. EC2 인스턴스 하나만 제어할 수 있으면 노드 어테스테이션 과정에서 환경 내 임의의 다른 EC2 인스턴스를 사칭할 수 있습니다. SVID 발급, RBAC, 워크로드 인증 등 모든 다운스트림 결정이 위조된 identity 기반으로 동작하게 됩니다. aws_iid 플러그인을 사용 중이라면 v1.13.6으로 즉시 패치하고, SPIRE 서버 로그에서 비정상적인 EC2 노드 어테스테이션 이벤트(특히 크로스 계정·크로스 리전 패턴)를 점검하세요.

  • security동시 에이전트 부트스트래핑 환경이라면 조인 토큰 즉시 교체

    TOCTOU 버그로 인해 같은 조인 토큰을 동시에 사용한 두 에이전트가 모두 어테스테이션에 성공할 수 있었습니다. 1회용 토큰의 보안 보장이 깨진 셈입니다. 업그레이드 후, 동시 에이전트 부트스트래핑이 발생했을 가능성이 있는 시점에 사용된 조인 토큰은 모두 교체하세요. init 컨테이너나 CI 파이프라인처럼 병렬 실행이 가능한 자동화 환경에서 조인 토큰을 사용하고 있다면, 해당 구간에서 경쟁 조건이 실제로 발생했는지 감사 로그를 확인하세요.

주요 변경 (3)
  • AWS IID 어테스터 취약점 수정: PKCS7 서명은 내장 콘텐츠로 검증하면서 실제 identity document는 공격자가 제어 가능한 별도 필드에서 파싱 — EC2 인스턴스 사칭 가능
  • 조인 토큰 TOCTOU 경쟁 조건 수정: 동일 토큰으로 동시 어테스테이션 요청이 모두 성공하는 문제를 행 잠금 기반 read-modify-write 트랜잭션으로 해결
  • 두 취약점 모두 Tianshuo Han이 제보했으며, 이번 릴리스에는 기능 변경 없이 보안 수정만 포함
원문

NATS

Networking & Messaging2026년 4월 27일

NATS v2.12.8은 JetStream 클러스터 안정성과 Raft 엣지 케이스, /connz 모니터링 API의 JWT 노출 보안 취약점을 집중적으로 수정한 버그픽스 릴리스입니다.

  • security즉시 패치 필요: /connz가 Bearer JWT를 노출하고 있었습니다

    JWT 기반 인증을 사용하는 환경에서 /connz 모니터링 엔드포인트가 내부망이라도 접근 가능했다면, Bearer 토큰이 응답에 그대로 포함되어 있었습니다. 지금 당장 v2.12.8로 업그레이드하고, 노출되었을 가능성이 있는 JWT를 모두 교체하세요. 즉시 업그레이드가 어렵다면 방화벽이나 NATS 모니터링 인증으로 /connz 접근을 제한해야 합니다.

  • securityCLI 인자 시크릿, 과거 로그도 점검하세요

    라우트·클러스터 URL에 포함된 자격증명이 CLI 인자로 전달될 경우 이전까지 모니터링 출력에 그대로 노출됐습니다. v2.12.8로 업그레이드한 뒤, 로그 수집 파이프라인이나 모니터링 대시보드에 기록된 과거 데이터도 점검하시기 바랍니다.

  • enhancementJetStream 클러스터 운영 중 간헐적 오류가 있었다면 이번 업그레이드가 답입니다

    스냅샷에서의 스트림 리더 복구, 텀 불일치 시 Raft 커밋 인덱스 리셋, 인-플라이트 상태의 스트림·컨슈머 정보 조회 실패, 프로포절 실패로 인한 'last sequence mismatch' 오류 등 다수의 엣지 케이스가 한꺼번에 수정됐습니다. 이런 증상을 경험한 적 있다면 우선순위를 높여 업그레이드하고, 이후 스케일링 작업 중 스트림·컨슈머 info 엔드포인트 오류율 변화를 모니터링하세요.

주요 변경 (5)
  • /connz 엔드포인트에서 Bearer JWT가 노출되던 보안 문제 수정
  • CLI 인자로 전달된 라우트·클러스터 URL 시크릿을 모니터링 출력에서 마스킹 처리
  • 컨슈머 일시정지 엔드포인트, 스트림 업데이트 후 스케일링, 레거시 Raft 스냅샷 복구 시 발생하던 패닉 수정
  • 리프노드 재접속 및 프로포절 오류 상황에서 스트림 소싱 중복 메시지 발생 버그 해결
  • 컨슈머 시작 시퀀스 스캔이 비동기로 전환되어 메타레이어 일시 중단으로 인한 지연 제거
원문

NATS

Networking & Messaging2026년 4월 27일

NATS v2.11.17은 /connz 모니터링 엔드포인트의 JWT 토큰 노출 등 보안 결함과 다수의 안정성 버그를 수정한 패치 릴리스입니다.

  • security즉시 패치: /connz에서 Bearer JWT가 노출됐습니다

    모니터링 포트(기본 8222)가 내부망이라도 접근 가능한 환경이라면 긴급 패치 대상입니다. 노출된 Bearer 토큰은 재사용 공격(replay attack)에 악용될 수 있습니다. 2.11.17로 즉시 업그레이드하고, 모니터링 엔드포인트에 접근 이력이 있는 경우 관련 JWT를 전부 교체하세요. 당장 업그레이드가 어렵다면 방화벽으로 모니터링 포트를 우선 차단하십시오.

  • securityCLI 인자의 시크릿이 모니터링 출력에 노출됐습니다

    라우트·클러스터 URL에 자격증명을 직접 포함해 CLI로 전달하는 구성이라면, 해당 시크릿이 모니터링 출력에 그대로 표시됐습니다. 과거 모니터링 로그를 점검하고 노출 가능성이 있는 자격증명을 교체하세요. 장기적으로는 CLI 인자 대신 설정 파일이나 환경 변수 기반 시크릿 주입 방식으로 전환하는 게 좋습니다.

  • breaking반복 CONNECT 처리 방식 변경 — 커스텀 클라이언트 동작 확인 필요

    동일 연결에서 CONNECT 메시지를 여러 번 보내면 이제 구독 목록이 초기화됩니다. 표준적이지 않은 연결 패턴을 사용하는 커스텀 클라이언트나 인하우스 구현체가 있다면, 프로덕션 업그레이드 전에 구독이 예기치 않게 사라지는 현상이 없는지 반드시 검증하세요.

주요 변경 (5)
  • /connz 모니터링 엔드포인트에서 Bearer JWT가 노출되던 자격증명 유출 문제 수정
  • CLI 인자로 전달된 라우트·클러스터 URL의 시크릿이 모니터링 출력에서 가려지도록 수정
  • 동일 연결에서 CONNECT 메시지가 반복될 경우 구독 목록을 올바르게 초기화하도록 수정
  • 자정을 넘는 유효 기간을 가진 JWT claims의 검증 오류 수정
  • 리프노드 압축 협상 시 발생 가능한 패닉 및 메시지 헤더 설정 시 입력 버퍼가 변조되던 버그 수정
원문

Prometheus

Observability2026년 4월 27일

Prometheus v3.11.3은 자격증명 노출, snappy 페이로드를 통한 DoS, 구 UI의 저장형 XSS 등 세 가지 보안 취약점을 수정합니다.

  • security/-/config 엔드포인트에 접근 가능했다면 AzureAD client_secret 즉시 교체

    AzureAD remote write를 사용 중이고 /-/config 엔드포인트가 신뢰할 수 없는 사용자에게 노출된 적이 있다면 client_secret이 이미 유출됐다고 봐야 합니다. Azure AD에서 즉시 시크릿을 교체한 뒤 v3.11.3으로 업그레이드하세요. 이 엔드포인트가 외부에 공개되어 있지 않은지도 함께 점검하세요.

  • securityRemote-read를 외부에 노출 중이라면 즉시 업그레이드 필요

    snappy 디코드 취약점은 공격자가 디코딩 길이를 부풀린 요청을 전송해 메모리를 고갈시킬 수 있는 DoS 벡터입니다. remote-read 엔드포인트가 신뢰 경계 외부에서 접근 가능하다면 실제 위협입니다. 설정 레벨의 우회책은 없으므로 v3.11.3으로 빠르게 업그레이드하세요.

  • security구 UI를 아직 사용 중이라면 XSS 노출 여부 확인 후 업그레이드

    구 UI 히트맵의 저장형 XSS는 사용자가 레이블 값에 영향을 줄 수 있는 환경(계측 애플리케이션 등)에서 다른 사용자가 해당 차트를 열람할 때 동작합니다. 이미 새 UI로 전환했다면 영향 없습니다. 그렇지 않다면 지금 바로 업그레이드하거나, 업그레이드 전까지 UI 접근을 신뢰할 수 있는 사용자로 제한하세요.

주요 변경 (3)
  • CVE-2026-42151: AzureAD OAuth client_secret이 /-/config 엔드포인트에서 평문으로 노출되던 문제 수정
  • CVE-2026-42154: Remote-read에서 선언된 디코딩 길이가 제한을 초과하는 snappy 압축 요청을 거부하도록 변경 — DoS 벡터 차단
  • 구 UI 히트맵 차트의 le 레이블 값이 이스케이프 처리 없이 렌더링되어 발생하던 저장형 XSS 수정
원문

OpenFGA

Security2026년 4월 27일

v1.15.0은 복잡한 인가 모델의 지연 시간을 줄이는 엣지 프루닝, 실험적 가중 그래프 체커의 캐시 버그 수정, Go 1.26.2 업그레이드를 통한 표준 라이브러리 보안 패치를 담고 있습니다.

  • securityGo 표준 라이브러리 취약점 패치를 위해 즉시 업데이트

    이번 릴리스는 Go 1.26.2를 탑재했으며, Go 표준 라이브러리의 보안 취약점이 수정됐습니다. 컨테이너로 운영 중이라면 새 이미지를 즉시 교체하고, 소스 빌드 환경이라면 툴체인 버전을 맞추세요. 표준 라이브러리 취약점은 TLS, HTTP 파싱, 암호화 경로에 영향을 줄 수 있어 OpenFGA가 직접 의존하는 영역입니다.

  • enhancement복잡한 모델 환경에서 list objects 성능 재측정 권장

    엣지 프루닝은 불필요한 그래프 탐색을 제거합니다. 관계 그래프가 깊거나 넓은 인가 모델을 운영 중이라면 ListObjects 호출의 p99 지연 시간이 줄어들 겁니다. 설정 변경 없이 얻는 성능 개선이니 기존 부하 테스트를 v1.15.0 기준으로 다시 돌려보세요.

  • enhancementweighted_graph_check 사용 중이라면 캐시 동작 재검토 필요

    실험적 기능인 weighted_graph_check가 콜드 스타트나 캐시 컨트롤러 비활성 시 캐시를 조용히 건너뛰고 있었습니다. 파드 초기화 직후 지연 시간이 튀는 현상의 원인이었을 수 있습니다. 수정 후에는 문서 명세대로 제로 무효화 시간일 때 캐시를 사용하므로, 이 기능을 쓰고 있다면 이전에 측정한 동작과 달라질 수 있어 재테스트가 필요합니다.

주요 변경 (3)
  • list objects 파이프라인에 엣지 프루닝 도입 — 복잡한 인가 모델에서 측정 가능한 지연 시간 감소
  • 캐시 컨트롤러가 제로 무효화 시간을 반환할 때(콜드 스타트 또는 비활성 상태) weighted_graph_check 캐시가 잘못 우회되던 버그 수정
  • Go 표준 라이브러리 취약점 대응을 위해 Go 툴체인을 1.26.2로 업그레이드
원문

Prometheus

Observability2026년 4월 27일

Prometheus v3.5.3은 보안 전용 릴리스로, 자격증명 노출, 스내피 압축 폭탄 2건, 레거시 UI의 저장형 XSS 등 4개의 취약점을 패치합니다.

  • security/-/config 엔드포인트가 외부에 노출됐다면 즉시 AzureAD client_secret 교체

    AzureAD remote write를 사용하는 모든 Prometheus 인스턴스는 /-/config 엔드포인트에서 OAuth client_secret이 평문으로 드러났습니다. 해당 엔드포인트가 비인가 사용자나 모니터링 도구에 의해 접근 가능했다면 시크릿이 유출된 것으로 간주해야 합니다. Azure AD에서 시크릿을 교체하고 Prometheus 설정을 업데이트한 뒤 v3.5.3으로 업그레이드하세요. 업그레이드 후에는 리버스 프록시 또는 --web.enable-admin-api 설정으로 /-/config 접근을 제한하는 것이 좋습니다.

  • security외부 소스로부터 remote-read/write를 받는다면 즉시 업그레이드

    remote-read와 remote-write 엔드포인트 모두 압축 폭탄 공격에 취약했습니다. 선언된 디코딩 크기를 부풀린 스내피 요청으로 메모리를 고갈시킬 수 있었습니다. 인터넷에 노출된 Prometheus이거나 멀티 테넌트 환경에서 데이터를 수신한다면 서비스 거부 공격 위험이 있습니다. 설정으로 우회할 방법은 없으므로 v3.5.3으로 업그레이드하는 것이 유일한 해결책입니다.

  • security레거시 UI 사용 시 저장형 XSS 패치 적용 필요

    구형 UI 히트맵이 'le' 레이블 값을 이스케이프 없이 렌더링해 저장형 XSS가 가능했습니다. 외부나 사용자가 제어하는 시스템에서 'le' 레이블이 수집되고 있다면, 악성 자바스크립트가 브라우저에서 실행될 수 있습니다. v3.5.3으로 업그레이드하세요. 단기 조치로는 사용자를 신규 UI로 유도하는 방법도 있습니다.

주요 변경 (4)
  • CVE-2026-42151: AzureAD OAuth client_secret가 /-/config 엔드포인트에서 평문으로 노출
  • CVE-2026-42154: Remote-read 스내피 압축 폭탄 — 선언된 디코딩 길이가 제한을 초과하면 요청 거부
  • Remote-write도 동일한 디코딩 제한 적용으로 압축 폭탄 공격 차단 (별도 CVE 없음)
  • 레거시 UI 히트맵 틱 레이블에서 'le' 레이블 값이 이스케이프 처리되지 않아 저장형 XSS 발생 (GHSA-fw8g-cg8f-9j28)
원문

Flatcar Container Linux

Provisioning & Runtime2026년 4월 27일

LTS 채널의 대규모 보안 유지보수 릴리스입니다. 커널이 6.6.107에서 6.6.127로 올라가며 지난 LTS 포인트 릴리스 이후 누적된 CVE 수백 건을 해소했고, ca-certificates 업데이트와 arm64 Mac용 로컬 개발 환경 수정도 포함되어 있습니다.

  • security커널 업데이트를 서둘러 적용하세요 — 대규모 CVE 백로그 해소

    커널이 6.6.107에서 6.6.127까지 약 20개 포인트 릴리스를 건너뛰며 누적된 수백 건의 CVE를 한 번에 해결했습니다. 4081.3.6 이하 버전을 운영 중이라면 그동안 패치되지 않은 커널 취약점을 안고 있었던 셈이고, 그중에는 네트워킹·파일시스템·메모리 관리 등 컨테이너 워크로드에서 자주 노출되는 서브시스템 관련 취약점도 포함되어 있습니다. 일반적인 마이너 업데이트가 아니라 우선순위 높은 패치로 취급하고 업데이트 링이 허용하는 대로 빠르게 배포하세요.

  • enhancementca-certificates 3.116→3.122 반영 후 TLS 신뢰 체인 점검 필요

    ca-certificates가 3.116에서 3.122로 여러 NSS 릴리스를 건너뛰며 올라갔습니다. OS 이미지와 별도로 CA 번들을 고정하거나 자체 관리하고 있다면 이 구간에서 제거되거나 신뢰 철회된 루트 인증서가 있는지 확인하세요. 내부 서비스나 오래된 엔드포인트의 TLS 검증이 깨질 수 있습니다.

  • enhancementApple Silicon 로컬 VM 테스트 속도 개선

    QEMU 런처 스크립트가 arm64 기반 Mac에서 HVF 가속을 사용하도록 수정되었습니다(Flatcar#1901). Apple Silicon에서 Flatcar 이미지를 로컬로 빌드하거나 테스트한다면 관련 스크립트나 툴링을 업데이트하세요. VM 부팅과 테스트 사이클이 눈에 띄게 빨라집니다.

주요 변경 (5)
  • 리눅스 커널이 6.6.107에서 6.6.127로 업데이트되었고 그 사이 약 20개의 안정화 릴리스가 포함됨
  • 이번 릴리스 한 번에 2023~2026년 사이 공개된 CVE 수백 건이 패치됨
  • ca-certificates가 3.116에서 3.122로 업데이트됨(다수의 NSS 릴리스 포함)
  • QEMU 런처 스크립트 수정으로 arm64 Mac에서 HVF 가속 지원, 로컬 VM 성능 개선
  • 신규 기능이나 호환성을 깨는 변경은 없고 유지보수·보안 위주 릴리스임
원문

Flatcar Container Linux

Provisioning & Runtime2026년 4월 27일

Flatcar stable-4593.2.0은 대규모 보안 패치와 인프라 변경이 함께 포함된 릴리스입니다. 150개 이상의 커널 CVE 수정, openssh/openssl/curl/intel-microcode 업데이트, initrd 및 파티션 레이아웃 변경이 있어 업그레이드 전 검토가 필요합니다.

  • security커널 및 유저스페이스 전반에 걸친 대규모 CVE 수정 — 즉시 업데이트 필요

    Linux 커널에서만 150개 이상의 CVE가 패치됐고, openssh 10.2_p1, openssl 3.5.4, curl 8.16.0, intel-microcode, gnupg, pam 등 유저스페이스 컴포넌트들도 각각 CVE 수정을 포함합니다. Stable 4459.2.4 이후 누적된 보안 패치가 한꺼번에 들어온 릴리스입니다. 자동 업데이트를 일시 중지해둔 노드가 있다면 실제로 업데이트가 진행되고 있는지 확인하세요.

  • breakingsshd가 OpenSSH 업스트림 기본값으로 변경 — 포스트-퀀텀 키 교환 기본 활성화

    sshd_config에서 Ciphers, MACs, KexAlgorithms 고정값이 제거되고 OpenSSH 업스트림 기본값으로 바뀝니다. 포스트-퀀텀 키 교환 알고리즘이 기본 활성화됩니다. 레거시 알고리즘이 필요한 환경(컴플라이언스 도구, 구형 SSH 클라이언트 등)은 업그레이드 전에 /etc/ssh/sshd_config.d/ 아래에 drop-in 설정 파일을 배포하세요. 비프로덕션 노드에서 먼저 SSH 연결을 검증하는 것을 권장합니다.

  • breaking파티션 레이아웃 변경 및 1단계 initrd의 커널 모듈 축소

    파티션 크기가 커졌습니다: /boot 1GB, /usr 2GB, /oem 1GB. 기존 노드는 계속 업데이트 가능하지만, 새 디스크 이미지는 더 큰 레이아웃을 씁니다. 디스크 용량이 빠듯한 환경이라면 사전에 확인하세요. 또한 커널+initrd가 2단계로 나뉘면서 /boot 크기가 절반으로 줄었는데, 1단계 initrd에서 필요한 커널 모듈이 빠져 있으면 부팅 문제가 생길 수 있습니다. 문제 발생 시 Flatcar 팀에 즉시 보고하세요.

주요 변경 (6)
  • Linux 커널 6.12.81로 업데이트, 커널 자체에서만 150개 이상의 CVE 패치
  • openssh 10.2_p1 업데이트 — sshd가 업스트림 기본값 사용, 포스트-퀀텀 키 교환 기본 활성화, 레거시 cipher 설정 제거
  • intel-microcode 업데이트로 Intel 하드웨어의 사이드채널 및 정보 누출 관련 CVE 14건 수정
  • 2단계 initrd 도입: 1단계는 최소 구성(/boot 크기 절반 감소), 커스텀 커널 모듈 빌드 방식이 Ubuntu 방식에서 업스트림 표준 방식으로 변경
  • 파티션 크기(/boot, /usr, /oem) 증가; 이전 initrd 재작업으로 깨졌던 Ignition OEM 설정 로딩 및 PXE OEM 커스터마이징 수정
  • SSSD/LDAP 인증 복구 — 이전 Samba 업데이트 이후 누락됐던 PAM sssd 지원 및 LDB 모듈 복원
원문

Cortex

Observability2026년 4월 27일

Cortex v1.21.0은 여러 실험적 기능을 정식으로 졸업시키고, PRW2 데이터 손상 및 패닉 버그를 다수 수정했습니다. Store Gateway의 Parquet 모드와 테넌트 한도를 API로 제어하는 Overrides API도 새로 추가됐습니다.

  • breaking업그레이드 전 이름 변경된 플래그 전수 점검 필요

    -experimental.ruler.enable-api는 -ruler.enable-api로, -experimental.alertmanager.enable-api는 -alertmanager.enable-api로 바뀌었습니다. -distributor.otlp.enable-type-and-unit-labels는 no-op이 되어 -distributor.enable-type-and-unit-labels로 통합됐고, parquet 캐시 플래그에서 'queryable'이 제거됐습니다. users-scanner의 cleanup-interval은 update-interval로 바뀝니다. 현재는 deprecated 상태라 바로 오류가 나지 않지만, 다음 릴리스에서 제거될 수 있으므로 지금 당장 설정 파일과 Helm values를 검토하세요.

  • breakingPRW2 데이터 손상·패닉 수정 — PRW2 사용 중이라면 즉시 업그레이드 대상

    Remote Write V2 핸들러에서 세 가지 버그가 함께 수정됐습니다. Samples/Histograms 얕은 복사로 인한 데이터 손상, 더러운 sync.Pool 재사용으로 인한 index-out-of-range 패닉, 그리고 pool 반환 시 Symbols 배열 미초기화로 인한 메모리 누수입니다. PRW2를 운영 중이라면 이번 업그레이드는 선택이 아닌 필수입니다. 업그레이드 후 인제스천 파이프라인을 검증하고 메트릭 정합성을 확인하세요.

  • enhancement버킷 인덱스 기본 활성화 — 스토리지 권한 사전 확인 필요

    버킷 인덱스가 이번 릴리스부터 기본으로 켜집니다. 의도적으로 비활성화해 두었거나 오브젝트 스토리지 IAM 정책에서 list 작업을 제한해 둔 경우, 업그레이드 후 인덱스 쓰기·읽기가 정상 동작하는지 반드시 확인하세요. 권한 오류는 명확한 설정 오류 메시지 대신 쿼리 실패로 나타날 수 있습니다.

주요 변경 (5)
  • 버킷 인덱스가 기본 활성화로 변경 — 프로덕션에서 비활성화는 공식적으로 미지원
  • Ruler, Alertmanager, users-scanner, parquet 캐시 관련 플래그 및 설정 키 다수 이름 변경
  • PRW2 버그 3건 수정: Samples/Histograms 얕은 복사로 인한 데이터 손상, index-out-of-range 패닉, sync.Pool 재사용 메모리 누수
  • 테넌트 한도를 API로 제어하는 Overrides API 모듈 추가, 기존 모듈은 overrides-configs로 이름 변경
  • Alertmanager v0.31.1 업그레이드(IncidentIO·Mattermost 연동 추가), ring 일시 불가 시 설정 소실 버그 수정
원문

wasmCloud

Orchestration & Management2026년 4월 24일

Wasmtime 44 업그레이드, 풀링 할당자 충돌 수정, Linux GPU 지원을 위한 glibc 빌드 추가가 포함된 패치 릴리스입니다.

  • security풀링 할당자 충돌이 있었다면 즉시 업그레이드하세요

    기존에는 호스트 하드웨어의 지원 여부 확인 없이 풀링 할당자가 활성화되었고, 이로 인해 런타임 충돌이나 예측 불가한 메모리 동작이 발생할 수 있었습니다. 특정 호스트 유형에서 wash-runtime 불안정 증상이 있었다면 이번 수정이 원인을 해결한 겁니다. 업그레이드 후 메모리 할당 동작을 모니터링하세요.

  • breakingWasmtime 44 업그레이드 전 스테이징 환경에서 반드시 검증하세요

    Wasmtime 44는 하위 런타임의 메이저 버전 변경입니다. wasmCloud가 감싸고 있긴 하지만, Wasmtime은 버전마다 메모리 처리, WASI 인터페이스, 컴포넌트 모델 동작에 변화가 생기는 경우가 있습니다. 프로덕션 클러스터 업그레이드 전에 반드시 비프로덕션 환경에서 컴포넌트 워크로드를 검증하세요.

  • enhancementLinux GPU 워크로드 운영 중이라면 glibc 빌드로 전환을 검토하세요

    Linux에서 GPU 기능을 사용하는 wasmCloud 워크로드를 운영 중이거나 계획하고 있다면, 새로운 glibc 빌드가 동적 링크 런타임을 기대하는 표준 Linux 배포판과의 호환성 문제를 해결합니다. 새 아티팩트를 받아 GPU 호스트 환경에서 검증해 보세요.

주요 변경 (4)
  • Wasmtime 런타임을 버전 44로 업그레이드
  • 풀링 할당자 활성화 전 하드웨어 지원 여부를 사전 점검하도록 수정 — 미지원 시스템에서의 충돌 방지
  • Linux에서 GPU 기능을 사용하는 워크로드를 위한 glibc 빌드 추가
  • API 및 설정 변경 없는 순수 패치 릴리스
원문

KubeVirt

Orchestration & Management2026년 4월 24일

KubeVirt v1.7.3은 라이브 마이그레이션, ARM64/s390x 게스트, VMExport, virt-handler 안정성 등 11개 버그를 수정한 패치 릴리스입니다.

  • breaking백엔드 스토리지 볼륨 이름 변경 — 기존 VM 영향 확인 필요

    백엔드 스토리지를 사용하는 VM의 볼륨 이름이 VM 이름 기반에서 'persistent-state-for-this-vm'으로 고정됩니다. 기존 볼륨 이름 패턴을 참조하는 모니터링, 자동화 스크립트, 운영 도구가 있다면 업그레이드 전에 반드시 수정하세요. 환경 내 백엔드 스토리지 사용 VM을 먼저 파악한 뒤 롤아웃 계획을 세우는 게 좋습니다.

  • enhancementARM64·s390x 게스트 운영 또는 분산 라이브 마이그레이션 사용 시 우선 적용 권장

    ARM64 SMBIOS 미표시, s390x PCIe 컨트롤러 오류, 분산 라이브 마이그레이션 후 Hyper-V enlightenment VM 마이그레이션 실패 등 세 가지 아키텍처·마이그레이션 관련 버그가 수정됐습니다. 해당 환경을 운영 중이라면 v1.7.2 유지보다 이번 패치를 먼저 적용하는 편이 낫습니다.

  • enhancementvirt-handler 소켓 장애 자동 복구 — 수동 파드 재시작 불필요

    domain-notify 소켓 삭제 및 비정상 종료에 대한 두 가지 수정이 포함됩니다. 기존에는 소켓 문제가 발생하면 virt-handler가 broken 상태로 남아 수동 개입이 필요했지만, 이제는 자동으로 복구됩니다. 노드에서 원인 불명의 VM 통신 장애가 반복됐다면 이 문제일 가능성이 높습니다.

주요 변경 (5)
  • virt-handler가 domain-notify 소켓 삭제 또는 비정상 종료 시 자동으로 서버를 재시작 — 기존에는 조용히 실패하던 문제
  • 분산 라이브 마이그레이션 이후 마이그레이션 성공 보고 누락 및 Hyper-V enlightenment VM 마이그레이션 실패 수정
  • ARM64 게스트의 SMBIOS 정보 미표시 수정, s390x VM의 PCIe root-port 컨트롤러 오류(v3 PCI 토폴로지 변경으로 인한 회귀) 수정
  • 백엔드 스토리지 볼륨 이름이 VM 이름 기반에서 고정값 'persistent-state-for-this-vm'으로 변경 — 이름 잘림 문제 해소
  • 긴 PVC 이름으로 인한 VMExport 실패 수정, 메모리 덤프 PVC 레이블 누락으로 CDI WebhookPvcRendering 미작동 문제 수정
원문

KubeVirt

Orchestration & Management2026년 4월 24일

KubeVirt v1.6.5는 분산 라이브 마이그레이션 안정성, virt-handler 복구, 모니터링 정확도 개선에 집중한 패치 릴리스입니다.

  • breaking백엔드 스토리지 볼륨 이름 변경 — 기존 스크립트 점검 필요

    백엔드 스토리지를 사용하는 VM의 볼륨 이름이 VM 이름 기반 형식에서 'persistent-state-for-this-vm'으로 바뀝니다. PVC 이름 패턴에 의존하는 스크립트, 대시보드, 알림 규칙이 있다면 업그레이드 전에 반드시 수정하세요.

  • enhancement분산 라이브 마이그레이션 사용 중이라면 즉시 업그레이드

    이번 패치에서 분산 라이브 마이그레이션 관련 버그 3건이 한꺼번에 수정됐습니다. Windows VM(Hyper-V enlightenment)을 운영하거나 서로 다른 volumeMode 간 마이그레이션을 시도했던 클러스터라면 v1.6.4보다 이 버전을 우선 적용하세요.

  • enhancement모니터링 알림 기준 변경 — 임계값 재검토

    KubeVirt 컴포넌트 낮은 수 알림이 이제 배포에 설정된 레플리카 수를 기준으로 발생하고, 스케줄 불가 노드는 allocatable_nodes 지표에서 제외됩니다. 업그레이드 후 기존 알림 규칙이 예상과 다르게 동작할 수 있으니, 비스케줄 노드가 있거나 레플리카 수를 커스텀으로 설정한 환경에서는 임계값을 재검토하세요.

주요 변경 (5)
  • domain-notify.sock 삭제 시 virt-handler가 자동으로 복구되어 VM 통신 장애를 방지
  • 분산 라이브 마이그레이션 버그 3건 수정: 다른 volumeMode 간 마이그레이션 완료, enlightened VM 마이그레이션 복구, 컴퓨트 마이그레이션 후 상태가 'succeeded'로 정상 보고
  • 백엔드 스토리지 볼륨 이름이 VM 이름 기반에서 'persistent-state-for-this-vm'으로 고정됨
  • 모니터링 개선: kubevirt_allocatable_nodes에서 스케줄 불가 노드 제외, 낮은 수 알림이 배포 설정 레플리카 수 기준으로 동작
  • spec에서 기본 NIC가 보조 NIC 뒤에 나열될 때 발생하던 VMI 상태 무한 업데이트 루프 수정
원문

Linkerd

Networking & Messaging2026년 4월 24일

OpenSSL·rustls 보안 패치, Gateway 라우트 어드미션 웹훅 버그 수정, 인젝터의 어노테이션→메트릭 레이블 변환 개선이 포함된 유지보수 중심 엣지 릴리스입니다.

  • securityOpenSSL·rustls-webpki 패치 즉시 적용 권고

    이번 릴리스에 OpenSSL 크레이트가 두 번 업그레이드되고 rustls-webpki도 갱신됐습니다. 모두 프록시 TLS 스택에 위치한 의존성입니다. 보안 민감한 환경에서 Linkerd 엣지 빌드를 운영 중이라면, 다음 스테이블 릴리스를 기다리지 말고 edge-26.4.4로 업그레이드하는 것이 낫습니다.

  • breakingGateway 라우트 정책 우회 설정 검토 필요

    어드미션 웹훅이 Linkerd가 지원하지 않는 필드를 포함한 Gateway 라우트도 전체 검증하면서 정상 라우트가 거부되던 문제가 수정됐습니다. 이 버그를 피하기 위해 라우트 구성을 변경한 적 있다면, 해당 우회책이 여전히 필요한지, 혹은 실제 설정 오류를 가리고 있지는 않은지 지금 점검해야 합니다.

  • enhancement커스텀 Helm 오버라이드 사용 시 드라이런으로 확인하세요

    차트 설치 시 오버라이드 값이 적용되지 않던 버그가 수정됐습니다. 설치 자동화에서 특정 오버라이드 패턴을 사용하고 있다면, 프로덕션 배포 전에 이 버전으로 드라이런을 실행해 최종 values가 기대값과 일치하는지 반드시 검증하세요.

주요 변경 (5)
  • OpenSSL 크레이트 두 차례 업그레이드(0.10.76→0.10.78)와 rustls-webpki 패치 — 프록시 TLS 스택에 직접 영향
  • 지원되지 않는 필드가 포함된 Gateway 라우트에서 어드미션 웹훅이 불필요한 검증을 건너뛰도록 수정
  • 인젝터의 어노테이션→메트릭 레이블 변환 로직 강화로 엣지 케이스 레이블 오염 방지
  • Helm 차트 설치 시 오버라이드 값이 제대로 적용되도록 수정 — 오래된 설치 커스터마이징 버그 해소
  • proxy-init v2.4.8, cni-plugin v1.6.7, 프록시 v2.350.0으로 갱신
원문

Crossplane

Orchestration & Management2026년 4월 24일

Crossplane v1.20.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Envoy

Networking & Messaging2026년 4월 23일

v1.38은 대형 릴리스로, RSA 키 사용 강제 적용, BoringSSL 빌드 플래그 변경, tcp_proxy 설정 검증 등 즉각 조치가 필요한 브레이킹 체인지가 여럿 포함됩니다.

  • securityCVE-2026-27135 패치 — HTTP/2 사용 시 v1.38로 업그레이드 우선 검토

    이번 릴리스에 nghttp2의 CVE-2026-27135 패치가 포함됩니다. Envoy를 HTTP/2 게이트웨이나 프록시로 운용 중이라면 직접적인 노출 가능성이 있습니다. HTTP/2 트래픽을 처리하는 클러스터부터 업그레이드를 우선 적용하세요. RBAC 헤더 매처의 연결 기반 우회 공격 수정도 함께 포함되어 있어 보안 측면에서 이번 업그레이드는 권장 수준을 넘어섭니다.

  • breaking업그레이드 전 TLS 설정 전수 점검 — RSA 키 사용 이제 강제 적용

    enforce_rsa_key_usage가 이번 릴리스부터 기본 true로 바뀌었고, 다음 릴리스에서는 옵션 자체가 삭제됩니다. 인증서의 키 사용(Key Usage) 확장이 협상된 암호와 맞지 않으면 업스트림 연결이 즉시 거부됩니다. 업그레이드 전에 업스트림 인증서 설정을 점검하고, 스테이징 환경에서 먼저 테스트하세요. 운영 환경에서 실패하면 연결 리셋으로만 나타나 원인 파악이 어렵습니다.

  • breakingBoringSSL FIPS 빌드 파이프라인 수정 필수

    --define=boringssl=fips Bazel 플래그가 완전히 제거됩니다. FIPS 모드로 Envoy를 빌드하는 CI/CD 파이프라인이나 Dockerfile은 오류가 발생합니다. --config=boringssl-fips로 교체하세요. 공식 바이너리를 사용한다면 직접 영향은 없지만, 커스텀 빌드를 유지 중이라면 파이프라인 수정을 v1.38 적용 전에 완료해야 합니다.

  • enhancementOTel 메트릭을 OTLP/HTTP로 직접 전송 — 콜렉터 사이드카 제거 가능

    OpenTelemetry 스탯 싱크가 이제 콜렉터 사이드카 없이 OTLP/HTTP로 직접 메트릭을 전송할 수 있습니다. Envoy 메트릭 수집만을 위해 otel-collector를 DaemonSet으로 운용 중이라면 아키텍처를 단순화할 기회입니다. Grafana Cloud나 Honeycomb 같은 백엔드로 직접 전송이 가능한지 검토해 운영 복잡도를 줄이세요.

주요 변경 (6)
  • enforce_rsa_key_usage가 업스트림 TLS 컨텍스트에서 기본값 true로 변경 — 인증서 키 사용이 맞지 않으면 연결 거부
  • BoringSSL FIPS 빌드 플래그가 --define=boringssl=fips에서 --config=boringssl-fips로 변경
  • tcp_proxy에서 IMMEDIATE 이외의 upstream_connect_mode 사용 시 max_early_data_bytes 명시 필수, 미설정 시 시작 시점에 검증 실패
  • nghttp2의 CVE-2026-27135 패치 적용
  • OAuth2 토큰 암호화가 기본 활성화로 전환, 비활성화하려면 disable_token_encryption 명시 필요
  • 동적 모듈에 트레이서, TLS 검증기, 커스텀 LB 정책 등 확장 포인트 대폭 추가, v1.39 바이너리와의 ABI 전방 호환 보장
원문

Kyverno

Security2026년 4월 23일

v1.16.4는 15개 이상의 CVE를 수정한 보안 집중 패치 릴리스로, 네임스페이스 정책에서 HTTP 기본 비활성화 등 동작 변경도 포함됩니다.

  • security즉시 업그레이드 — 공급망 구성 요소 포함 15개 이상 CVE 패치

    sigstore/rekor, go-tuf, docker/cli, Go 표준 라이브러리, Kyverno 자체 코드에 걸쳐 CVE가 수정됐습니다. 이미지 서명 워크플로를 운영 중이라면 rekor와 go-tuf 업데이트가 직접 영향을 줍니다. 다음 정기 유지보수 창에서 업그레이드를 진행하세요. 다음 메이저 사이클까지 미루지 마십시오.

  • breaking네임스페이스 정책에서 HTTP 기본 비활성화 (CVE-2026-4789) — 업그레이드 전 반드시 검증

    평문 HTTP로 외부 데이터를 가져오는 네임스페이스 정책은 이번 업그레이드 후 조용히 동작을 멈춥니다. URL 컨텍스트 소스나 외부 데이터 fetch를 사용하는 ClusterPolicy 또는 Policy 리소스가 있다면, 업그레이드 전에 HTTP(비HTTPS) 엔드포인트 사용 여부를 점검해야 합니다. 해당 엔드포인트를 HTTPS로 전환하거나 HTTPS를 지원하는 데이터 소스로 먼저 마이그레이션하세요.

  • breaking네임스페이스 정책의 ConfigMap 접근 제한 — RBAC 검토 필요

    네임스페이스 정책의 ConfigMap 접근 범위가 축소됐습니다. 정책이 컨텍스트나 설정을 위해 다른 네임스페이스의 ConfigMap을 읽고 있다면, 업그레이드 후 해당 읽기 작업이 실패합니다. 정책 정의에서 크로스 네임스페이스 ConfigMap 참조를 찾아 정책 로직을 수정하거나 접근 권한을 조정한 뒤 배포하세요.

주요 변경 (5)
  • CVE-2026-4789: 네임스페이스 정책에서 HTTP 기본 비활성화 — 단순 의존성 업데이트가 아닌 동작 변경
  • 네임스페이스 정책의 ConfigMap 접근 범위 제한으로 정책 컨트롤러 침해 시 피해 범위 축소
  • 정책 평가 시 요청 인가에 스코프 토큰 사용으로 전환
  • forEach 뮤테이션 패닉 수정 — 특정 mutate 규칙 구성에서 엔진이 크래시되던 버그 해결
  • docker/cli, sigstore/rekor, go-tuf/v2, Go 표준 라이브러리 등 의존성 CVE 다수 해결
원문

Kyverno

Security2026년 4월 23일

v1.17.2는 다수의 CVE 패치와 함께 MutatingPolicy/ValidatingPolicy, 웹훅 재조정 루프, 네임스페이스 정책 처리 버그를 집중 수정한 보안 중심 패치 릴리스입니다.

  • security즉시 업그레이드 필요 — 6개 이상의 CVE 수정

    의존성 라이브러리, Go 표준 라이브러리, 그리고 CVE-2026-4789까지 최소 6개의 CVE가 패치되었습니다. 특히 CVE-2026-4789는 네임스페이스 정책에서 HTTP를 기본 비활성화하는 동작 변경을 수반합니다. HTTP 기반 외부 데이터 소스나 컨텍스트를 사용하는 네임스페이스 정책이 있다면, 업그레이드 전에 해당 설정을 점검하세요. 별도 오류 없이 동작이 중단될 수 있습니다. 스테이징 환경에서 정책 동작을 먼저 검증한 뒤 프로덕션에 적용하는 것을 권장합니다.

  • breaking네임스페이스 정책 동작 변경 — HTTP 비활성화 및 ConfigMap 접근 제한

    네임스페이스 정책에 두 가지 보안 강화가 적용됩니다. HTTP가 기본 비활성화되고, ConfigMap 접근 범위도 축소됩니다. HTTP 엔드포인트에서 컨텍스트를 가져오거나 타 네임스페이스의 ConfigMap을 읽는 정책은 업그레이드 후 오류가 발생하거나 조용히 실패할 수 있습니다. 프로덕션 배포 전에 반드시 네임스페이스 정책 전체를 대상으로 드라이런 또는 감사 스캔을 먼저 실행하세요.

  • enhancement웹훅 재조정 루프 수정 — 대규모 클러스터의 컨트롤러 부하 감소

    웹훅 규칙의 순서가 일관되지 않아 반복적인 재조정 루프가 발생하고, API 서버 부하 증가와 컨트롤러 로그 폭증으로 이어지는 문제가 수정됐습니다. 웹훅 오브젝트 변경이 감사 로그에 끊임없이 찍히거나 kyverno-controller CPU가 비정상적으로 높았다면, 이번 릴리스로 해소될 겁니다. 업그레이드 후 별도 조치는 필요 없지만, 배포 후 컨트롤러 메트릭을 모니터링해 안정화 여부를 확인하세요.

주요 변경 (5)
  • CVE-2026-24051, CVE-2026-15558, CVE-2026-1229, CVE-2026-33186, CVE-2026-34986, CVE-2026-4789 등 다수 CVE 패치 및 Go 표준 라이브러리 CVE 대응
  • CVE-2026-4789 대응으로 네임스페이스 정책에서 HTTP 기본 비활성화 — 기존 설정에 영향 가능
  • 네임스페이스 정책의 ConfigMap 접근 범위 제한 — 보안 강화 목적의 권한 축소
  • 웹훅 및 웹훅 규칙의 순서 일관성 보장으로 무한 재조정 루프 버그 수정
  • forEach 뮤테이션 엔진 패닉 방지, NamespacedGeneratingPolicy UPDATE 시 잘못된 lister 사용 수정, MutatingPolicy/ValidatingPolicy에 사용자 정보 처리 추가
원문

Buildpacks

CI/CD & App Delivery2026년 4월 22일

Buildpacks v0.40.3이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

Kubernetes

Kubernetes Core2026년 4월 22일

Kubernetes v1.36은 다수의 GA 승격, DRA 대규모 확장, 갱 스케줄링 API 신규 도입, 그리고 업그레이드 전 즉시 조치가 필요한 메트릭 이름 변경을 포함하는 대형 릴리스입니다.

  • breaking업그레이드 전 모니터링 수정 필수 — 메트릭 이름 두 개 변경

    volume_operation_total_errors와 etcd_bookmark_counts가 각각 volume_operation_errors_total, etcd_bookmark_total로 이름이 바뀌었습니다. 기존 이름을 쓰는 Prometheus 알림이나 Grafana 대시보드는 업그레이드 후 조용히 동작을 멈춥니다. v1.36을 프로덕션에 적용하기 전에 모니터링 스택 전체를 점검하고 참조를 모두 교체하세요.

  • breakingDRA 사용 중이라면 RBAC 업데이트 필수

    DRAResourceClaimGranularStatusAuthorization 피처 게이트가 v1.36에서 베타로 기본 활성화됩니다. DRA 스케줄러·컨트롤러는 resourceclaims/binding에 대한 update/patch 권한이, DRA 드라이버는 resourceclaims/driver에 대한 associated-node:update 또는 arbitrary-node:update 권한(특정 resourceNames로 제한)이 필요합니다. DRA 드라이버를 운영 중이라면 업그레이드 전에 RBAC 매니페스트를 반드시 점검하고 수정하세요. 누락 시 파드 스케줄링이 실패합니다.

  • breakingflex-volume·git-repo 볼륨 플러그인 제거 — 마이그레이션 필수

    kubeadm은 더 이상 flex-volume 플러그인 디렉터리를 자동으로 마운트하지 않으며, git-repo 볼륨 플러그인은 영구적으로 비활성화됩니다. 재활성화 옵션이 없으므로 git-repo 볼륨을 사용하는 워크로드는 init 컨테이너 패턴이나 CSI 드라이버로 전환해야 합니다. kubeadm 환경에서 flex-volume을 계속 쓰려면 v1.36 업그레이드 전에 distroless 기반이 아닌 KCM 이미지와 extraVolumes 설정을 수동으로 구성해야 합니다.

  • breakingStrictIPCIDRValidation 기본 활성화 — IP/CIDR 값 점검 필요

    이제 API 필드에서 선행 0이 있는 IP(예: 010.0.0.1)나 호스트 비트가 설정된 CIDR(예: 192.168.1.5/24)을 거부합니다. 기존 오브젝트는 validation ratcheting으로 보존되지만, 신규 생성 및 업데이트는 실패합니다. 업그레이드 전에 매니페스트, Helm 차트, 자동화 스크립트에서 비정규 IP/CIDR 값을 점검하세요.

  • enhancementMutatingAdmissionPolicy GA 승격 — 단순 Webhook 교체 검토 시점

    CEL 기반 MutatingAdmissionPolicy가 v1으로 GA 승격되어 기본 활성화됩니다. 레이블/어노테이션 주입이나 기본값 설정처럼 단순한 뮤테이팅 웹훅을 운영 중이라면 MutatingAdmissionPolicy로 교체를 검토할 때입니다. 웹훅 서버 유지, 인증서 관리, 가용성 걱정 없이 CEL 기반 정책으로 동일한 기능을 구현할 수 있습니다. 상태가 없는 단순 뮤테이션부터 시작하는 것을 권장합니다.

주요 변경 (7)
  • 업그레이드 전 대시보드/알림 수정 필수: `volume_operation_total_errors` → `volume_operation_errors_total`, `etcd_bookmark_counts` → `etcd_bookmark_total`로 메트릭 이름 변경
  • kubeadm에서 flex-volume 지원 제거, git-repo 볼륨 플러그인 영구 비활성화 — CSI로 마이그레이션 필요
  • DRA 대폭 확장: 디바이스 테인트/톨러레이션 베타 승격, DRAAdminAccess·DRAPrioritizedList GA 승격, ResourceClaim 상태 업데이트에 세분화된 RBAC 권한 필요
  • UserNamespacesSupport GA 승격, MutatingAdmissionPolicy GA(v1) 승격 및 기본 활성화
  • StrictIPCIDRValidation 기본 활성화 — 선행 0이나 애매한 서브넷 마스크가 포함된 IP/CIDR 값은 API에서 거부됨
  • 갱 스케줄링을 위한 scheduling.k8s.io/v1alpha2 Workload/PodGroup API 도입, v1alpha1 Workload API 제거
  • InPlacePodLevelResourcesVerticalScaling 베타 승격(기본 활성화) — 파드 수준 CPU/메모리 인플레이스 리사이즈 지원
원문

Backstage

CI/CD & App Delivery2026년 4월 22일

Backstage v1.50.3이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

metal3-io

Provisioning & Runtime2026년 4월 22일

metal3-io v0.12.4이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

metal3-io

Provisioning & Runtime2026년 4월 22일

metal3-io v0.11.7이(가) 릴리즈되었지만, 공개된 노트가 짧아 요약할 내용이 충분하지 않습니다. 자세한 내용은 원문 릴리즈 노트를 확인하세요.

원문

CoreDNS

Kubernetes Core2026년 4월 22일

CoreDNS v1.14.3은 모든 전송 계층에 TSIG 완전 검증을 적용하고, Go 보안 CVE 13건을 패치하며, 캐시 프리페치 개선과 forward 플러그인의 max_age 옵션을 추가한 운영 보안 강화 릴리스입니다.

  • securityGo CVE 13건 및 TSIG 취약점 수정 — 즉시 업그레이드 필요

    Go 1.26.2가 런타임 CVE 13건을 해결합니다. 여기에 더해 DoH, DoH3, QUIC, gRPC 전송 계층의 TSIG 검증 누락도 함께 수정됐습니다. 해당 전송 방식과 TSIG를 같이 쓰고 있다면, 이전 버전에서는 인증되지 않은 요청이 통과될 수 있었습니다. v1.14.3으로 업그레이드한 뒤 강화된 검증 정책에 맞게 TSIG 설정을 재확인하세요.

  • breakingDoH GET 요청 크기 제한 적용 — 클라이언트 호환성 확인 필요

    CoreDNS가 DoH GET 요청의 dns 쿼리 파라미터 크기를 초과하면 이제 명시적으로 거부합니다. 비표준 구현이나 커스텀 DoH 클라이언트를 사용 중이라면 스테이징에서 먼저 테스트하세요. 표준을 따르는 클라이언트는 대부분 영향이 없지만, 자체 구현 클라이언트는 반드시 검증이 필요합니다.

  • enhancementforward 플러그인 max_age로 오래된 업스트림 연결 관리

    수명이 긴 업스트림 연결은 중간 네트워크 장비에 의해 조용히 끊기거나 성능이 저하될 수 있습니다. 새로운 max_age 옵션으로 연결 최대 수명을 강제 설정할 수 있습니다. 산발적인 업스트림 타임아웃이나 일시적 해석 실패를 경험했다면, 업스트림 안정성에 따라 30초~5분 범위에서 max_age를 설정해 주기적 재연결을 유도해 보세요.

주요 변경 (5)
  • DoH, DoH3, QUIC, gRPC 전송 계층 전체에 TSIG 완전 검증 적용 — 기존에는 검증이 불완전했음
  • Go 1.26.2 빌드로 CVE-2026-32282 등 13개 CVE 패치
  • 캐시 프리페치가 클라이언트 연결을 먼저 해제한 뒤 업스트림을 조회하도록 개선해 고부하 시 연결 고갈 방지
  • forward 플러그인에 max_age 옵션 추가 — 업스트림 연결의 절대 수명을 강제할 수 있음
  • 메트릭 엔드포인트에 TLS 옵션 추가, Go 런타임 메트릭 선택적 내보내기 지원
원문

wasmCloud

Orchestration & Management2026년 4월 21일

v2.0.4는 wash dev/host TLS 지원 확장, Helm 차트 게이트웨이 라우팅 수정, 거버넌스 문서 업데이트를 담은 유지보수 릴리스입니다.

  • breaking로컬 Helm 게이트웨이 라우팅 설정 반드시 확인

    values.local.yaml에서 gateway가 기본 비활성화로 바뀌었고, hello-world 예제는 Kubernetes Service를 통해 라우팅됩니다. 로컬 Helm values를 직접 커스터마이징해 게이트웨이 기반 라우팅을 쓰고 있었다면, 업그레이드 전에 변경된 기본값과 비교해 충돌 여부를 점검해야 합니다.

  • enhancement로컬·프로덕션 환경 모두 TLS 설정 적용 검토

    이제 wash dev와 wash host 모두 TLS를 지원합니다. 그동안 로컬 개발에서 TLS를 건너뛰었다면, 이번 기회에 설정을 맞춰보세요. 로컬 단계에서 인증서·연결 문제를 미리 잡아야 프로덕션 장애를 예방할 수 있습니다.

주요 변경 (5)
  • wash dev와 wash host 모두 TLS 지원
  • Helm 차트 수정: values.local.yaml에서 gateway 비활성화, hello-world가 Service 경유로 라우팅
  • wasmCloud v2 기준 거버넌스 문서 갱신 및 새 wash 메인테이너(Pavel Agafonov) 추가
  • 테스트용 공유 WIT 의존성 인프라 추가
  • WASI Preview 2 문서 링크 오류 수정
원문

Argo

CI/CD & App Delivery2026년 4월 21일

Argo CD v3.3.8은 코어 모드 동기화 오류, AppSet 리소스 한도, CLI diff 정확도, informer 캐시 문제 등 6개 버그를 수정한 패치 릴리스입니다.

  • breaking새로고침 동작 재변경 — 오토싱크 파이프라인 검증 필요

    v3.3.7에서 적용된 informer resync 수정 사항이 롤백되면서 새로고침 동작이 3.3.7 이전 상태로 돌아갔습니다. v3.3.7 업그레이드 이후 새로고침 빈도 감소에 맞춰 설정을 조정했다면 그 전제를 다시 점검해야 합니다. 운영 환경 배포 전에 오토싱크 이벤트 로그로 동작을 확인하세요.

  • enhancement코어 모드 운영 중이라면 즉시 업그레이드하세요

    server.secretkey 누락 시 코어 모드에서 동기화가 조용히 실패하는 버그는 모니터링에서 놓치기 쉬운 심각한 운영 공백입니다. 코어 모드로 Argo CD를 운영 중이라면 이번 패치는 선택이 아닙니다. 업그레이드 후 전체 애플리케이션의 동기화 상태를 반드시 확인하세요.

  • enhancement대규모 ApplicationSet의 리소스 상태 카운트 상한 5,000으로 증가

    수백 개 앱을 관리하는 ApplicationSet을 운영 중이라면 기존 카운트 상한에 걸려 상태가 잘리거나 누락됐을 수 있습니다. 업그레이드 후 리소스 상태가 불완전하게 표시되던 ApplicationSet을 확인해 정상 출력되는지 검증하세요.

주요 변경 (6)
  • informer resync 및 상태 업데이트로 인한 자동 새로고침 방지 수정 사항 롤백 — 이전 새로고침 동작으로 복원됨
  • server.secretkey 누락 시 코어 모드 앱 컨트롤러 동기화 실패 문제 수정
  • AppSet 리소스 상태 카운트 상한이 기본값 5,000으로 상향 조정됨
  • sourceHydrator 사용 시 CLI app diff/manifests가 DrySource revision을 올바르게 참조하도록 수정
  • RevisionMetadata 핸들러의 stale informer 캐시 문제 해결
  • 오토싱크 이벤트 메시지 포맷이 이전 형식으로 복원됨
원문

Argo

CI/CD & App Delivery2026년 4월 21일

Argo CD v3.2.10은 순수 버그 수정 패치로, core 모드 동기화 실패와 stale 캐시 문제 등 5개의 회귀 버그를 해결했습니다.

  • breakingCore 모드 운영 중 앱이 out-of-sync로 멈췄다면 즉시 업그레이드 필요

    API 서버 없이 core 모드로 운영 중이고, 시크릿 관련 오류와 함께 동기화가 실패했다면 이번 버그가 원인일 가능성이 높습니다. v3.2.10으로 업그레이드한 뒤 영향을 받은 앱들이 정상적으로 reconcile되는지 반드시 확인하세요.

  • breaking오토싱크 이벤트 메시지 포맷 롤백 — 알림 규칙 원복 필요

    최근 변경됐다가 다시 롤백된 오토싱크 이벤트 메시지 포맷이 원래대로 돌아왔습니다. 새 포맷에 맞춰 Prometheus 알림 규칙, Grafana 쿼리, 로그 파서를 수정했다면, 업그레이드 전에 해당 변경 사항을 원복해야 오탐이나 알림 누락을 방지할 수 있습니다.

  • enhancementsourceHydrator 사용자: 업그레이드 후 diff 결과 재확인 권장

    sourceHydrator 설정 시 CLI가 app diff와 manifests 명령에서 잘못된 소스 리비전을 참조했습니다. v3.2.9에서 수행한 diff 검토 결과는 잘못된 상태를 기준으로 했을 수 있으므로, 업그레이드 후 다시 실행해서 결과의 정확성을 확인하세요.

주요 변경 (5)
  • informer resync 및 상태 업데이트로 인한 자동 갱신을 차단하던 변경 사항 롤백 — 정상적인 GitOps 동기화 동작 복원
  • server.secretkey 누락 시 core 모드 앱 컨트롤러가 동기화에 실패하던 버그 수정 — 앱이 영구 out-of-sync 상태로 방치될 수 있었던 문제
  • sourceHydrator 사용 시 CLI app diff/manifests 명령이 잘못된 리비전을 참조하던 문제 수정
  • RevisionMetadata 핸들러의 stale 인포머 캐시 읽기 문제 수정
  • 오토싱크 이벤트 메시지 포맷 변경 사항 롤백 — 기존 포맷으로 복원
원문

Argo

CI/CD & App Delivery2026년 4월 21일

자동 새로 고침 방지 로직 되돌리기와 core 모드에서 server.secretkey 누락 시 동기화 실패 수정, 두 가지 버그 픽스 패치 릴리스입니다.

  • breaking자동 새로 고침 방지 픽스 되돌림 — 기존 동작 재노출 가능

    informer 재동기화 및 상태 업데이트로 인한 자동 새로 고침을 막는 픽스가 3.1에서 문제를 일으켜 되돌려졌습니다. 이 동작 수정을 기대하고 3.1.x로 올렸다면, 해당 보호가 다시 사라진 셈입니다. 대규모 클러스터에서 불필요한 새로 고침 폭증이 재발할 수 있으니 upstream 이슈를 주시하세요.

  • enhancementCore 모드 운영 중이라면 즉시 3.1.15로 업그레이드

    core 모드에서 server.secretkey가 클러스터 시크릿에 없으면 앱 컨트롤러가 동기화를 전혀 하지 못하는 버그가 있었습니다. 원인 불명의 간헐적 동기화 실패를 겪었다면 이 버그일 가능성이 높습니다. 3.1.15로 업그레이드 후 동기화가 정상 재개되는지 확인하세요.

주요 변경 (3)
  • 3.1에 백포트된 자동 새로 고침 방지 픽스(#25290) 되돌림 — 해당 픽스가 회귀 문제를 유발
  • server.secretkey가 없을 때 core 모드 앱 컨트롤러가 동기화 실패하던 버그 수정
  • 컨테이너 이미지 cosign 서명 및 SLSA Level 3 출처 증명 유지
원문

cert-manager

Security2026년 4월 21일

순수 보안 패치 릴리스입니다. Go 런타임을 1.23.9로 올리고 취약한 의존성을 갱신했으며, 기능 변경은 없습니다.

  • security즉시 v1.19.5로 업그레이드 — CVE 수정 전용 패치

    cert-manager 팀은 모든 사용자에게 업그레이드를 권고하고 있습니다. 변경 내용이 Go 런타임 및 의존성 버전 업 에만 한정되어 있어 기능적 위험 없이 교체할 수 있습니다. v1.19.x를 운영 중이라면 별도 마이그레이션 절차 없이 바로 적용하면 됩니다. Helm, 정적 매니페스트, OperatorHub 등 배포 방식에 맞춰 전체 클러스터에 롤아웃하세요. 업그레이드를 미루면 알려진 취약점이 있는 Go 패키지를 계속 실행하는 셈입니다.

주요 변경 (3)
  • Go 런타임을 1.23.9로 업그레이드하여 Go 툴체인 내 복수의 CVE 대응
  • 취약점이 보고된 서드파티 Go 의존성 패키지를 패치된 버전으로 갱신
  • API, 동작 방식, 설정 변경 없음 — v1.19.x의 드롭인 대체 버전
원문

Flux

CI/CD & App Delivery2026년 4월 21일

Flux v2.8.6은 helm-controller 포스트 렌더러 충돌, generic provider 커밋 상태 이벤트 누락 버그를 수정하고, kustomize-controller에 MigrateAPIVersion 기능 게이트를 추가한 패치 릴리스입니다.

  • breakingv2.9 업그레이드 전 GCR Receiver 시크릿에 'audience' 필드 추가 필요

    현재는 선택 항목이지만, v2.9부터 GCR Receiver 시크릿의 'audience' 필드가 필수로 바뀝니다. 지금 Receiver 리소스를 점검하고 GCR 연동 시크릿에 audience 값을 미리 추가해두세요. 방치하면 다음 메이저 업그레이드 시 즉시 장애로 이어집니다.

  • breakinggeneric provider 커밋 상태 이벤트 전달 버그 — 즉시 업그레이드 권장

    이전 릴리스부터 generic provider가 커밋 상태 이벤트를 전달하지 못하는 회귀 버그가 있었습니다. 웹훅 기반 파이프라인 게이팅이나 관측성 연동을 사용 중이라면 이미 조용히 실패하고 있었을 가능성이 높습니다. v2.8.6으로 업그레이드하면 즉시 복구됩니다.

  • enhancementdeprecated API 버전 드리프트 문제는 MigrateAPIVersion 기능 게이트로 해결

    kustomize-controller가 관리하는 리소스 중 구버전 API를 사용하는 항목이 있다면, MigrateAPIVersion 기능 게이트를 활성화해 자동으로 마이그레이션할 수 있습니다. deprecated API로 인한 드리프트 감지 노이즈가 잦은 환경에서 먼저 적용해볼 만합니다.

주요 변경 (5)
  • helm-controller: 훅과 템플릿이 겹칠 때 발생하는 포스트 렌더러 충돌 수정, 서버 사이드 어플라이 활성화 시 force-replace 무시
  • notification-controller: generic provider의 커밋 상태 이벤트 전달이 끊기는 회귀 버그 수정 — 제네릭 웹훅 사용자는 필수 업그레이드
  • notification-controller: GCR Receiver 시크릿에 'audience' 필드 추가 권고 — v2.9에서 필수 항목으로 변경 예정
  • kustomize-controller: 관리 필드 항목의 API 버전 마이그레이션을 위한 MigrateAPIVersion 기능 게이트 신규 도입
  • source-controller, image-automation-controller: go-git v5.18.0 업데이트로 Git 작업 성능 향상
원문

KubeVirt

Orchestration & Management2026년 4월 20일

KubeVirt v1.8.2는 핫플러그 볼륨, 라이브 마이그레이션, TLS 설정, qcow2 디스크 처리, 멀티아치 VM 안정성 등 12개 버그를 수정한 패치 릴리스입니다.

  • breaking백엔드 스토리지 볼륨 이름 변경 — 자동화 스크립트 점검 필요

    백엔드 스토리지 볼륨 이름이 VM 이름을 포함한 형식에서 'persistent-state-for-this-vm'으로 바뀝니다. 이 볼륨 이름을 기준으로 동작하는 모니터링 알림, 스크립트, 도구가 있다면 업그레이드 전에 반드시 점검하세요. 실패 없이 조용히 오동작할 수 있는 유형의 변경입니다.

  • enhancements390x·ARM64 클러스터라면 v1.8.2로 업그레이드 권장

    ARM64 게스트의 SMBIOS 시스템 정보 미노출 문제와, v3 PCI 토폴로지 변경으로 인한 s390x VM 생성 실패 문제가 함께 수정됐습니다. 멀티아치 클러스터에서 v1.8.x 적용을 보류하고 있었다면 이 버전에서 해결됩니다.

  • enhancementKubeVirt CR의 TLS 설정이 이제 실제로 적용됨 — 설정값 재확인 필요

    sync-controller healthz 서버와 virt-exportserver가 KubeVirt CR의 TLSConfiguration을 무시하던 문제가 수정됐습니다. 업그레이드 후 CR에 설정된 TLS 옵션이 실제로 활성화되므로, 특히 특정 암호화 알고리즘이나 TLS 버전을 강제하는 클러스터에서는 CR 설정값이 의도한 대로 되어 있는지 미리 확인하세요.

주요 변경 (6)
  • domain-notify.sock 삭제 시 virt-handler가 알림 서버를 자동 재시작 — VM 통신 장애 자동 복구
  • 'Detaching' 상태에 stuck되던 핫플러그 볼륨 문제 수정
  • 분산 라이브 마이그레이션 후 컴퓨트 마이그레이션 시 'succeeded' 상태가 보고되지 않던 버그 수정
  • qcow2 오버레이 디스크의 소스 해석 오류 수정 — 잘못된 디스크 확장 및 캐시/IO 모드 감지 오류 방지
  • v3 PCI 토폴로지 변경으로 인한 s390x VM 생성 실패(미지원 PCIe root-port 컨트롤러) 수정
  • 백엔드 스토리지 볼륨 이름이 VM 이름 기반에서 'persistent-state-for-this-vm'으로 고정
원문
← 최신이전 →