Flux v2.8.8은 go-git CVE 2건을 패치하고, helm-controller 메모리 누수를 수정하며, GCP 소버린 클라우드 레지스트리 지원을 추가한 패치 릴리스입니다.
securitygo-git CVE 2건 패치를 위해 즉시 업그레이드
CVE-2026-45571과 CVE-2026-45570은 source-controller와 image-automation-controller에 영향을 줍니다. 대부분의 Flux 설치 환경에서 이 두 컨트롤러를 사용하므로, 별도 우회 방법 없이 v2.8.8로 즉시 업그레이드하는 것이 유일한 조치입니다.
breakingcrds/ 디렉터리에 비-CRD 리소스를 두는 차트 점검 필요
기존 helm-controller는 차트의 crds/ 디렉터리 안의 모든 오브젝트를 강제 적용했는데, 이번에 CRD만 대상으로 동작이 교정됐습니다. 설치 순서 우회 목적으로 crds/ 아래에 비-CRD 매니페스트를 둔 차트(특히 서드파티 차트)가 있다면 영향을 받습니다. HelmRelease 목록을 검토하고, 프로덕션 배포 전 반드시 비운영 환경에서 테스트하세요.
enhancementreconciliation 정체 이력이 있다면 아티팩트 페치 타임아웃 설정 확인
이번에 추가된 HTTP 타임아웃 설정은 페치 중 무기한 블로킹을 직접 해결합니다. helm-controller나 source-controller의 reconciliation이 명확한 오류 없이 멈추는 현상을 경험했다면, 이 수정이 원인이었을 가능성이 높습니다. 업그레이드 후 기본값에 의존하지 말고 타임아웃을 명시적으로 설정하세요. helm-controller v1.5.5 CHANGELOG에서 정확한 필드명을 확인하고, 메모리가 지속적으로 증가했던 환경이라면 업그레이드 전후 메모리 사용량도 비교해보세요.
주요 변경 (5)
- go-git v5.19.1 업데이트로 source-controller·image-automation-controller의 CVE-2026-45571, CVE-2026-45570 취약점 패치
- helm-controller: reconcile 루프마다 Kubernetes 클라이언트 전송 재시도 래퍼가 누적되던 메모리 증가 문제 수정
- 아티팩트 페치 HTTP 타임아웃 설정 옵션 추가 — 무기한 블로킹으로 인한 reconciliation 정체 방지
- helm-controller가 차트 crds/ 디렉터리의 비-CRD 오브젝트를 강제 적용하던 동작 수정 (운영 영향 가능성 있음)
- source-controller·image-reflector-controller에 GCP 소버린 클라우드 아티팩트 레지스트리 지원 추가