RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: Open Policy Agent (OPA)해제 ×

Open Policy Agent (OPA)

Security2026년 6월 8일

OPA HTTP 핸들러와 암호화 내장 함수에 영향을 주는 Go stdlib 취약점 2건을 수정한 보안 패치입니다. v1.17.0 대비 코드 변경은 없습니다.

  • securityOPA 서버 또는 crypto 내장 함수 사용 시 즉시 v1.17.1로 업그레이드

    Go stdlib 취약점 두 건(GO-2026-5039, GO-2026-5037)이 OPA의 HTTP 핸들러와 암호화 내장 함수에 직접 영향을 줍니다. OPA를 서버 모드로 운영하거나 Rego에서 crypto 관련 내장 함수를 사용 중이라면 v1.17.0 이하에서 노출된 상태입니다. v1.17.1은 코드 변경이 없으므로 설정이나 정책 수정 없이 바이너리만 교체하면 됩니다. OPA 바이너리를 직접 빌드하는 경우엔 Go 툴체인을 1.26.4로 직접 올려야 합니다.

주요 변경 (4)
  • Go 런타임 1.26.3 → 1.26.4 업그레이드
  • GO-2026-5039: HTTP 핸들러 관련 stdlib 취약점 수정
  • GO-2026-5037: 암호화 내장 함수 관련 stdlib 취약점 수정
  • v1.17.0 대비 기능 변경 없음 — 순수 보안 패치
원문

Open Policy Agent (OPA)

Security2026년 4월 30일

v1.16.0은 URI 빌트인 함수 추가, Data API 메타데이터 지원, OTLP 메트릭 내보내기와 함께, v1.15.x에서 발생한 로그 유실 버그를 수정한 릴리스입니다.

  • securityunits.parse_bytes 지수 상한 적용 — 타임아웃 우회 차단

    units.parse_bytes에 비정상적으로 큰 지수 값을 넣으면 평가 타임아웃을 유발해 정책 집행을 우회할 수 있었습니다. v1.16.0에서 지수 크기에 상한을 두어 수정됐습니다. 사용자 입력이 units.parse_bytes로 전달되는 정책이 있다면 이번 수정이 직접 해당됩니다. 신뢰할 수 없는 소스에서 바이트 문자열을 파싱하는 정책을 우선 검토하세요.

  • breakingv1.15.x 사용 중이라면 즉시 업그레이드 — 로그가 소리 없이 사라집니다

    v1.15.x의 BufferedLogger 버그로 인해 첫 번째 flush 이후 번들 다운로드 로그, print() 출력, 플러그인 로그가 전부 유실됩니다. 옵저버빌리티 스택에서 조용히 데이터가 손실되는 상황입니다. v1.15.x를 프로덕션에서 운영 중이라면 즉시 v1.16.0으로 업그레이드하고, 그 기간 동안의 로그 파이프라인에 공백이 없는지 확인하세요.

  • enhancementuri.parse / uri.is_valid로 기존 정규식 기반 URL 검증 로직 교체하세요

    지금까지 많은 OPA 정책이 URL 파싱이나 검증에 정규식이나 문자열 조작을 써왔는데, 유지보수가 어렵고 엣지 케이스에 취약합니다. uri.parse는 RFC 3986 기반의 구조화된 컴포넌트(scheme, host, path, query 등)를 반환하고, uri.is_valid는 간결한 boolean 검사를 제공합니다. 리다이렉트 URI, 웹훅 URL, 혹은 URL을 포함하는 입력을 다루는 정책이 있다면 커스텀 파싱 로직을 이 빌트인으로 교체하는 게 낫습니다.

주요 변경 (5)
  • RFC 3986 기반 URI 처리를 위한 uri.parse, uri.is_valid 빌트인 함수 신규 추가
  • Data API에 요청/응답 메타데이터 지원 추가 — 커스텀 필드가 결정 로그의 Custom['request_metadata']에 기록됨
  • Prometheus 메트릭을 OTLP로 내보내기 가능 — 옵저버빌리티 파이프라인 통합에 활용 가능
  • v1.15.x에서 번들 다운로드, print() 호출, 플러그인 로그가 무음으로 유실되던 버그 수정
  • units.parse_bytes의 지수 크기 상한 적용으로 타임아웃 우회 가능성 차단
원문

Open Policy Agent (OPA)

Security2026년 3월 9일

OPA v1.14.1은 정책 검색 실패를 유발하던 규칙 인덱서 변경사항을 되돌리고 플러그인 매니저 교착상태를 수정한 패치 릴리스입니다.

  • security의존성 보안 업데이트 적용

    Go 1.26.1과 알려진 취약점을 패치한 업데이트된 의존성이 포함되어 있습니다. 특히 운영 환경에서 OPA를 사용한다면 정기 보안 유지보수 일정에 맞춰 이 업그레이드를 진행하세요.

  • breakingv1.14.0 사용 중이면 즉시 업그레이드

    v1.14.0의 규칙 인덱서 변경사항이 일부 설정에서 정책 검색 실패를 야기합니다. 안정적인 정책 평가를 위해 v1.14.1로 배포하세요. 최적화 기능은 v1.15.0에서 적절한 수정과 함께 다시 제공될 예정입니다.

  • enhancement플러그인 매니저 안정성 개선

    교착상태 수정으로 설정 작업 중 발생하던 간헐적 정지 현상이 해결됩니다. 플러그인 설정 과정에서 원인 불명의 OPA 정지를 경험했다면 이 릴리스로 문제가 해결될 것입니다.

주요 변경 (4)
  • v1.14.0에서 정책 검색 실패를 유발했던 규칙 인덱서 최적화 되돌림
  • opa.configure 작업 시 발생하던 플러그인 매니저 간헐적 교착상태 수정
  • Go 1.26.1 업데이트 및 의존성 버전 갱신
  • Golang 표준 라이브러리 및 패키지 취약점 해결
원문