v1.120.3은 Go 의존성 CVE 2건을 패치하고 AWS·Azure·Oracle·DigitalOcean 프로바이더 전반의 버그를 수정합니다. OVH 프로바이더 추가와 cosign 이미지 서명도 포함됐습니다.
security취약한 Go 의존성 패치 — 즉시 업그레이드 필요
이번 릴리스에서 Go 의존성 취약점 GHSA-xmrv-pmrh-hhx2와 CVE-2026-34986를 패치했습니다. v1.120.3 이전 버전을 운영 중이라면 즉시 업그레이드하세요. 코드 변경이 아닌 의존성 수준의 취약점입니다.
breakingMCP 서버가 기본 비활성화로 변경 — 배포 설정 확인 필요
MCP 서버의 기본값이 활성화에서 비활성화(MCP_SERVER_ENABLED=false)로 바뀌었습니다. 기본 활성화 상태를 전제로 운영 중이었다면 업그레이드 전에 배포 매니페스트에서 해당 환경 변수를 명시적으로 설정해야 합니다.
enhancementcosign 이미지 서명 검증을 어드미션 파이프라인에 추가
컨테이너 이미지에 cosign keyless 서명과 SLSA provenance 어테스테이션이 추가됐습니다. Kyverno나 cosign verify 같은 정책 도구를 사용 중이라면 OpenCost 이미지에 대한 서명 검증 정책을 CI 또는 배포 시점에 적용할 수 있습니다.
주요 변경 (7)
- Go 의존성 취약점 패치 (GHSA-xmrv-pmrh-hhx2, CVE-2026-34986)
- MCP 서버 기본값이 비활성화(MCP_SERVER_ENABLED=false)로 변경
- OVH 클라우드 프로바이더 추가, DigitalOcean 및 Oracle/Karpenter 가격 산정 버그 수정
- AWS Spot Price History API 캐싱 추가 및 spot data feed 비활성화 토글 신설
- 스크레이프 타깃 파싱 메모리 누수 수정, CPU 사용량 카운터 오버플로 보호 추가
- 컨테이너 이미지 cosign 서명 및 SLSA provenance 어테스테이션 지원
- AWS CUR 2.0 비용 데이터 수집 지원 추가