SPIRE v1.3.1変更点調査

SPIREv1.3.1の変更点を紹介します。

がついた文章は筆者の補足です。

機能追加

• Windowsのワークロード認証に新しく sha256 セレクタが追加されました。これにより、ワークロードバイナリのSHA256ダイジェストを認証できます。(#3100)

バグ修正

• Registrationエントリ関連のデータベース行が適切に削除されます。(#3127, #3132)
  • エントリ削除時に dns_names が孤児になってしまう問題がありました。
• Agentがサーバと同期する際に必須情報のみを要求することで、帯域幅の使用量を削減します。(#3123)
• ホットスタンバイモードのPostgrSQLデータストアに対して読取・変更・書き込み操作時に発生する問題を修正しました。(#3103)
  • ホットスタンバイモードのPostgreSQL環境に置いて、JWTがjournal.pemには存在しているがDBには存在しないという状態が発生してこのバグが発見されました。MySQLと同様に、PostgreSQLでもSelect時に FOR UPDATE が付与されるようになります。

その他変更

• 変更が無い場合、FetchX509BundlesのRPCは更新情報を送信しなくなります。(#3102)
  • 前回の送信内容と比較し、同じであればskipするようになっています
• ビルドインのjoin_tokenノード認証が外部プラグインによって上書きされる場合、警告を表示します。(#3045)
• SPIREサーバの終了時に、データベースコネクションが能動的に閉じられます。(#3047)
  • いままでテスト用にのみCloseが実装されていましたが、サーバ終了時もCloseした方がよいよねということで変更されています。