SPIRE v1.2.1, v1.2.2, v.1.2.3変更点調査

この記事は Z Lab の業務の一環として作成したものです。

はじめに

SPIRE v1.2.1, ｖ1.2.2, v1.2.3 の変更内容を紹介します。

• https://github.com/spiffe/spire/releases/tag/v1.2.1
• https://github.com/spiffe/spire/releases/tag/v1.2.2
• https://github.com/spiffe/spire/releases/tag/v1.2.3

がついた文章は、CHANGELOG の公式内容ではなく筆者の補足です。
前バージョン v1.2.0 の変更内容はこちらを参照してください。

v1.2.1

Added 機能追加

• SPIRE Agentのfetch jwtコマンドがJSON outputに対応しました #2650

Changed 変更点

• OIDC Discovery ProviderがJWKsにalgパラメータを含むようになりました。#2771
• SPIRE Serverはプラグインをグレースフルシャットダウンするようになりました。接続しているRPCが完了するのを待つということです。#2722
• SPIRE ServerのログにRPCリクエストの認証に関する情報について変更がありました#2776
  • SPIRE Agentからアクセスを示すログのauthorized_as, authorized_viaの値が期待と違っていたものを修正しました。(Z Labの @hiyosi が 修正しました😎 )
• ドキュメントに小さな改善を実施しました#2746, #2792

Fixed バグ修正

• SPIRE Serverはローカルファイルの公開鍵/証明書 が何らかの理由でデータベースに格納できなかった場合、それを検知しローテーションできるようにしました#2770
• AWS IID node attestorがプロファイルにパスのような構造を含むインスタンスに対しても正しく動作するようになりました。#2825
• SPIRE Agentがキャッシュの競合によりクラッシュする問題を修正しました。#2699

v1.2.2

Added 機能追加

• SIGUSR2シグナルで SPIRE Server, Agentのログファイルをローテーションできるようになりました#2703
• K8s Workload Registrar CRDが "downstream" ワークロードの登録をサポートしました#2885
  • これはNested SPIREを構成する際に利用するものです
• Apple Silicon CPU搭載の macOS向けにSPIREをコンパイルできるようになりました#2876
• 些細なドキュメントの修正をしました#2851

Changed 変更点

• SPIRE ServerのCA証明書のDigitalSignature KeyUsage ビットをセットしないようにしました#2896

Fixed バグ修正

• SPIRE Serverのk8sbundle Notifier pluginが過剰にCPUサイクルを消費する問題を修正しました#2857

v1.2.3

• CVE-2022-24675, CVE-2022-28327, CVE-2022-27536 に対応した Go 1.17.9 に更新しました。