gpg

packages.gitlab.com의 변경 사항: 알아야 할 내용 (새 탭에서 열림)

GitLab은 더욱 효율적이고 안정적인 패키지 호스팅을 위해 `packages.gitlab.com`의 인프라를 새로운 시스템으로 이전하고 있습니다. 기본 도메인은 유지되지만, URL 형식, GPG 키 위치, 네트워크 허용 목록 및 UI 등 주요 구성 요소가 변경되므로 사용자의 대응이 필요합니다. 기존 구성에 대한 하위 호환성은 2026년 9월 30일까지 유지되지만, 서비스 중단을 방지하기 위해 기한 내에 새로운 설정으로 전환해야 합니다. ### 주요 변경 일정 및 인프라 전환 * **2026년 3월 31일**: 기존 PackageCloud 시스템과 관련 UI가 완전히 종료됩니다. * **2026년 9월 30일**: 이전 URL 형식을 새 형식으로 연결해 주던 재작성(Rewrite) 규칙이 제거되어, 이후에는 새로운 URL로만 접근이 가능합니다. * **저장소 백엔드 변경**: 패키지 저장소가 기존 AWS CloudFront에서 Google Cloud Storage(GCS)로 이전되었습니다. ### 리눅스 패키지 저장소(DEB/RPM) 설정 업데이트 * **DEB 저장소 경로 변경**: `gitlab/*` 관련 저장소(gitlab-ee, gitlab-ce 등)의 URL 구조에 배포판 코드네임(예: jammy)이 경로 세그먼트로 추가되었습니다. 표준 데비안 저장소 형식에 맞게 변경된 것이며, `runner/*` 저장소는 이번 변경에서 제외됩니다. * **설치 스크립트 재실행**: 가장 간단한 업데이트 방법은 GitLab에서 제공하는 최신 설치 스크립트(`script.deb.sh` 또는 `script.rpm.sh`)를 다시 다운로드하여 실행하는 것입니다. * **GPG 키 주소 변경**: 기존 `https://packages.gitlab.com/gpg.key` 주소가 `https://packages.gitlab.com/gpgkey/gpg.key`로 변경되었으므로 설정을 갱신해야 합니다. ### 네트워크 및 방화벽 설정 요구사항 * **GCS 허용 목록 추가**: 패키지 다운로드 시 GCS로 리다이렉트되므로, 엄격한 방화벽이나 프록시를 사용하는 환경에서는 `https://storage.googleapis.com/packages-ops` 주소를 허용 목록에 반드시 추가해야 합니다. 이를 누락할 경우 503 오류나 연결 시간 초과가 발생할 수 있습니다. ### GitLab Runner 및 자동화 스크립트 수정 * **Runner RPM 아키텍처 경로**: RPM 기반 배포판(RHEL/CentOS 등)에서 GitLab Runner 관련 `noarch` 패키지들이 `x86_64` 경로로 이동되었습니다. 관련 자동화 설정이 있다면 경로를 수정해야 합니다. * **직접 다운로드 URL**: 기존 PackageCloud 방식의 `download.deb` 또는 `download.rpm` 형식의 URL은 더 이상 지원되지 않습니다. 새로운 UI에서 제공하는 직접적인 패키지 경로를 사용하도록 자동화 스크립트를 수정해야 합니다. 가장 권장되는 방법은 GitLab 공식 문서의 최신 가이드를 따라 설치 스크립트를 다시 실행하여 저장소 구성을 자동으로 갱신하는 것입니다. 2026년 9월 호환성 종료 기간에 임박하기 전, 미리 방화벽 규칙과 패키지 경로 설정을 점검하여 운영 환경의 연속성을 확보하시기 바랍니다.

GitLab 패키지 리포지토리 메타데이터 서명에 사용되는 GPG 키가 연장되었습니다. (새 탭에서 열림)

GitLab은 패키지 저장소 메타데이터의 무결성을 보장하기 위해 사용되는 GPG 키의 만료일을 기존 2026년 2월 27일에서 2028년 2월 6일로 연장했습니다. 이번 조치는 보안 정책을 준수하면서도 키 교체에 따른 사용자 혼란을 최소화하기 위해 키 자체를 새로 발급하는 대신 유효 기간만 늘리는 방식을 채택했습니다. 2026년 2월 17일 이전에 GitLab 저장소를 설정한 기존 사용자들은 패키지 설치 시 오류를 방지하기 위해 반드시 신규 키를 갱신해야 합니다. **GPG 키 연장 배경과 목적** * GitLab은 배포되는 공식 패키지(Omnibus, GitLab Runner)의 무결성을 검증하기 위해 apt 및 yum 저장소 메타데이터에 GPG 서명을 적용하고 있습니다. * 키가 탈취되었을 경우의 노출 범위를 제한하고 보안 정책을 준수하기 위해 만료 기간을 정기적으로 갱신합니다. * 키를 완전히 새로 교체(Rotation)할 경우 모든 사용자가 신뢰 키를 수동으로 교체해야 하는 번거로움이 발생하므로, 기존 키의 만료일을 연장하여 사용자 중단을 최소화했습니다. **대상 사용자 및 기술적 세부 사항** * 대상 키 지문(Fingerprint): `F640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3F` * 2026년 2월 17일 이전에 로컬 장비에 GitLab 저장소를 구성한 기존 사용자는 새로운 만료일이 반영된 키를 다시 가져와 등록해야 합니다. * 해당 날짜 이후에 처음으로 설치를 진행하는 신규 사용자는 공식 가이드를 따르면 별도의 추가 작업 없이 연장된 키가 적용됩니다. **공개 키 갱신 방법** * GitLab 공식 패키지 서버(`https://packages.gitlab.com/gpg.key`)에서 최신 공개 키를 직접 다운로드하여 시스템에 추가할 수 있습니다. * GPG 키 서버에서 `packages@gitlab.com` 이메일이나 위의 키 지문을 검색하여 공개 키 사본을 갱신하는 것도 가능합니다. * 보다 구체적인 저장소 메타데이터 서명 검증 방법은 GitLab의 Omnibus 공식 문서 및 GitLab Runner 설치 문서를 통해 확인할 수 있습니다. 기존 사용자들은 패키지 업데이트가 중단되지 않도록 만료일 이전에 반드시 키를 갱신하시기 바랍니다. 관련하여 기술적인 문제나 도움이 필요한 경우 GitLab의 omnibus-gitlab 이슈 트래커를 통해 문의할 수 있습니다.

깃랩, 옴니버스 패 (새 탭에서 열림)

GitLab은 Omnibus 패키지의 무결성을 보장하기 위해 사용하는 GPG 서명 키의 만료일을 기존 2026년 2월 14일에서 2028년 2월 16일로 연장했습니다. 이번 조치는 보안 정책을 준수함과 동시에 새로운 키로 교체할 때 발생하는 사용자의 작업 부담을 최소화하기 위한 결정입니다. 패키지 서명을 직접 검증하는 환경의 사용자들은 보안 신뢰를 유지하기 위해 시스템의 공개 키 정보를 갱신해야 합니다. **Omnibus 패키지 서명 키의 역할과 특징** * GitLab은 CI 파이프라인에서 생성된 모든 Omnibus 패키지가 변조되지 않았음을 증명하기 위해 GNU Privacy Guard(GPG) 키를 사용하여 서명합니다. * 이 키는 OS 패키지 매니저(apt, yum 등)에서 사용하는 저장소 메타데이터 서명 키나 GitLab Runner용 GPG 키와는 별개로 관리되는 독립적인 키입니다. * GitLab 보안 정책에 따라 키 탈취 시의 피해를 제한하기 위해 주기적으로 만료일을 관리하며, 이번에 유효 기간을 2028년까지로 늘렸습니다. **키 교체 대신 만료일을 연장한 이유** * 새로운 키를 생성하여 교체(Rotation)하는 방식은 모든 사용자가 기존에 신뢰하던 키를 삭제하고 새 키를 다시 등록해야 하는 번거로움을 유발합니다. * 사용자 환경의 혼란과 서비스 중단 가능성을 줄이기 위해, 기존 키의 정체성은 유지하면서 만료 기한만 연장하는 방식을 선택했습니다. **사용자 조치 사항 및 업데이트 방법** * GitLab Omnibus 패키지의 서명을 수동으로 검증하거나, 패키지 매니저가 서명을 강제로 검증하도록 설정한 경우에만 최신 키로 업데이트하면 됩니다. * 별도의 서명 검증 설정을 하지 않고 기본 패키지 매니저 설정을 사용하는 일반적인 경우에는 추가 조치 없이도 패키지 설치 및 업데이트가 가능합니다. * 키 갱신이 필요한 경우, GPG 키 서버에서 이메일(`[email protected]`) 또는 키 ID(`98BF DB87 FCF1 0076 416C 1E0B AD99 7ACC 82DD 593D`)를 검색하여 최신 공개 키를 가져올 수 있습니다. * 또한, GitLab 공식 패키지 저장소(packages.gitlab.com)에서 제공하는 직접 링크를 통해 GPG 공개 키 파일을 다운로드하여 적용할 수도 있습니다. 서명 검증 과정에서 문제가 발생하거나 상세한 기술적 도움이 필요한 경우 GitLab의 'omnibus-gitlab' 이슈 트래커를 통해 문의할 수 있습니다. 보안상의 안전을 위해 패키지 서명을 검증하는 환경이라면 만료일이 도래하기 전 미리 공개 키를 갱신하는 것을 권장합니다.