Forgejo v16.0이 출시되어 자체 호스팅 코드 협업 플랫폼의 보안 및 기능이 대폭 강화됨
Git 미러링 보안 강화, EXIF 메타데이터 제거 기능 라이선스 문제로 제거 등 주요 변경 사항 포함
알림 시스템 개선, 리포지토리 마이그레이션 진행률 표시 등 사용자 경험 향상에 집중
Forgejo Actions의 워크플로우 우선순위 지정 및 JWT 기반 인증 기능 추가
Forgejo v16.0에서는 Git 미러링 시 발생할 수 있는 서버 측 요청 위조(SSRF, Server-Side Request Forgery) 취약점을 해결하기 위해 허용된 도메인 설정(ALLOWED_DOMAINS)을 강화했습니다. 특히 HTTP 리디렉션을 따르는 Git의 기본 동작을 `http.followRedirects=false`로 변경하여 보안 설정을 우회하는 경우를 차단합니다. 이는 데이터 격리 아키텍처(Data Isolation Architecture)를 통해 외부 시스템과의 상호작용을 엄격히 통제하려는 시도로 볼 수 있습니다.
사용자 아바타 이미지 업로드 시 EXIF 메타데이터를 제거하는 기능이 AGPL 라이선스 라이브러리 사용 문제로 인해 Forgejo v16.0에서 제거되었습니다. 이는 라이선스 규정 준수(License Compliance)를 위한 조치이며, 향후 다른 라이선스의 라이브러리를 통해 해당 기능을 재도입할 가능성을 열어두고 있습니다. 커뮤니티에서는 이 기능의 부재가 에 미치는 영향은 미미하다고 평가하는 분위기입니다.
컨테이너 환경에서 `REVERSE_PROXY_TRUSTED_PROXIES` 설정을 기본값(`*`)으로 두는 경우, `ENABLE_REVERSE_PROXY_AUTHENTICATION`이 활성화되면 사용자 위변조(User Impersonation) 공격에 취약해질 수 있습니다. Forgejo v16.0부터는 이 설정을 명시적으로 지정하도록 변경하여, 보안 구성(Security Configuration)의 중요성을 다시 한번 강조하고 있습니다. 이는 데이터 미저장 정책(Zero-Retention Policy)과 함께 시스템의 신뢰성을 높이는 중요한 변경 사항입니다.
사용자가 리포지토리의 이슈, PR, 릴리스 등 특정 부분에 대한 알림만 받을 수 있도록 세분화된 알림 설정(Granular Notification Settings) 기능이 추가되었습니다. 또한, PR 리뷰 시 여러 줄에 걸친 코멘트 작성이 가능해지고, `git blame --reverse`를 활용하여 코드 변경 이력을 추적함으로써 코드 리뷰 정확도(Code Review Accuracy)를 크게 향상시켰습니다. 이는 개발자 간의 협업 효율성을 증대시키는 데 기여할 것으로 보입니다.
Forgejo v16.0에서는 수동 워크플로우 우선순위 지정(Manual Workflow Prioritization) 기능이 추가되어 중요한 작업을 즉시 처리할 수 있게 되었습니다. 또한, JWT를 이용한 인가된 통합(Authorized Integrations) 기능을 통해 외부 시스템과의 연동 및 API 접근 보안을 강화했습니다. 이는 기존의 비밀 토큰 관리 방식보다 유연하고 안전한 인증(Flexible and Secure Authentication) 방안을 제공합니다.