いつ Jackson がサポート終了(EOL)になっても、CVEの報告は止まりません。
JacksonNever-Ending Support (NES) により、サポート終了後も、Javaスタックの核となるJSONパーサーのセキュリティ、コンプライアンス、監査対応が維持されます。NESは、セキュリティチーム、エンジニア、経営陣に、サポート終了(EOL)によって失われたもの――すなわち、自社のセキュリティ態勢、スケジュールを自ら管理し、ビジネスが注力すべき領域を決定する力――を取り戻します。
多くの企業から信頼されています

セキュリティ、コンプライアンス、事業継続――これらを一体的に解決
Spring デフォルトのJSONシリアライザJackson 、リリースされるほぼすべてのJVMサービスに組み込まれています。しかし、2.13.x、2.14.x、および2.15.xの各シリーズは、アップストリームからの修正提供が停止しているため、新しいCVEにはパッチが適用されず、スキャナーによってすべてのビルドがフラグ付けされてしまいます。 NES forJackson 、2.13.x、2.14.x、および2.15.xシリーズのセキュアなJackson 、EOL(サポート終了)となった2.xシリーズの全深刻度レベルのCVE修正が含まれています。
セキュリティ
リスク:デシリアライゼーションは標的として好まれる攻撃手法であり、EOL(サポート終了)は上流での修正が行われないことを意味します。
EOLとなった2.xシリーズの全深刻度レベルのCVEに対する修正により、デシリアライゼーション攻撃が依存する脆弱性の窓を塞ぎます。
SLAに基づくパッチの提供は、深刻度に応じて行われる
2.13.x、2.14.x、および 2.15.x 向けのバックポートされた修正
コア、データ形式、データ型、およびモジュールの網羅性
コンプライアンス
リスク:CRA、PCI DSS、SOC 2、DORA、NIS2において、修正策が示されていない未解決の監査指摘事項が残る可能性。
スキャナーはJackson EOL(サポート終了)Jackson CVEの検出を停止しJackson すべてのビルドにVEXステートメントが組み込まれるため、サポート対象外の依存関係に関する指摘がレポートから削除されます。
SOC 2、PCI DSS、HIPAA、FedRAMPへの対応
DORA、NIS2、EUサイバーレジリエンス法など
VEXステートメントとパッチ履歴の記録
事業継続
リスク:急いでアップグレードを行うと、カスタムシリアライザや通信中の契約が破綻する恐れがあります。
コーディネートを1つ変更するだけで、アプリケーションコードを一切変更せずに置き換えられるドロップイン型のMavenアーティファクトです。これにより、ご自身のスケジュールに合わせてJackson 移行できます。
移行を適切に行うための数ヶ月あるいは数年の猶予期間
書き換えなし、シリアライザの不具合なし
移設コストのごく一部

エコシステム・パートナーシップ
Commonhaus Foundationは、Jacksonを含むコミュニティ主導のオープンソースプロジェクトを支援する非営利団体であり、これらのプロジェクトの長期的な管理と持続可能性を確保しています。HeroDevsは、Commonhaus Foundationのオープンソース持続可能性イニシアチブ(OSSI)の創設メンバーであることを誇りに思っています。HeroDevsはCommonhausと協力して、セキュリティに重点を置いたこのイニシアチブを立ち上げ、サポート終了版Never-Ending Support (NES) を提供しています。 Jacksonや、コモンハウス財団が統括するその他のオープンソースプロジェクトに対し、「ネバー・エンディング・サポート(NES)」を提供しています。
NESをインストールしたその日から、何が変化するのか。
その前――痛み
どのサービスも、EOLJacksonを使用して JSON を解析します。
スキャナーはすべてのビルドを検知し、アップストリームからのパッチも提供されておらず、新しいデシリアライゼーション関連のCVEが公表されると、情報公開から悪用までの期間が完全に無防備な状態になってしまう。
その後 — HeroDevsと
パーサーの状態が「無防備」から「防御中」へと変化する
NESビルドへの1座標の置換により、2.13.x、2.14.x、および2.15.xシリーズ全体で、SLAに基づくCVEパッチの適用が再開されます。なお、公開APIおよび通信フォーマットに変更はありません。
その前――痛み
答えのない未解決の知見
内部監査、SOC 2、および顧客向けセキュリティアンケートにおいて、いずれも「jackson」がEOL(サポート終了)となっていることが指摘されています。是正策はなく、監査人に対して説得力のある回答もできません。
その後 — HeroDevsと
調査結果はほぼ出揃い、アンケートは自ずと答えが導き出される
ベンダーが保証する、SLAおよびVEXステートメントが明記されたビルドです。スキャナーによるCVEの検出が停止し、PCI DSS、HIPAA、SOC 2、DORA、およびNIS2に準拠したランタイムを参照できるようになります。
その前――痛み
EOLのスケジュールとロードマップの比較
Jackson を変更すると、数百ものサービスにわたるカスタムシリアライザや通信中の契約に不具合が生じる可能性があります。急いで移行を行うと、本番環境でのインシデントが発生するリスクがあり、エンジニアがロードマップから外れてしまうことになります。
その後 — HeroDevsと
時間にとらわれず、自分のペースで移行しましょう
バイト単位で互換性があり、コードの変更は一切不要です。2.13.x、2.14.x、2.15.xの各シリーズがセキュリティ、コンプライアンス、安定性を維持している間、各チームは適切なアップグレード計画を立てるための余裕を得ることができます。
EOL 2.13.x、2.14.x、および 2.15.x シリーズで修正された実際の CVE。
2.x シリーズ全体で、10件以上のJackson 修正されました。
jacksonだけではありません。
NES forJackson 、サービスが実際に取り込む構成要素――コア、データ形式、データ型、そしてJackson 他のJackson 結びつけるモジュールや統合機能Jackson 。
Core および databind
エンジン
jackson
jackson
jackson
jackson
フォーマットと種類
JSONを超えて
dataformat-xml
dataformat-yaml
dataformat-csv
dataformat-cbor
データ型-JSR310
データ型-JDK8
モジュールと連携機能
接着剤
module-kotlin
module-scala
module-afterburner
module-blackbird
jaxrs-json-provider
jr-objects
導入が簡単で、業務に支障をきたしません。
レジストリを追加する
pom.xmlまたはsettings.xmlで、 registry.herodevs.io をMaven リポジトリとして登録してください。
トークンの設定を行う
ビルドがパッチ適用済みのアーティファクトを取得できるように、settings.xml に HeroDevs の認証トークンを追加してください。
座標をずらす
バージョンを-nesビルドに変更し、再ビルドしてください。アプリケーションのコードに変更はありません。
スキャナー通過
積極的にパッチが適用され、商用サポートも提供されているため、EOL(サポート終了)Jackson に関するCVEの報告はJackson 。
あらゆる規格、フレームワーク、規制に対して、説得力のある回答を用意しています
EOL(サポート終了)ソフトウェアは、世界中の規制におけるパッチ管理への期待を損なうものです。NESなら、ベンダーによるサポートが継続されるビルドを提供し、確約されたSLAと文書化されたパッチ履歴により、監査人や規制当局に対してコンプライアンスを証明することができます。
PCIデータセキュリティ基準
要件 6.3.3 では、既知の重大または高深刻度の脆弱性については、30 日以内にパッチを適用することが求められています。パッチJackson EOLJackson 、直ちに非準拠となります。NES はパッチ適用経路を復元します。
HIPAA
サポート対象外のライブラリでは、ePHIを扱うシステムに対して適切な安全対策を講じることが困難になります。NESは、積極的なメンテナンスとリスク低減を提供します。
SOC 2
トラスト・サービス基準では、脆弱性の適時な修正とパッチ管理が求められています。サポートが終了した依存関係がある場合、認証は不承認となります。
NIS2
第21条は、パッチ適用、脆弱性、およびサプライチェーン管理について規定している。EOLソフトウェアは、リスクをもたらす場合、事実上、本規定に準拠していないものとみなされる。
DORA
EOL(サポート終了)ソフトウェアを、金融ICT資産の耐障害性上の欠陥とみなす。NESは、文書化されたパッチ管理プログラムを運用している。
サイバーレジリエンス法
ソフトウェアのライフサイクルにおけるセキュリティを管理します。NESは、サポート期間中、ライブラリを効果的に管理します。
NIST CSF 2.0
規制PR.PS-02では、組織に対し、リスクに基づいて脆弱性のあるソフトウェアを積極的に維持または削除することが求められています。NESを利用すれば、強制的なアップグレードを行うことなく、この規制への準拠が可能になります。
FedRAMP
継続的な監視では、定義された周期での脆弱性の修正が求められます。パッチが適用され、ベンダーのサポート対象となっているビルドにより、EOL(サポート終了)Jackson 収めることができます。
商業契約
脆弱性および構成管理の対策には、技術的な脆弱性を特定し、ソフトウェアをセキュリティ基準の範囲内に維持することが求められます。NESは、EOL(サポート終了)ソフトウェアについても、そのセキュリティ態勢を回復させます。
セキュリティエンジニアによって開発されました。CNAの支援を受けています。
HeroDevsは、CVE IDの発見および割り当てを行う権限を持つ、公認のCVE番号付与機関です。Jackson 、対象となるアーティファクトについて既知のCVE件数をゼロにし、解決が必要なアドバイザリに直接対応するVEXステートメントとリリースノートを同梱して提供されます。これにより、サポート対象外の依存関係に関する指摘がレポートから削除されます。
また、HeroDevsは長年にわたりオープンソースへの資金提供を行っており、Jackson のようなソフトウェアJackson を支えるメンテナやエコシステムを支援しています。
CVE番号付与機関
CVEの発見と公開
ビルドのたびにVEXステートメントを生成
CVEの発見と公開
約束されたSLA
深刻度に応じたパッチの配信
よくある質問
いいえ。NESは移行期間中のセキュリティ上のギャップを埋めるものであり、サポート対象のJackson への移行に代わる恒久的な解決策ではありません。これにより、セキュリティを確保し、監査対応可能な状態を維持しつつ、ご自身のスケジュールに合わせてアップグレードを行うための時間を確保できます。
はい。インストールが完了すると、スキャナーはEOL(サポート終了)Jackson CVEの検出を停止します。Jackson アーティファクトに対して積極的にパッチが適用され、商用サポートがJackson 。NESは、確約されたSLA、VEXステートメント、および文書化されたパッチ履歴を通じて、PCI DSS、HIPAA、FedRAMP、SOC 2、DORA、NIS2、およびEUサイバーレジリエンス法に基づくパッチ管理の要件を満たすのに役立ちます。
HeroDevsのMavenレジストリ(registry.herodevs.io)上の、そのまま置き換え可能なアーティファクトとして提供されています。NESの座標は、com.herodevs.nes.fasterxml.jackson.core:jackson:2.13.jackson.13.6 のような形式になります。
NESビルドでは、Jackson .xのパブリックAPIおよび通信時の挙動が維持されます。HeroDevsのMavenレジストリを追加し、トークンで認証を行い、バージョン座標を変更するだけで済みます。アプリケーションコードの変更は不要で、カスタムシリアライザやモジュールも引き続き動作します。
NES forJackson 、jackson だけでなく、コア、データフォーマット、データ型、モジュール、統合アーティファクトにわたる 2.x シリーズをJackson 。2.10~2.12 などの古いバージョンを使用している場合は、対応状況について HeroDevs にお問い合わせください。
NES forJackson サポート終了となった 2.x シリーズを実行している組織向けに、HeroDevs が提供するJackson ライブラリの商用サポート付きJackson 。これはドロップイン可能な Maven アーティファクトであり、継続的な脆弱性修正とコンプライアンス対応を提供することで、各チームが自身のスケジュールに合わせて移行の計画と実行を行うための時間を確保できます。
お問い合わせ
オープンソース・ライブラリのネバーエンディング・サポートについてご質問ですか?私たちがお手伝いします!
HeroDevsのNES製品がお客様のシステムの安全性とコンプライアンスをどのように維持できるかをご覧ください。
当社のソリューションがお客様の組織にどのような価値をもたらすかをご覧ください。
お客様のニーズに合わせた詳細な価格情報を入手できます。
JavaおよびJVMのセキュリティとコンプライアンスに関する最新情報を常に把握しましょう
すべての記事を表示

.png)
