いつ Jackson がサポート終了(EOL)になっても、CVEの報告は止まりません。

JacksonNever-Ending Support (NES) により、サポート終了後も、Javaスタックの核となるJSONパーサーのセキュリティ、コンプライアンス、監査対応が維持されます。NESは、セキュリティチーム、エンジニア、経営陣に、サポート終了(EOL)によって失われたもの――すなわち、自社のセキュリティ態勢、スケジュールを自ら管理し、ビジネスが注力すべき領域を決定する力――を取り戻します。

多くの企業から信頼されています

グーグルのロゴマイクロソフトロゴフィンラのロゴサンタンデール銀行のロゴ
日立ロゴワークデイのロゴDropboxのロゴ

セキュリティ、コンプライアンス、事業継続――これらを一体的に解決

Spring デフォルトのJSONシリアライザJackson 、リリースされるほぼすべてのJVMサービスに組み込まれています。しかし、2.13.x、2.14.x、および2.15.xの各シリーズは、アップストリームからの修正提供が停止しているため、新しいCVEにはパッチが適用されず、スキャナーによってすべてのビルドがフラグ付けされてしまいます。 NES forJackson 、2.13.x、2.14.x、および2.15.xシリーズのセキュアなJackson 、EOL(サポート終了)となった2.xシリーズの全深刻度レベルのCVE修正が含まれています。

セキュリティ

リスク:デシリアライゼーションは標的として好まれる攻撃手法であり、EOL(サポート終了)は上流での修正が行われないことを意味します。

‍EOLとなった2.xシリーズの全深刻度レベルのCVEに対する修正により、デシリアライゼーション攻撃が依存する脆弱性の窓を塞ぎます。

SLAに基づくパッチの提供は、深刻度に応じて行われる

2.13.x、2.14.x、および 2.15.x 向けのバックポートされた修正

コア、データ形式、データ型、およびモジュールの網羅性

コンプライアンス

リスク:CRA、PCI DSS、SOC 2、DORA、NIS2において、修正策が示されていない未解決の監査指摘事項が残る可能性。

スキャナーはJackson EOL(サポート終了)Jackson CVEの検出を停止しJackson すべてのビルドにVEXステートメントが組み込まれるため、サポート対象外の依存関係に関する指摘がレポートから削除されます。

SOC 2、PCI DSS、HIPAA、FedRAMPへの対応

DORA、NIS2、EUサイバーレジリエンス法など

VEXステートメントとパッチ履歴の記録

事業継続

リスク:急いでアップグレードを行うと、カスタムシリアライザや通信中の契約が破綻する恐れがあります。

コーディネートを1つ変更するだけで、アプリケーションコードを一切変更せずに置き換えられるドロップイン型のMavenアーティファクトですこれにより、ご自身のスケジュールに合わせてJackson 移行できます。

移行を適切に行うための数ヶ月あるいは数年の猶予期間

書き換えなし、シリアライザの不具合なし

移設コストのごく一部

「私たちには3つの選択肢がありました。1)新しいフレームワークへ移行する(コストがかかり、時間がかかり、計画されたロードマップに支障をきたす)、2)フレームワークを自社で維持管理する(開発リソースの割愛を余儀なくされる)、3)HeroDevsと契約し、サブスクリプション形式で継続的なサポートを受ける(予算内に収まる年間費用で、開発計画への影響なし)……実装は驚くほど簡単でした。 HeroDevsのライブラリを導入したことで、AngularJS 是正され、毎月のPOA&M(脆弱性評価)において、Burp Suiteによるスキャン結果がクリーンなものとなりました。」

— ViTel Net
企業向け医療IT

「HeroDevsの延長サポートを活用することで、セキュリティリスクを軽減し、レガシーアプリケーションの安全な運用を継続するとともに、より持続可能な長期的な移行戦略を策定するための貴重な時間を確保することができました。そのすべてを、顧客体験や規制要件を損なうことなく実現できたのです。」

— サンラム・プライベート・ウェルス
金融サービス

「私たちは、典型的な技術的ジレンマに直面していました。すでに置き換えを計画していたレガシーシステムの更新に貴重なエンジニアリングリソースを費やすか、それとも増大するセキュリティリスクを受け入れるか。どちらの選択肢も、当社のビジネス目標とは合致しませんでした。……NESの導入により、戦略的なロードマップを損なうことなくセキュリティ体制を維持しつつ、大幅なコスト削減も実現することができました。」

— Statista
マルクス・ヴォルフ(建築家)

「顧客から要望されていた機能を一切提供できないと伝えなければならない状況を想像してみてください。その理由は、すでに正常に動作しているコードの書き直しに、今後1年間を費やさなければならないからです。 これは、どのCTOも望まない会話でしょう……。NESがもたらした影響は、単に事業を継続するだけにとどまりません。私たちは、まったく新しいコンポーネントライブラリへの投資を行い、ユーザー体験を向上させ、新規顧客獲得に直接貢献する機能を提供することができました。もし移行作業に縛られていたなら、それは不可能だったでしょう。」

— キールヴァル
ヴァレンティーナ・ロケス、CTO
コモンハウス財団

エコシステム・パートナーシップ

Commonhaus Foundationは、Jacksonを含むコミュニティ主導のオープンソースプロジェクトを支援する非営利団体であり、これらのプロジェクトの長期的な管理と持続可能性を確保しています。HeroDevsは、Commonhaus Foundationのオープンソース持続可能性イニシアチブ(OSSI)の創設メンバーであることを誇りに思っています。HeroDevsはCommonhausと協力して、セキュリティに重点を置いたこのイニシアチブを立ち上げ、サポート終了版Never-Ending Support (NES) を提供しています。 Jacksonや、コモンハウス財団が統括するその他のオープンソースプロジェクトに対し、「ネバー・エンディング・サポート(NES)」を提供しています。

NESをインストールしたその日から、何が変化するのか。

その前――痛み

どのサービスも、EOLJacksonを使用して JSON を解析します。

スキャナーはすべてのビルドを検知し、アップストリームからのパッチも提供されておらず、新しいデシリアライゼーション関連のCVEが公表されると、情報公開から悪用までの期間が完全に無防備な状態になってしまう。

その後 — HeroDevsと

パーサーの状態が「無防備」から「防御中」へと変化する

NESビルドへの1座標の置換により、2.13.x、2.14.x、および2.15.xシリーズ全体で、SLAに基づくCVEパッチの適用が再開されます。なお、公開APIおよび通信フォーマットに変更はありません。

その前――痛み

答えのない未解決の知見

内部監査、SOC 2、および顧客向けセキュリティアンケートにおいて、いずれも「jackson」がEOL(サポート終了)となっていることが指摘されています。是正策はなく、監査人に対して説得力のある回答もできません。

その後 — HeroDevsと

調査結果はほぼ出揃い、アンケートは自ずと答えが導き出される

ベンダーが保証する、SLAおよびVEXステートメントが明記されたビルドです。スキャナーによるCVEの検出が停止し、PCI DSS、HIPAA、SOC 2、DORA、およびNIS2に準拠したランタイムを参照できるようになります。

その前――痛み

EOLのスケジュールとロードマップの比較

Jackson を変更すると、数百ものサービスにわたるカスタムシリアライザや通信中の契約に不具合が生じる可能性があります。急いで移行を行うと、本番環境でのインシデントが発生するリスクがあり、エンジニアがロードマップから外れてしまうことになります。

その後 — HeroDevsと

時間にとらわれず、自分のペースで移行しましょう

バイト単位で互換性があり、コードの変更は一切不要です。2.13.x、2.14.x、2.15.xの各シリーズがセキュリティ、コンプライアンス、安定性を維持している間、各チームは適切なアップグレード計画を立てるための余裕を得ることができます。

EOL 2.13.x、2.14.x、および 2.15.x シリーズで修正された実際の CVE。

HeroDevs は、公認の CVE 番号付与機関(CNA)です。以下のアドバイザリは、Jackson .13.x、2.14.x、および 2.15.x シリーズに関する HeroDevs EOL データセットから抜粋したものです。— 現在これらのバージョンを実行している場合、サービスはこれらの脆弱性の影響を受ける可能性があります。既知の CVE に対する修正を含むパッチを直ちに適用するには、NES へ移行してください。 すべての修正プログラムは公開されており、1 エントリにつき 1 件のアドバイザリが発行されています。
重大性
CVE
カテゴリー
影響を受けるバージョン
公開日
ミディアム
サービス拒否
<20.20.2 >=22.0.0 <22.22.2 >=24.0.0 <24.14.1 >=25.0.0 <25.8.2
2026年4月13日
高い
無秩序な資源消費
v4 < v20.20.0, v22 < v22.22.0, v24 < v24.13.0, v25 < v25.3.0
2026年1月13日
高い
パストラバーサル
4.0 < 20.19.4, 22 < 22.17.1, 24 < 24.4.1
2025年7月15日
ミディアム
HTTPリクエストの密輸
4.0 < 20.19.1
2025年5月14日
高い
暗号の弱点
4.0 < 20.19.1, 22 < 22.15.0, 24 < 24.0.1
2025年5月14日
ミディアム
サービス拒否
4.0 < 18.20.6, 20 < 20.18.2
2025年2月7日
ミディアム
パストラバーサル
4.0 < 18.20.6, 20 < 20.18.2
2025年1月28日
高い
コマンド・インジェクション
4.0 <= 18.20.2, 20 < 20.12.2
2025年1月9日
高い
HTTPリクエストの密輸
>=16.0.0 <16.20.1, >=18.0.0 <18.16.1, >=20.0.0 <20.3.1
2024年10月16日
低い
情報露出
>=16.0.0 <=16.20.2
2024年10月15日
ミディアム
サービス拒否
>=14.0.0 <=14.21.3, >=16.0.0 <=16.20.2
2024年10月15日
ミディアム
暗号の弱点
4.0 < 18.19.1, 20 < 20.11.1
2024年9月7日
高い
コマンド・インジェクション
4.0 < 18.20.4, 20.0 < 20.15.1, 22.0< 22.4.1
2024年9月7日
ミディアム
HTTPリクエストの密輸
4.0 < 18.20.1, 20 < 20.12.1
2024年5月7日
ミディアム
HTTPリクエストの密輸
<21.7.2, <20.12.1, <v18.20.1, <= 16.20.2, <=v14.21.3, <= v12.22.12
2024年5月1日
高い
無秩序な資源消費
4 <= 18.20.0, 20 <= 20.12.0
2024年4月9日
高い
特権のエスカレーション
4.0 < 18.19.1, 20 < 20.11.1
2024年2月20日
ミディアム
サービス拒否
<21.6.2, <20.11.1, <v18.19.1, <= 16.20.2
2024年2月14日
高い
サービス拒否
<21.6.2, <20.11.1, <v18.19.1, <= 16.20.2, <=v14.21.3, <= v12.22.12
2024年2月14日
ミディアム
暗号の弱点
4.0 < 16.20.1, 18 < 18.16.1, 20 < 20.3.1
2023年11月28日
ミディアム
データ真正性の不十分な検証
4.0 <= 18.18.1, 20 < 20.8.1
2023年10月18日
ミディアム
特権のエスカレーション
4 <= 16.20.1, 0 <= 18.17.0, 0 <= 20.5.0
2023年8月24日
ミディアム
HTTPリクエストの密輸
4.0 < 16.20.1, 18 < 18.16.1, 20 < 20.3.1
2023年6月30日
ミディアム
HTTPリクエストの密輸
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
2022年12月5日
高い
リソース・インジェクション
4.0 < 14.20.0, 16 < 16.20.0, 18 < 18.5.0
2022年7月14日
ミディアム
HTTPリクエストの密輸
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
2022年7月14日
高い
認証バイパス
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
2022年7月14日
ミディアム
HTTPリクエストの密輸
4.0 < 14.20.0, 16 < 16.20.0, 18 < 18.5.0
2022年7月14日
ミディアム
HTTPリクエストの密輸
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
2022年7月14日

2.x シリーズ全体で、10件以上のJackson 修正されました。

重大性
ID
カテゴリー
影響を受けるバージョン
公開日
ミディアム
認証バイパス
>=2.8.0 <2.18.9, >=2.19.0 <2.21.5, >=3.1.0 <3.1.4
2026年6月23日
ミディアム
認証バイパス
<2.18.4, >=2.21.0 <2.21.4, >=3.0.0 <3.1.4
2026年6月23日
ミディアム
認証バイパス
>=2.9.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
2026年6月23日
ミディアム
サービス拒否
>=2.10.0 <2.14.0
2026年6月22日
ミディアム
サーバーサイドリクエストフォージェリ
>=2.0.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
2026年6月22日
高い
リモートコード実行
>=2.10.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
2026年6月22日
高い
リモートコード実行
>=2.10.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
2026年6月22日
高い
サービス拒否
<2.15.0
2025年10月13日
ミディアム
サービス拒否
<=2.15.2
2025年10月13日
高い
サービス拒否
<2.15.0
2025年10月13日

jacksonだけではありません

NES forJackson 、サービスが実際に取り込む構成要素――コア、データ形式、データ型、そしてJackson 他のJackson 結びつけるモジュールや統合機能Jackson 。

Core および databind

エンジン

jackson

jackson

jackson

jackson

フォーマットと種類

JSONを超えて

dataformat-xml

dataformat-yaml

dataformat-csv

dataformat-cbor

データ型-JSR310

データ型-JDK8

モジュールと連携機能

接着剤

module-kotlin

module-scala

module-afterburner

module-blackbird

jaxrs-json-provider

jr-objects

導入が簡単で、業務に支障をきたしません。

pom.xml
<dependency>
<groupId>com.herodevs.nes.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.13.5-jackson-databind-2.13.6</version>
</dependency>
1

レジストリを追加する

pom.xmlまたはsettings.xmlで、 registry.herodevs.io をMaven リポジトリとして登録してください

2

トークンの設定を行う

ビルドがパッチ適用済みのアーティファクトを取得できるように、settings.xml に HeroDevs の認証トークンを追加してください。

3

座標をずらす

バージョンを-nesビルドに変更し、再ビルドしてください。アプリケーションのコードに変更はありません。

4

スキャナー通過

積極的にパッチが適用され、商用サポートも提供されているため、EOL(サポート終了)Jackson に関するCVEの報告はJackson 。

あらゆる規格、フレームワーク、規制に対して、説得力のある回答を用意しています

EOL(サポート終了)ソフトウェアは、世界中の規制におけるパッチ管理への期待を損なうものです。NESなら、ベンダーによるサポートが継続されるビルドを提供し、確約されたSLAと文書化されたパッチ履歴により、監査人や規制当局に対してコンプライアンスを証明することができます。

PCIデータセキュリティ基準

米国

要件 6.3.3 では、既知の重大または高深刻度の脆弱性については、30 日以内にパッチを適用することが求められています。パッチJackson EOLJackson 、直ちに非準拠となります。NES はパッチ適用経路を復元します。

HIPAA

米国

サポート対象外のライブラリでは、ePHIを扱うシステムに対して適切な安全対策を講じることが困難になります。NESは、積極的なメンテナンスとリスク低減を提供します。

SOC 2

グローバル

トラスト・サービス基準では、脆弱性の適時な修正とパッチ管理が求められています。サポートが終了した依存関係がある場合、認証は不承認となります。

NIS2

EU

第21条は、パッチ適用、脆弱性、およびサプライチェーン管理について規定している。EOLソフトウェアは、リスクをもたらす場合、事実上、本規定に準拠していないものとみなされる。

DORA

EU

EOL(サポート終了)ソフトウェアを、金融ICT資産の耐障害性上の欠陥とみなす。NESは、文書化されたパッチ管理プログラムを運用している。

サイバーレジリエンス法

EU

ソフトウェアのライフサイクルにおけるセキュリティを管理します。NESは、サポート期間中、ライブラリを効果的に管理します。

NIST CSF 2.0

米国

規制PR.PS-02では、組織に対し、リスクに基づいて脆弱性のあるソフトウェアを積極的に維持または削除することが求められています。NESを利用すれば、強制的なアップグレードを行うことなく、この規制への準拠が可能になります。

FedRAMP

米国

継続的な監視では、定義された周期での脆弱性の修正が求められます。パッチが適用され、ベンダーのサポート対象となっているビルドにより、EOL(サポート終了)Jackson 収めることができます。

商業契約

グローバル

脆弱性および構成管理の対策には、技術的な脆弱性を特定し、ソフトウェアをセキュリティ基準の範囲内に維持することが求められます。NESは、EOL(サポート終了)ソフトウェアについても、そのセキュリティ態勢を回復させます。

セキュリティエンジニアによって開発されました。CNAの支援を受けています。

HeroDevsは、CVE IDの発見および割り当てを行う権限を持つ、公認のCVE番号付与機関です。Jackson 、対象となるアーティファクトについて既知のCVE件数をゼロにし、解決が必要なアドバイザリに直接対応するVEXステートメントとリリースノートを同梱して提供されます。これにより、サポート対象外の依存関係に関する指摘がレポートから削除されます。

また、HeroDevsは長年にわたりオープンソースへの資金提供を行っており、Jackson のようなソフトウェアJackson を支えるメンテナやエコシステムを支援しています。

CVE番号付与機関

CVEの発見と公開

ビルドのたびにVEXステートメントを生成

CVEの発見と公開

約束されたSLA

深刻度に応じたパッチの配信

よくある質問

NESは、アップグレードに代わる恒久的な選択肢となるのでしょうか?
Jackson 向けのNESは、コンプライアンスの遵守にJackson のでしょうか?
配送方法はどのようなものですか?
Jackson 「ドロップイン置換」Jackson ?
NESはJackson 』に対応していますか?
Jackson Never-Ending Support (NES) 」とは何ですか?

お問い合わせ

オープンソース・ライブラリのネバーエンディング・サポートについてご質問ですか?私たちがお手伝いします!

HeroDevsのNES製品がお客様のシステムの安全性とコンプライアンスをどのように維持できるかをご覧ください。

当社のソリューションがお客様の組織にどのような価値をもたらすかをご覧ください。

お客様のニーズに合わせた詳細な価格情報を入手できます。

グーグルのロゴリリーのロゴアボット社ロゴボックスロゴEGのロゴ日立ロゴDropboxのロゴNHSロゴワークデイのロゴフィンラのロゴマイクロソフトロゴサンタンデールのロゴ
専門家に相談する

このフォームを送信することにより、私は当社のプライバシーポリシーを確認したことを認めます

ありがとうございました!あなたの投稿は受理されました!
おっと!フォームの送信中に何か問題が発生しました。